Protección de datos personales en Perú: el nuevo riesgo penal que debe preocupar a la alta dirección

La protección de datos personales en el Perú acaba de ingresar a una nueva dimensión de riesgo. Con la publicación del Decreto Legislativo 1700, que modifica la Ley de Delitos Informáticos, el tratamiento indebido de datos personales deja de ser solo un problema administrativo o de cumplimiento normativo y pasa a tener consecuencias penales directas para las organizaciones y quienes toman decisiones.

Para gerentes, directores y dueños de empresas, este cambio normativo exige una revisión inmediata del nivel real de exposición legal de la compañía.

‍

‍

‍

¿Qué introduce el Decreto Legislativo 1700?

El Decreto Legislativo 1700 incorpora un nuevo delito penal: la adquisición, posesión y tráfico ilícito de datos personales.

Esto implica que ya no solo se sanciona al autor de una filtración o sustracción de información, sino también a quien:

• Posee bases de datos personales obtenidas ilícitamente
• Compra o recibe datos personales sin consentimiento válido
• Comercializa o facilita información proveniente de brechas de seguridad
• Utiliza datos cuyo origen no puede ser legalmente justificado

En determinados supuestos agravados, las penas pueden llegar hasta los 10 años de prisión, además de las consecuencias económicas y reputacionales asociadas.

De un riesgo administrativo a un riesgo penal empresarial

Antes: sanciones administrativas y contingencias económicas

Tradicionalmente, la protección de datos personales se abordaba desde una lógica de cumplimiento formal: registros, políticas internas y eventuales multas impuestas por la Autoridad Nacional de Protección de Datos Personales.

Ahora: responsabilidad penal reforzada

Con este nuevo marco, una gestión deficiente de datos personales puede generar:

• Investigaciones penales contra directivos o responsables funcionales
• Riesgos personales para quienes autoricen, toleren o no controlen prácticas indebidas
• Daño reputacional severo frente a clientes, inversionistas y socios estratégicos
• Impacto directo en operaciones, licitaciones y relaciones comerciales

La inacción o el cumplimiento meramente documental se convierte en un factor de riesgo.

¿Quiénes están en mayor riesgo dentro de la empresa?

Este cambio normativo no se limita al área legal o de tecnología. El foco se amplía a toda la estructura de decisión:

1. Alta dirección y directorio

• Definen el tono de cumplimiento y asignan recursos
• Aprueban estructuras de gobierno y control interno
• Responden por fallas sistémicas de supervisión

2. Gerencias operativas y comerciales

• Gestionan bases de datos de clientes, proveedores y trabajadores
• Toman decisiones sobre uso, intercambio y almacenamiento de información

3. Áreas de TI, marketing y recursos humanos

• Acceden y procesan grandes volúmenes de datos personales
• Son puntos críticos frente a brechas de seguridad y accesos indebidos

Preguntas clave que hoy debe hacerse toda empresa

Frente al nuevo escenario penal, existen interrogantes estratégicas que la organización no puede seguir postergando:

1. ¿La empresa cuenta con un Oficial de Datos Personales formalmente designado?

No se trata solo de un nombramiento nominal, sino de un rol con funciones reales, autonomía y capacidad de supervisión efectiva.

2. ¿La adecuación al reglamento es sustantiva o solo documental?

Políticas internas sin controles, auditorías ni capacitación generan una falsa sensación de cumplimiento.

3. ¿Existe trazabilidad y control sobre los datos que se gestionan?

La empresa debe poder explicar qué datos tiene, de dónde provienen, quién accede y para qué se usan.

4. ¿Se gestionan adecuadamente los riesgos de terceros?

Proveedores, outsourcers y aliados comerciales pueden ser fuentes indirectas de responsabilidad penal si no existen controles contractuales y operativos.

Protección de datos como tema de gobierno corporativo

Cuando el dato personal adquiere relevancia penal, la gestión de datos deja de ser un tema técnico y se convierte en un asunto de gobierno corporativo y gestión de riesgos empresariales.

Hoy, la protección de datos personales debe estar en la agenda del:

• CEO
• Directorio
• Comité ejecutivo
• Comité de riesgos o compliance

No como un asunto reactivo, sino como parte de una estrategia preventiva que reduzca contingencias legales y preserve la continuidad del negocio.

Conclusión: la exposición ya existe, la decisión es cómo gestionarla

El Decreto Legislativo 1700 marca un punto de inflexión. Las empresas que no revisen de manera seria su modelo de gestión de datos personales asumen un riesgo que ya no es solo económico, sino personal y penal para quienes dirigen la organización.

Evaluar el nivel real de exposición, fortalecer controles internos y alinear la gestión de datos con este nuevo marco legal es hoy una decisión estratégica, no opcional.

Si tu organización necesita una evaluación profesional del impacto de estos cambios y del nivel de riesgo actual, Contáctanos.