1️⃣ El Decreto Legislativo 1700 reforma la Ley de Delitos Informáticos (Ley 30096), tipifica de forma autónoma la adquisición, posesión y tráfico ilícito de datos informáticos. Algo que he propuesto desde hace más de 10 años para que se criminalice, por ejemplo, a los proveedores de bases de datos sobre antecedentes penales, historial médico, presuntas deudas, números de teléfonos o cuentas de e-mail para contactos spam.
2️⃣ No es un ajuste marginal, es la respuesta normativa a la evolución real de la criminalidad digital. Con ello, el legislador reconoce que el núcleo del delito informático contemporáneo no se agota en el acceso ilícito a sistemas. El verdadero valor y, por tanto, el mayor riesgo, se encuentra en la economía ilegal de los datos: bases de información personal, credenciales de acceso y bancos de datos que circulan, se compran y se venden como activos en mercados clandestinos.
3️⃣ El nuevo artículo 12-A desplaza el foco hacia la cadena económica del delito digital, sancionando no solo al autor del ataque inicial, sino también a quienes participan en etapas posteriores: posesión, adquisición, comercialización, intercambio o facilitación de datos de origen ilícito, previéndose pena de 5 a 8 años de prisión. La sanción puede llegar hasta 10 años si el delito se comete mediante una organización criminal, o cuando la afectación es masiva, el perjuicio patrimonial es grave o los datos pertenecen a entidades públicas.
4️⃣ Con ello, desde la perspectiva empresarial, la gestión de datos deja de ser un asunto exclusivamente tecnológico o regulatorio y se convierte en una fuente directa de riesgo penal. La procedencia de la información, la trazabilidad de las bases de datos, los controles internos y las decisiones sobre el uso y tratamiento de datos adquieren una dimensión jurídica mucho más exigente.
5️⃣ Para los directorios y encargados de compliance (CO y DPO), el mensaje es claro: ya no basta con políticas formales o el mero cumplimiento documental. Es necesario integrar la gestión del dato en los mapas de riesgo penal, reforzar la debida diligencia digital, revisar cadenas de suministro de información y asegurar mecanismos efectivos de prevención, detección y respuesta. En la economía de los datos, la omisión también genera responsabilidad.
