El uso de datos personales se ha vuelto parte del día a día de empresas, comercios y creadores de contenido. Bases de datos para campañas comerciales, videos promocionales con clientes o trabajadores, imágenes almacenadas en redes sociales y material reutilizado para publicidad son prácticas habituales que, hasta ahora, se analizaban casi exclusivamente desde el ámbito administrativo.
Ese escenario cambió con la entrada en vigencia del Decreto Legislativo N.º 1700, que incorporó un nuevo delito a la Ley de Delitos Informáticos y elevó el tratamiento del uso indebido de datos personales al terreno penal.
La norma, pensada originalmente para combatir el tráfico ilegal de información y el mercado negro de bases de datos, tiene una redacción amplia que va más allá del hackeo y abre interrogantes sobre su impacto en actividades empresariales cotidianas.
¿Dónde están hoy los límites? ¿En qué casos el manejo o la simple conservación de datos personales sin autorización puede dejar de ser una infracción administrativa y convertirse en un problema penal? La amplitud del nuevo delito obliga a revisar prácticas que antes se consideraban de bajo riesgo legal.
LEA TAMBIÉN: Empresas y bancos deberán proteger mejor datos de clientes, ¿quién los cuidará?
Nuevo delito
El Decreto Legislativo N.º 1700 modifica la Ley de Delitos Informáticos e incorpora un nuevo tipo penal que sanciona la adquisición, posesión y tráfico ilícito de datos informáticos.
La norma no se limita a castigar el hackeo o la sustracción de información, sino que alcanza a quien posee, recibe, guarda, facilita o comercializa datos personales obtenidos sin consentimiento del titular, siempre que exista conocimiento —o el deber de presumir— de ese origen ilícito.
Este alcance es el que marca el principal cambio frente al régimen previo. Al incluir expresamente la posesión dentro de las conductas sancionables, el nuevo delito abre la puerta a que la sola conservación de datos personales sin autorización, cuando está vinculada a un uso indebido o potencial aprovechamiento económico, pueda ser evaluada en sede penal.
La pena prevista es de cinco a ocho años de prisión, con agravantes que elevan la sanción hasta diez años cuando existe afectación a varias personas, perjuicio grave o cuando los datos son administrados por una entidad pública.
El decreto también establece exclusiones de responsabilidad, precisando que no hay delito cuando el tratamiento de datos cuenta con autorización expresa del titular, responde a un mandato judicial o administrativo, o se realiza en el ejercicio legítimo de derechos fundamentales, siempre que no exista finalidad de aprovechamiento ilícito ni comercialización indebida.
Sin embargo, la amplitud del tipo penal introduce un nuevo estándar de riesgo: ya no solo importa cómo se obtienen los datos, sino también quién los conserva, para qué y bajo qué condiciones, desplazando parte del análisis desde el ámbito administrativo hacia una eventual evaluación penal.
LEA TAMBIÉN: Ransomware como modelo de negocio: ¿Cuánto pueden costar nuestros datos en el mercado negro?
Un cambio de régimen que alcanza la actividad cotidiana
Para Pierino Stucchi, socio de Stucchi Abogados, el Decreto Legislativo N.º 1700 no se queda en el combate al hackeo o al tráfico masivo de bases de datos, sino que impacta directamente en actividades comerciales habituales.
La norma, explica, traslada parte del análisis desde el ámbito administrativo hacia el penal, lo que obliga a revisar prácticas extendidas en comercios, publicidad y entornos digitales.
Antes de esta norma, el uso indebido de datos personales se resolvía, en la mayoría de casos, con sanciones administrativas. Con el nuevo delito, determinadas conductas —cuando existe conocimiento de la falta de consentimiento— pueden generar responsabilidad penal para personas naturales, no para la empresa como tal.
Comercios y empresas: ¿hay riesgo?
Stucchi advierte que uno de los focos de riesgo está en comercios y empresas que conservan datos personales sin autorización válida. Esto incluye bases de datos de clientes, registros de contactos, imágenes y videos utilizados para promociones, así como material publicitario reciclado para nuevas campañas.
“No solo se castiga vender o comprar bases de datos. También se castiga al que hoy las posee, sabiendo que no tienen consentimiento”, señala.
En la práctica, esto puede afectar a negocios que continúan utilizando información recopilada años atrás sin poder demostrar la trazabilidad ni la autorización correspondiente.
Desde la óptica penal, Dino Carlos Caro Coria, socio fundador de Caro & Asociados, complementa este análisis señalando que el mayor riesgo se presenta cuando se trata de información reservada o especialmente protegida, como antecedentes penales, información médica o datos tributarios, a los que solo determinadas entidades están legalmente autorizadas a acceder.
LEA TAMBIÉN: MEF plantea que bancos accedan a datos migratorios para frenar suplantación
Publicidad y marketing: del uso comercial al riesgo penal
En el ámbito publicitario, ambos abogados coinciden en que el nuevo delito obliga a revisar el uso de imágenes, testimonios y bases de datos con fines comerciales.
Stucchi explica que la regla general sigue siendo el consentimiento, y que utilizar datos personales para publicidad sin autorización ya no debe verse solo como una infracción administrativa.
La reutilización de videos promocionales con trabajadores o clientes, el uso de testimonios no consentidos o el empleo de bases de datos para campañas de prospección pueden generar riesgo penal cuando se acredita que los responsables conocían —o debían conocer— que no existía consentimiento válido.
Caro Coria introduce un matiz relevante: el derecho penal no está pensado para sancionar cualquier conflicto publicitario, ni para proteger el derecho a la imagen en abstracto.
El foco penal aparece cuando se trata de datos reservados con valor económico en el mercado ilícito y existe una conducta dolosa, no meramente negligente.
Streamers y creadores de contenido
El análisis también alcanza a streamers e influencers, aunque con límites claros. Stucchi señala que la imagen es un dato personal y que almacenarla y explotarla económicamente sin consentimiento puede ser problemático, sobre todo cuando se conserva el contenido y se reutiliza de forma monetizada.
Desde el enfoque penal, Caro Coria aclara que no todo streaming genera responsabilidad penal. El uso de imágenes de fuentes públicas o apariciones incidentales no activa el delito. Sin embargo, la posesión dolosa de información reservada, obtenida vulnerando la privacidad, sí puede encajar en el tipo penal.
Ambos coinciden en que los conflictos vinculados únicamente al derecho a la imagen suelen resolverse en la vía civil o administrativa. El riesgo penal aparece cuando el contenido se convierte en un insumo económico basado en datos que se sabe no están autorizados.
LEA TAMBIÉN: ¿Las publicaciones en redes sociales personales pueden afectar tu puesto laboral?
Abogado especialista encargado de Enfoque Legal en Diario Gestión - Actualmente, ocupa la posición de analista legal en el área de Economía en el Diario Gestión.
