El Poder Ejecutivo promulgó el Decreto Legislativo 1700 que reforma la Ley de Delitos Informáticos para sancionar, con hasta 10 años de cárcel, la adquisición, posesión y comercialización de datos obtenidos ilegalmente, ampliando la protección frente a los delitos digitales.
El Estado peruano promulgó hace algunos días atrás el Decreto Legislativo 1700, el cual modifica la Ley de Delitos Informáticos (Ley N.º 30096) para incorporar como delito autónomo la adquisición, posesión y tráfico ilícito de datos informáticos. La medida, publicada el 24 de enero de 2026, responde al aumento de la comercialización de bases de datos y credenciales personales obtenidas sin consentimiento, una práctica que pone en riesgo la seguridad digital de personas y organizaciones.
Esta actualización legal penaliza además del acceso no autorizado a sistemas, toda la cadena económica que gira alrededor de la explotación de datos obtenidos por medios ilícitos. Según la norma, será sancionable quien “posea, compre, reciba, comercialice, venda, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales” cuando se tenga conocimiento -o se deba presumir- que esa información fue obtenida sin el consentimiento de su titular o mediante la vulneración de sistemas de seguridad.
Bajo el artículo 12-A recientemente incorporado, la pena mínima prevista para este delito va de 5 a 8 años de prisión, complementada con multas que oscilan entre 180 y 365 días. No obstante, las sanciones pueden intensificarse, por ejemplo, si la conducta se comete como parte de una organización criminal, si causa un perjuicio patrimonial grave, en caso de que afecte a un gran número de personas o si la base de datos proviene de una entidad pública, en cuyos casos la pena de prisión se eleva hasta 10 años, además de la inhabilitación para ejercer funciones públicas o privadas relacionadas con la gestión de información.
Pese a que la legislación penaliza severamente estas conductas, existen excepciones claramente contempladas. No se considera delito la adquisición, posesión o tratamiento de datos cuando se realiza con la autorización expresa del titular según la Ley de Protección de Datos Personales (Ley N.º 29733), en cumplimiento de una orden judicial o administrativa, o en el ejercicio legítimo de un derecho o función legal siempre que no haya finalidad ilícita ni comercialización indebida.
La reforma ha generado reacciones diversas. Si bien las autoridades del Ejecutivo han defendido la necesidad de endurecer las penas para fortalecer la seguridad y la confianza digital, mientras que expertos advierten que su aplicación efectiva requerirá una mayor capacitación técnica de jueces y fiscales, así como inversión en herramientas especializadas. Sin estas mejoras, sostienen, la norma corre el riesgo de quedarse en papel.