Incorporación del Delito de Adquisicion, Posesion y Trafico Ilicito de Datos Informaticos

 EN EL PERU POR DECRETO LEGISLATIVO 1700, publicado el 24 de enero de 2026,  se MODIFICA LA LEY Nº 30096, LEY DE DELITOS INFORMÁTICOS, INCORPORANDO EL DELITO DE ADQUISICIÓN, POSESIÓN Y TRÁFICO ILÍCITO DE DATOS INFORMÁTICOS

Objeto

Tiene por objeto modificar la Ley Nº 30096, Ley de Delitos Informáticos, incorporando un tipo penal autónomo que sancione la posesión, compra, recepción, venta, comercialización, intercambio, facilitamiento o tráfico ilícito de datos informáticos obtenidos sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático.

Finalidad

La finalidad es fortalecer la seguridad y confianza digital a nivel nacional, incluyendo la ciberseguridad, y materializar la tutela penal reforzada del derecho fundamental a la autodeterminación informativa, elevando el estándar de protección frente a conductas que generan afectaciones masivas y sistemáticas en el entorno digital.

Modificación de la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el artículo 12-A

Se modifica la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el artículo 12-A, el cual queda redactado en los siguientes términos:

“Artículo 12-A.- Adquisición, posesión y tráfico ilícito de datos informáticos

El que posee, compre, recibe, comercialice, vende, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, teniendo conocimiento o debiendo presumir que se obtuvo sin consentimiento de su titular o mediante la vulneración de sistemas de seguridad o la comisión de un delito informático, es reprimido con pena privativa de libertad no menor de cinco (5) ni mayor de ocho (8) años y con ciento ochenta (180) a trescientos sesenta y cinco (365) días-multa.

La pena privativa de libertad es no menor de ocho (8) ni mayor de diez (10) años, e inhabilitación, cuando:

a) El agente actúa como integrante de una organización criminal;

b) Se cause perjuicio patrimonial grave o afectación a una pluralidad de personas; o

c) La base de datos es procesada o custodiada por una entidad pública.

Queda exceptuada de responsabilidad penal la adquisición, posesión, intercambio o tratamiento de datos informáticos cuando estas conductas se realicen con autorización expresa del titular, conforme a la Ley Nº 29733, Ley de Protección de Datos Personales, en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni de comercialización indebida de la información”.

Comentarios

Se fundamenta la dación de esta norma afirmando lo siguiente: " Que, en ese sentido, resulta necesario modificar la Ley Nº 30096, Ley de Delitos Informáticos, incorporando el delito de adquisición, posesión y tráfico ilícito de datos informáticos, a fin de fortalecer la seguridad y confianza digital a nivel nacional, comprendiendo la ciberseguridad, y materializar la tutela penal reforzada del derecho fundamental a la autodeterminación informativa, elevando el estándar de protección frente a conductas que generan afectaciones masivas y sistemáticas en el entorno digital"

Debe tenerse en cuenta que, la comercialización y tráfico ilícito de información digital obtenida sin consentimiento del titular o mediante la vulneración de sistemas de seguridad constituye una conducta de elevada lesividad social, en tanto afecta de manera directa la seguridad de los datos, la autodeterminación informativa y la confianza en los sistemas informáticos, generando un riesgo estructural para la seguridad ciudadana y el adecuado funcionamiento de los servicios públicos y privados en el entorno digital