El 24 de enero de 2026, el Gobierno publicó el Decreto Legislativo N° 1700, mediante el cual modificó la Ley de Delitos Informáticos para incorporar un nuevo tipo penal orientado a sancionar el tráfico ilícito de datos personales.
Con la modificación, se sancionará con pena privativa de libertad no menor de 5 ni mayor de 8 años y con 180 a 365 días-multa a quien posea, compre, reciba, comercialice, venda, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales, cuando conozca o deba presumir que dicha información se obtuvo sin el consentimiento del titular, mediante la vulneración de sistemas de seguridad de la información o a través de la comisión de un delito informático.
La pena se elevará a no menos de 8 ni más de 10 años, e inhabilitación, cuando:
- El infractor actúe como integrante de una organización criminal;
- Se cause perjuicio patrimonial grave o se afecte a una pluralidad de personas; o
- Se trate de una base de datos procesada o custodiada por una entidad pública.
La norma excluye de responsabilidad penal cuando estas conductas se realizan con autorización expresa del titular (conforme a la normativa de protección de datos personales), en cumplimiento de un mandato judicial o administrativo emitido conforme a ley, o en el ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, siempre que no exista finalidad de aprovechamiento ilícito ni comercialización indebida de la información.
La modificación incorporada por el Decreto Legislativo N° 1700 entró en vigor el 25 de enero de 2026.
Para mayor información:
▪️ Jessica Hondermann – jessica.hondermann@santivanez.com.pe
▪️ Percy Samaniego Pimentel – percy.samaniego@santivanez.com.pe
▪️María del Pilar Sánchez Cateriano – mariadelpilar.sanchez@santivanez.com.pe