Por: Eduardo Alejos Toribio
Primero: tipificación autónoma del tráfico de datos informáticos (art. 12-A, Ley 30096)
El Decreto Legislativo No.1700[1] introduce un punto de quiebre en la arquitectura del Derecho penal informático peruano al tipificar, de forma autónoma, la adquisición, posesión, comercialización, intercambio o facilitación ilícita de datos informáticos y bases de datos. Esta reforma supera el enfoque tradicional centrado exclusivamente en el acceso ilícito a sistemas y reconoce que el dato, en sí mismo, constituye hoy el verdadero objeto de valor delictivo.
Desde un análisis estructural, el legislador asume que la criminalidad digital contemporánea no opera bajo esquemas individuales y episódicos, sino mediante cadenas económicas organizadas, donde el acceso ilícito es apenas el primer eslabón de un circuito más amplio de monetización y explotación de la información.
Si bien la tipificación autónoma es correcta, el nuevo tipo penal se construye sobre una noción amplia y técnicamente indeterminada de “datos informáticos”, lo que exige una interpretación restrictiva para evitar que información de escasa relevancia o bajo nivel de afectación sea absorbida por el Derecho penal.
El riesgo de sobre criminalización es real si no se delimita claramente el umbral de relevancia penal del dato frente a supuestos meramente administrativos o civiles[2].
Segundo: el desplazamiento del injusto hacia la economía criminal del dato
El artículo 12-A desplaza el centro del injusto penal desde la intrusión técnica hacia la dinámica económica posterior, sancionando a quienes participan en la posesión, compra o circulación de datos ilícitos. Con ello, el legislador adopta una lógica similar a la del lavado de activos o la receptación, donde el desvalor principal no reside en el hecho originario, sino en la consolidación del beneficio ilícito.
Este enfoque responde a una constatación empírica: gran parte del daño social del delito informático se produce cuando los datos robados ingresan a mercados clandestinos y son utilizados para fraudes, extorsiones, suplantaciones de identidad o campañas masivas de desinformación.
La ampliación del ámbito de autoría exige una delimitación precisa entre conductas penalmente relevantes y actividades neutrales del mercado digital. Sin criterios claros, existe el peligro de que el tipo penal absorba comportamientos periféricos o meramente imprudentes, erosionando el principio de imputación personal. El Derecho penal no puede convertirse en un mecanismo de sanción por fallas estructurales de regulación tecnológica.
Tercero: el problema del elemento subjetivo “conocer o deber presumir”
Uno de los aspectos más controvertidos de la reforma es la introducción del estándar subjetivo según el cual basta que el agente “conozca o deba presumir” el origen ilícito de los datos. Esta fórmula normativa flexibiliza la exigencia clásica de dolo y abre la puerta a imputaciones basadas en expectativas normativas de conocimiento.
Desde la dogmática penal, esta construcción es problemática. El dolo no puede sustituirse sin más por una presunción normativa sin vaciar de contenido el principio de culpabilidad[3]. La frontera entre dolo eventual y culpa consciente se vuelve difusa, especialmente en contextos digitales donde la trazabilidad del dato no siempre es clara.
Si este estándar no es interpretado restrictivamente, el tipo penal corre el riesgo de operar como una forma encubierta de responsabilidad objetiva, incompatible con un Estado constitucional de derecho. El juez penal deberá exigir indicadores concretos de conocimiento efectivo o de deliberada indiferencia frente al origen ilícito de los datos.
Cuarto: intensificación punitiva y agravantes
La pena base de 5 a 8 años de prisión, con agravación hasta 10 años en supuestos de organización criminal, afectación masiva o involucramiento de entidades públicas, revela una clara apuesta por un Derecho penal de alta intensidad. El legislador equipara el tráfico de datos a formas graves de criminalidad económica y organizada.
Desde la política criminal, esta opción refleja la centralidad del dato como bien jurídico estratégico en la sociedad digital. Sin embargo, la severidad del marco punitivo plantea tensiones evidentes con el principio de proporcionalidad.
La ausencia de una graduación clara entre posesión pasiva, intercambio ocasional y explotación sistemática de datos ilícitos puede conducir a respuestas punitivas homogéneas frente a injustos materialmente distintos. Sin una adecuada individualización judicial, el sistema corre el riesgo de sancionar con igual severidad conductas de muy diversa lesividad.
Quinto: impacto en el ámbito empresarial
La reforma transforma la gestión de datos en un eje central del riesgo penal empresarial. La procedencia, trazabilidad y control de las bases de datos dejan de ser asuntos meramente técnicos o regulatorios para convertirse en elementos de relevancia penal directa.
Los programas de compliance, los DPO y los directorios deben integrar la gestión del dato en sus mapas de riesgo penal, reforzando mecanismos de debida diligencia digital, auditoría interna y control de proveedores de información.
Existe el peligro de trasladar al sector privado una carga excesiva de control penal, convirtiendo a las empresas en garantes absolutos del origen lícito de la información. El equilibrio entre prevención eficaz y seguridad jurídica será determinante para evitar un efecto inhibidor sobre actividades económicas legítimas.
Balance general
- Las exclusiones previstas consentimiento del titular, mandato judicial o administrativo, ejercicio legítimo de derechos son indispensables para preservar espacios de actuación constitucionalmente protegidos, como el periodismo de investigación, la defensa técnica o la ciberseguridad defensiva.
- Estas exclusiones no pueden interpretarse de manera formalista. De lo contrario, el tipo penal podría convertirse en un instrumento de persecución expansiva, afectando libertades fundamentales bajo el pretexto de la seguridad digital.
- El Decreto Legislativo N.° 1700 constituye una respuesta normativa necesaria frente a la realidad de la criminalidad digital contemporánea. Reconoce que el dato es hoy un activo criminal de primer orden y que su tráfico ilícito genera daños estructurales.
- No obstante, también consolida una tendencia hacia un Derecho penal de anticipación, donde la barrera de punibilidad se desplaza cada vez más lejos del daño concreto.
- La legitimidad de esta reforma no dependerá de su severidad, sino de su aplicación judicial restrictiva, respetuosa de los principios de culpabilidad, proporcionalidad y mínima intervención penal[4].
[1] Perú. Decreto Legislativo N.° 1700, que modifica la Ley N.° 30096, Ley de Delitos Informáticos. Diario Oficial El Peruano, Lima, 2026.p.234.
[2] Silva Sánchez, Jesús-María. La expansión del Derecho penal. Aspectos de la política criminal en las sociedades postindustriales. 2.ª ed., Madrid: Civitas, 2001.p.124.
[3] Mir Puig, Santiago. Derecho penal. Parte General. 10.ª ed., Barcelona: Reppertor, 2016.p.35.
[4] Roxin, Claus. Derecho penal. Parte General. Tomo I. 2.ª ed., Madrid: Civitas, 1997.p.342.
