El Poder Ejecutivo publicó el Decreto Legislativo 1700, que modifica la Ley 30096, Ley de Delitos Informáticos, e incorpora el delito de adquisición, posesión y tráfico ilícito de datos informáticos, con el objetivo de frenar la comercialización de información digital obtenida ilegalmente y fortalecer la seguridad y confianza digital en el país.
La norma crea un tipo penal autónomo que sanciona a quien posea, compre, reciba, venda, comercialice, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, cuando sepa o deba presumir que fueron obtenidos sin consentimiento del titular, mediante vulneración de sistemas de seguridad o como resultado de un delito informático.
El nuevo artículo 12-A establece una pena de 5 a 8 años de prisión y 180 a 365 días-multa. La sanción se agrava a 8 a 10 años e incluye inhabilitación si el hecho se comete como parte de una organización criminal, si genera perjuicio patrimonial grave o afecta a muchas personas, o si la base de datos está procesada o custodiada por una entidad pública.
El decreto también contempla excepciones: no habrá responsabilidad penal cuando el tratamiento o intercambio de datos se realice con autorización expresa del titular, por mandato judicial o administrativo, o en el ejercicio legítimo de derechos fundamentales o funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni comercialización indebida.
Decreto Legislativo Nº 1700
EL PRESIDENTE DE LA REPÚBLICA
POR CUANTO:
Que, mediante la Ley Nº 32527, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de seguridad ciudadana y lucha contra la criminalidad organizada, crecimiento económico responsable y fortalecimiento institucional, el Congreso de la República ha delegado en el Poder Ejecutivo la facultad de legislar, entre otros, en materia de seguridad y lucha contra la criminalidad organizada, por el plazo de sesenta (60) días calendario, computados a partir del día siguiente de su publicación;
Que, el subnumeral 2.1.14 del numeral 2.1 del artículo 2 de la Ley Nº 32527, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de seguridad ciudadana y lucha contra la criminalidad organizada, crecimiento económico responsable y fortalecimiento institucional, faculta al Poder Ejecutivo de modificar la Ley Nº 30096, Ley de Delitos Informáticos, incorporando como delito conductas vinculadas a la adquisición, comercialización y tráfico de datos informáticos, banco de datos, entre otros ilícitamente obtenidos;
Que, en ese sentido, resulta necesario modificar la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el delito de adquisición, posesión y tráfico ilícito de datos informáticos, a fin de fortalecer la seguridad y confianza digital a nivel nacional, comprendiendo la ciberseguridad, y materializar la tutela penal reforzada del derecho fundamental a la autodeterminación informativa, elevando el estándar de protección frente a conductas que generan afectaciones masivas y sistemáticas en el entorno digital;
Que, la comercialización y tráfico ilícito de información digital obtenida sin consentimiento del titular o mediante la vulneración de sistemas de seguridad constituye una conducta de elevada lesividad social, en tanto afecta de manera directa la seguridad de los datos, la autodeterminación informativa y la confianza en los sistemas informáticos, generando un riesgo estructural para la seguridad ciudadana y el adecuado funcionamiento de los servicios públicos y privados en el entorno digital;
Que, de acuerdo a lo dispuesto en el literal j) del numeral 41.1 del artículo 41 del Reglamento del Decreto Legislativo Nº 1565, Decreto Legislativo que aprueba la Ley General de Mejora de la Calidad Regulatoria, aprobado mediante Decreto Supremo Nº 023-2025-PCM, las entidades públicas están exceptuadas de presentar expediente Análisis de Impacto Regulatorio Ex Ante (AIR Ex Ante) a la Comisión Multisectorial de Calidad Regulatoria (CMCR) en el caso de disposiciones normativas en materia penal, o que regulan los procesos en vía judicial (como códigos o leyes procesales), por lo que la presente norma se encuentra excluida del alcance AIR Ex Ante al estar inmersa en el supuesto antes descrito;
De conformidad con lo establecido en el artículo 104 de la Constitución Política del Perú, y en ejercicio de la facultad delegada en el subnumeral 2.1.14 del numeral 2.1 del artículo 2 de la Ley Nº 32527, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de seguridad ciudadana y lucha contra la criminalidad organizada, crecimiento económico responsable y fortalecimiento institucional;
Con el voto aprobatorio del Consejo de Ministros; y,
Con cargo a dar cuenta al Congreso de la República:
Ha dado el Decreto Legislativo siguiente:
DECRETO LEGISLATIVO QUE MODIFICA LA LEY Nº 30096, LEY DE DELITOS INFORMÁTICOS, INCORPORANDO EL DELITO DE ADQUISICIÓN, POSESIÓN Y TRÁFICO ILÍCITO DE DATOS INFORMÁTICOS
Artículo 1.- Objeto
El presente Decreto Legislativo tiene por objeto modificar la Ley Nº 30096, Ley de Delitos Informáticos, incorporando un tipo penal autónomo que sancione la posesión, compra, recepción, venta, comercialización, intercambio, facilitamiento o tráfico ilícito de datos informáticos obtenidos sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático.
Artículo 2.- Finalidad
La finalidad del presente Decreto Legislativo es fortalecer la seguridad y confianza digital a nivel nacional, incluyendo la ciberseguridad, y materializar la tutela penal reforzada del derecho fundamental a la autodeterminación informativa, elevando el estándar de protección frente a conductas que generan afectaciones masivas y sistemáticas en el entorno digital.
Artículo 3.- Modificación de la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el artículo 12-A
Se modifica la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el artículo 12-A, el cual queda redactado en los siguientes términos:
Artículo 12-A.- Adquisición, posesión y tráfico ilícito de datos informáticos
El que posee, compre, recibe, comercialice, vende, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, teniendo conocimiento o debiendo presumir que se obtuvo sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático, es reprimido con pena privativa de libertad no menor de cinco (5) ni mayor de ocho (8) años y con ciento ochenta (180) a trescientos sesenta y cinco (365) días-multa.
La pena privativa de libertad es no menor de ocho (8) ni mayor de diez (10) años, e inhabilitación, cuando:
a) El agente actúa como integrante de una organización criminal;
b) Se cause perjuicio patrimonial grave o afectación a una pluralidad de personas; o
c) La base de datos es procesada o custodiada por una entidad pública.
Queda exceptuada de responsabilidad penal la adquisición, posesión, intercambio o tratamiento de datos informáticos cuando estas conductas se realicen con autorización expresa del titular, conforme a la Ley Nº 29733, Ley de Protección de Datos Personales, en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni de comercialización indebida de la información.
Artículo 4.- Financiamiento
La implementación del presente Decreto Legislativo se financia con cargo al presupuesto de las instituciones públicas involucradas, sin demandar recursos adicionales al Tesoro Público.
Artículo 5.- Publicación
El presente Decreto Legislativo es publicado en la Plataforma Digital Única del Estado Peruano para la Orientación al Ciudadano (www.gob.pe) y en la sede digital del Ministerio del Interior (www,gob.pe/mininter) y del Ministerio de Justicia y Derechos Humanos (www,gob.pe/minjus), el mismo día de su publicación en el Diario Oficial “El Peruano”.
Artículo 6.- Refrendo
El presente Decreto Legislativo es refrendado por el Presidente del Consejo de Ministros, el Ministro del Interior y el Ministro de Justicia y Derechos Humanos.
POR TANTO:
Mando se publique y cumpla, dando cuenta al Congreso de la República.
Dado en la Casa de Gobierno, en Lima, a los veintitrés días del mes de enero del año dos mil veintiséis.
JOSÉ ENRIQUE JERÍ ORÉ
Presidente de la República
ERNESTO JULIO ÁLVAREZ MIRANDA
Presidente del Consejo de Ministros
VICENTE TIBURCIO ORBEZO
Ministro del Interior
WALTER ELEODORO MARTÍNEZ LAURA
Ministro de Justicia y Derechos Humanos
