El 28 de enero de 1981, en la Ciudad de Estrasburgo, el Consejo de Europa adoptó el Convenio 108 y se inició la firma del primer tratado internacional de protección a las personas ante el tratamiento automatizado de los datos de carácter personal. En 2006, Europa escogió dicha fecha para celebrar el Día Internacional de la Protección de Datos Personales, e invitó al mundo entero a concienciar sobre la importancia del respeto a la privacidad de la información.
En nuestro país los datos privados están protegida por la Ley de Protección de Datos Personales (Ley N.° 29733). En ella se resguarda toda la información sobre una persona natural que la identifica o la hace identificable, pasando desde la dirección de su domicilio hasta el historial crediticio. La norma pone especial énfasis en el cuidado de los datos sensibles, prohibiendo su almacenamiento o comercialización sin autorización expresa del ciudadano. En este segundo grupo están los datos biométricos, ingresos económicos, convicciones políticas, historia clínica o preferencias sexuales, entre otros.
La norma contempla que toda esa información que nos identifica y que se encuentran vinculada con la intimidad de la persona puede ser utilizada con fines inadecuados para discriminar, excluir o dar trato diferenciado a las personas, lo cual está prohibido. Además, puede ser usada para cometer fraudes o otros tipos de delitos, que se van volviendo cada vez más sofisticados. Atendiendo a ello, el reglamento de la Ley N.° 29733 establece actualizaciones en las exigencias a cumplir, incluyendo tener un oficial de protección de datos.
«La protección de datos ya no solo es un tema técnico; hoy es una prioridad legal, reputacional y financiera para negocios de todos los tamaños. La nueva normativa exige normativas estrictas para prevenir incidentes, notificar filtraciones y fortalecer los sistemas de seguridad», comentó Yanett Aybar, gerente central de Riesgos de Compartamos Banco.
Cuando las empresas no cumplen con cuidar adecuadamente estos datos que manejan de sus clientes reciben por ley una multa. La Autoridad Nacional de Protección de datos (ANPD), que depende del Ministerio de Justicia y Derechos Humanos (Minjusdh), informó que en 2025 impuso multas por más de S/ 11,3 millones por incumplimiento de la ley vigente y su nuevo reglamento. Además, fiscalizó a 760 entidades, inició 136 procedimientos sancionadores y se emitieron 211 resoluciones administrativas en primera y segunda instancia.
Solo entre las entidades financieras, precisó la ANPD, impusieron multas por hasta S/ 577 368 por el tratamiento indebido de datos personales biométricos, una práctica que pone en riesgo la seguridad, identidad y privacidad de los ciudadanos. Los sancionados fueron el Banco de Crédito del Perú (BCP), Alfin Banco y BanBif, luego de comprobarse la recolección, almacenamiento y uso no informado de huellas dactilares y datos biométricas.
«La protección de datos ya no solo es un tema técnico; hoy es una prioridad legal, reputacional y financiera para negocios de todos los tamaños. La nueva normativa exige normativas estrictas para prevenir incidentes, notificar filtraciones y fortalecer los sistemas de seguridad».
Yanett Aybar, gerente central de Riesgos de Compartamos Banco
Nuevas penalidades
Además de las multas a las empresas o entidades públicas por el tratamiento inadecuado de las bases de datos de sus clientes, quienes manipulan o utilizan dichos datos con fines delictivos son sancionados en el ámbito penal de acuerdo a lo dispuesto en la Ley N.º 30096, Ley de Delitos Informáticos. Ahí están incluidos los que roban datos vía phishing, quienes los usan para robar suplantando la identidad y quienes hackean un banco para robar datos.
Varios casos de este tipo de delitos llamaron la atención de la prensa en 2024 y 2025. Algunos fueron muy sonados, como la publicación de los datos de los padrones electorales de Reniec, el acceso a los datos de los ciudadanos de Miraflores y la filtración de bases de datos de Movistar e Interbank. A nivel de denuncias, la Fiscalía ha reportado, solo entre enero y setiembre del 2025, 7 508 por delitos informáticos contra la fe pública (7 507 por suplantación de identidad para obtener beneficios económicos o extorsionar), 593 denuncias por acceso ilícito a datos y sistemas informáticos y 89 atentados contra la integridad de los datos informáticos.
Ante la preocupación por la presencia de este tipo de delitos que no respetan el dato privado, el presidente José Jerí Oré ha publicado el 24 de enero del 2026 el Decreto Legislativo N.° 1700, el cual modifica la Ley N.º 30096 e incorporando el delito de «Adquisición, Posesión y Tráfico Ilícito de Datos Informáticos». Esto fue viable porque el Congreso de la República otorgó al Poder Ejecutivo la facultad de legislar en materias de seguridad ciudadana por 60 días.
A nivel de denuncias, la Fiscalía ha reportado, solo entre enero y setiembre del 2025, 7 508 por delitos informáticos contra la fe pública (7 507 por suplantación de identidad para obtener beneficios económicos o extorsionar), 593 denuncias por acceso ilícito a datos y sistemas informáticos y 89 atentados contra la integridad de los datos informáticos.
La norma sanciona a quien posea, compre, reciba, venda, comercialice, facilite, intercambie o trafique datos informáticos, credenciales de acceso o bases de datos personales que fueron obtenidos sin consentimiento del titular, ya sea mediante la vulneración de sistemas de seguridad o como resultado de otro delito informático. La pena será de 5 a 8 años de prisión y 180 a 365 días-multa y sube hasta 10 años si se es parte de una organización criminal, se genera un grave perjuicio patrimonial o la base de datos estaba custodiada por una entidad pública.
Por ejemplo, si se compra una base de datos, que incluyen correos y número celulares, en las inmediaciones de Wilson o en alguna red social para enviar información publicitaria de algún producto o servicio que vendemos, solo por el hecho de tener esos datos que pueden haber sido obtenidos de manera ilícita, se está cometiendo un delito penado por ley.
La medida no incluye responsabilidad penal cuando el tratamiento o intercambio de datos se realice con autorización expresa del titular, por mandato judicial o administrativo, o en el ejercicio legítimo de derechos fundamentales y no exista una comercialización indebida. La idea es frenar la venta de información digital obtenida ilegalmente y fortalecer la confianza digital en el país.
