Sumario: 1. Introducción (y la pregunta incómoda); 2. Qué sanciona el artículo 12-A (y por qué existía); 3. Qué cambia la modificación: la nueva excepción y sus condiciones; 4. Conceptos clave (con ejemplos que pueden pasar mañana), 4.1. ‘Datos informáticos’ y ‘bases de datos personales’: no todo dato es igual, 4.2. ‘Debiendo presumir’: el estándar de sospecha razonable, 4.3. ‘Ejercicio legítimo de derechos fundamentales’: la frase más poderosa (y peligrosa); 5. Constitución peruana: legalidad, proporcionalidad, igualdad y tutela de datos; 6. La ley 29733 (datos personales) y el espejismo del ‘consentimiento’; 7. Sectores financiero, previsional y de seguros: ¿seguridad jurídica o privilegio penal?; 8. Derecho comparado: el TEDH y la protección de la vida privada en la era del dato; 9. Vacíos, zonas grises y riesgos de impunidad (¡sin dramatismos, pero con realismo!); 10. Propuestas: cómo escribir mejor la excepción (para que funcione y no se ‘coma’ al tipo penal); 11. Conclusiones; 12. Referencias.
1. Introducción (y la pregunta incómoda)
La norma es breve… pero su efecto potencial no lo es. El decreto legislativo que modifica el tercer párrafo del artículo 12-A de la Ley 30096 (Ley de Delitos Informáticos) incorpora —de manera expresa— una excepción de responsabilidad penal para la adquisición, posesión, intercambio o tratamiento de datos informáticos vinculada, entre otras hipótesis, a actividades desarrolladas en los sectores bursátil, financiero, previsional y de seguros. A primera vista suena razonable: ‘seguridad jurídica’ para sectores altamente regulados. Pero (¡aquí viene lo incómodo!)… ¿cuándo una excepción deja de ser una regla de cierre y se convierte en una rendija que normaliza lo que el tipo penal quiso evitar?
El corazón del debate no es moral, sino constitucional: legalidad penal, principio de proporcionalidad, igualdad ante la ley, tutela de datos personales, y un viejo fantasma del derecho penal contemporáneo: la expansión punitiva hacia conflictos que deberían resolverse en la supervisión administrativa. El decreto dice combatir esa expansión. Sin embargo, lo hace creando una cláusula de excepción tan amplia que puede tensionar —otra vez— los mismos principios que invoca.
2. Qué sanciona el artículo 12-A (y por qué existía)
El artículo 12-A tipifica la ‘adquisición, posesión y tráfico ilícito de datos informáticos’. Su verbo rector es múltiple: poseer, comprar, recibir, comercializar, vender, facilitar, intercambiar o traficar datos informáticos, credenciales de acceso o bases de datos personales, cuando el agente conoce o debió presumir que se obtuvieron sin consentimiento o mediante vulneración de sistemas de seguridad o la comisión de un delito informático. La fórmula es fuerte: no exige solo conocimiento efectivo; también alcanza la indiferencia culpable (‘debiendo presumir’).
La razón de ser del tipo penal es clara: cortar la cadena de valor del delito informático. No basta perseguir al ‘hacker’ que vulnera; hay que perseguir al mercado secundario que compra, vende o ‘monetiza’ información. Si no se golpea ese mercado, el delito se reproduce como negocio.
3. Qué cambia la modificación: la nueva excepción y sus condiciones
El nuevo tercer párrafo incluye una cláusula de excepción de responsabilidad penal cuando la adquisición, posesión, intercambio o tratamiento de datos se realice: (i) con autorización expresa del titular conforme a la Ley 29733, (ii) en cumplimiento de mandato judicial o administrativo conforme a ley, (iii) en ejercicio legítimo de derechos fundamentales, funciones legalmente reconocidas, o (iv) en actividades de los sectores bursátil, financiero, previsional o de seguros, siempre que no exista finalidad de aprovechamiento ilícito o comercialización indebida.
Hay dos elementos que merecen lupa (y una lupa grande): primero, la lista de supuestos es heterogénea; mezcla ‘consentimiento’ con ‘mandatos’ y con ‘derechos fundamentales’ y con ‘actividades sectoriales’. Segundo, la condición final (‘siempre que no exista finalidad de aprovechamiento ilícito o de comercialización indebida’) actúa como válvula… pero también como campo de batalla interpretativo: ¿quién define qué es ‘aprovechamiento ilícito’? ¿qué es ‘indebido’? ¿indebido según qué norma: penal, administrativa, protección de datos, regulación SBS, mercado de valores…?
4. Conceptos clave (con ejemplos que pueden pasar mañana)
4.1. ‘Datos informáticos’ y ‘bases de datos personales’: no todo dato es igual
La norma usa ‘datos informáticos’ y ‘bases de datos personales’. En la práctica, el conflicto aparece cuando un dato técnico (un ‘log’ de accesos, una traza de transacciones, un identificador de sesión) se vuelve identificable respecto de una persona. Lo que ayer parecía ‘dato operativo’ hoy, con cruce de bases, puede perfilar a un ciudadano (y allí entra la tutela constitucional de la vida privada).
Ejemplo: una aseguradora recibe un paquete de ‘eventos’ de un proveedor tecnológico para prevenir fraude. Si esos eventos permiten reconstruir hábitos, ubicación, compras o salud… ¿seguimos ante un ‘dato informático’ neutro o ante un dato personal sensible? El nombre puede no estar, pero la persona sí (por inferencia).
4.2. ‘Debiendo presumir’: el estándar de sospecha razonable
La fórmula ‘teniendo conocimiento o debiendo presumir’ no es un adorno. Penalmente, apunta a cortar el argumento del intermediario ‘yo no sabía’. El estándar no puede convertirse en responsabilidad objetiva, pero sí exige diligencia: señales de alerta, precio irrisorio, origen oscuro, ausencia de trazabilidad, incumplimiento de protocolos, etc.
Ejemplo: un corredor de bolsa o un analista compra un ‘dataset’ de clientes supuestamente ‘anonimizado’. Si la oferta viene sin contrato, sin evaluación de impacto, sin base de legitimación y con promesas tipo ‘con esto segmentas a todos’… ¿de verdad no debía presumir nada? (La ingenuidad no debería ser defensa…).
4.3. ‘Ejercicio legítimo de derechos fundamentales’: la frase más poderosa (y peligrosa)
Que una excepción se funde en el ‘ejercicio legítimo de derechos fundamentales’ es comprensible (libertad de información, defensa, tutela jurisdiccional, investigación académica, etc.). Pero si no se acota, la cláusula puede volverse un comodín argumentativo: todo actor dirá que su actividad ‘realiza’ un derecho fundamental.
Ejemplo: una empresa que perfila clientes podría alegar libertad de empresa; un medio podría alegar libertad de información; una fintech, innovación. El reto constitucional es sencillo de formular y difícil de aplicar: ¿cuándo ese derecho justifica tratar o intercambiar datos obtenidos sin consentimiento? Y la respuesta solo puede ser una: cuando supere un test de proporcionalidad serio (no una frase ritual…).
5. Constitución peruana: legalidad, proporcionalidad, igualdad y tutela de datos
La Constitución peruana exige que el derecho penal opere como ultima ratio, con tipicidad cierta y previsibilidad. Una excepción penal demasiado abierta puede generar el efecto inverso al que dice buscar: inseguridad jurídica. ¿Por qué? Porque traslada al juez —caso por caso— la tarea de definir el alcance real de la impunidad o de la punibilidad.
Hay cuatro ejes constitucionales que deben guiar la lectura del nuevo texto: (1) principio de legalidad penal (certeza y taxatividad), (2) proporcionalidad (intervención mínima), (3) igualdad ante la ley (¿por qué ciertos sectores tendrían una válvula especial?), y (4) derecho a la autodeterminación informativa / tutela de datos personales (como expresión de vida privada).
Filosóficamente, esto recuerda la advertencia de Zagrebelsky sobre el ‘derecho dúctil’: un derecho que se adapta a contextos, sí, pero que puede volverse demasiado maleable si el legislador renuncia a su tarea de delimitar. En materia penal, esa ductilidad no es virtud: es riesgo.
6. ’La ley 29733 (datos personales) y el espejismo del ‘consentimiento
El decreto menciona expresamente la Ley 29733: si hay autorización expresa del titular, no hay responsabilidad penal por estas conductas. Correcto… en teoría. El problema es práctico: en el mercado real, el ‘consentimiento’ suele aparecer como casilla marcada, cláusula extensa o condición de servicio. Y entonces la pregunta se vuelve ética-jurídica: ¿consentimiento real o consentimiento de papel?
Además, el decreto no solo protege el escenario de consentimiento. Abre otros: ‘mandato judicial o administrativo conforme a ley’ y ‘funciones legalmente reconocidas’ y ‘actividades sectoriales’. Es decir, la excepción no depende únicamente de un acto del titular. Depende, en buena medida, de la arquitectura regulatoria del sector y de cómo se documente el cumplimiento.
7. Sectores financiero, previsional y de seguros: ¿seguridad jurídica o privilegio penal?
El decreto afirma que busca evitar la expansión del derecho penal hacia el derecho administrativo sancionador y de supervisión sectorial. Ese diagnóstico tiene sentido: SBS, SMV u otros reguladores ya controlan prácticas, imponiendo multas y correctivos. Pero el paso legislativo elegido (una excepción penal sectorial) abre un dilema.
Dilema: si el problema era la expansión penal, ¿por qué no se precisó mejor el tipo penal en general (para todos), en vez de crear una ‘zona segura’ para ciertos sectores? La igualdad ante la ley exige que cualquier diferenciación tenga una justificación intensa, porque el bien jurídico en juego (datos personales y seguridad digital) afecta a todos los ciudadanos, no solo a quienes son clientes del sistema financiero.
Ejemplo: si una base de datos se filtra en una entidad del sector asegurador y circula en el mercado negro, el daño social puede ser masivo. Una excepción mal calibrada puede enviar un mensaje equivocado: ‘si eres parte de un sector regulado, el umbral penal es más flexible’. Y eso, en tiempos de economía del dato, es explosivo.
8. Derecho comparado: el TEDH y la protección de la vida privada en la era del dato
En Europa, la discusión sobre tratamiento de datos y vida privada ha sido empujada por el art. 8 del Convenio Europeo de Derechos Humanos (vida privada y familiar). El Tribunal Europeo de Derechos Humanos (TEDH) ha sostenido de forma consistente que el tratamiento y conservación de información personal por autoridades (y, en ciertos contextos, su transferencia) puede constituir una injerencia que debe ser ‘conforme a la ley’, perseguir un fin legítimo y ser ‘necesaria en una sociedad democrática’.
La lección para el Perú es directa: no basta decir ‘cumplimos una función’ o ‘somos un sector regulado’. La injerencia debe tener base legal clara, controles efectivos y límites verificables. En otras palabras: el estándar no es ‘confíen en mí’; es ‘aquí están las garantías’.
9. Vacíos, zonas grises y riesgos de impunidad (¡sin dramatismos, pero con realismo!)
El decreto introduce expresiones abiertas: ‘ejercicio legítimo de derechos fundamentales’, ‘funciones legalmente reconocidas’, ‘actividades desarrolladas’ en ciertos sectores, ‘aprovechamiento ilícito’, ‘comercialización indebida’. Todas son defendibles como lenguaje normativo, pero juntas generan un mosaico de interpretaciones.
Tres vacíos principales:
(a) Falta de criterios de debida diligencia: ¿qué documentación mínima debe existir para invocar la excepción? Sin un estándar, la excepción podría volverse una coartada post hoc.
(b) Falta de anclaje a principios de minimización y finalidad: la excepción no menciona límites de cantidad, necesidad, temporalidad, ni medidas de seguridad específicas.
(c) Falta de coordinación expresa con el régimen sancionador y la reparación a víctimas: si el penal retrocede, ¿qué mecanismos se fortalecen para que la víctima no quede sola?
10. Propuestas: cómo escribir mejor la excepción (para que funcione y no se ‘coma’ al tipo penal)
Si el objetivo es seguridad jurídica sin impunidad, hay ajustes de técnica legislativa posibles:
1) Definir ‘actividades desarrolladas’ en sectores regulados mediante remisión expresa a normas sectoriales (SBS/SMV) y a finalidades concretas: prevención de fraude, continuidad operativa, cumplimiento normativo, gestión de riesgos, etc.
2) Exigir un estándar de trazabilidad: registro de origen del dato, base legal, evaluación de riesgo, medidas de seguridad, y prohibición expresa de adquisición en mercados no autorizados.
3) Acotar ‘derechos fundamentales’ a supuestos típicos: defensa, tutela jurisdiccional, investigación periodística con interés público, y siempre bajo proporcionalidad.
4) Precisar ‘aprovechamiento ilícito’ y ‘comercialización indebida’ con ejemplos normativos o remisión a tipologías (venta a terceros, segmentación no consentida, reidentificación, etc.).
11. Conclusiones
El decreto legislativo intenta resolver un problema real: el riesgo de criminalizar operaciones legítimas de sectores regulados que tratan datos de manera necesaria para el sistema económico. Pero la solución elegida —una excepción penal amplia— exige un cuidado extremo. En derecho penal, una excepción es una cirugía: si se corta de más, se compromete el órgano que se quería salvar.
La clave está en el equilibrio: proteger la seguridad jurídica de la actividad legítima (¡sí!) sin reducir la protección penal de los ciudadanos frente al mercado de datos ilícitos (¡también!). El país necesita un mensaje normativo coherente: el dato personal no es mercancía libre; y la regulación sectorial no puede convertirse en un escudo automático.
12. Referencias (bibliografía mínima para sostener el debate)
- Congreso de la República. Ley 30096, Ley de Delitos Informáticos (Perú).
- Congreso de la República. Ley 29733, Ley de Protección de Datos Personales (Perú).
- Tribunal Europeo de Derechos Humanos (TEDH). Jurisprudencia sobre el art. 8 del Convenio Europeo de Derechos Humanos (vida privada y tratamiento de datos).
- Zagrebelsky, Gustavo. El derecho dúctil. Ley, derechos, justicia. Torino: Trotta, 2005.
