El nuevo delito informático de comercialización de datos personales, regulado en el artículo 12 – A del Decreto Legislativo Nro. 1741, configura un tipo penal de amplio alcance que no solo sanciona la obtención ilícita de información, sino que abarca toda la cadena de circulación ilícita de datos informáticos obtenidos sin consentimiento de su titular, mediante la vulneración de sistemas de seguridad o a través de la comisión de un delito informático.
En efecto, se ha optado por un tipo penal amplio que abarca diversos verbos rectores —como poseer, comprar, recibir, vender, comercializar, facilitar, intercambiar o traficar— con el objeto de sancionar a toda la cadena comercialización de datos personales que son adquiridos ilícitamente y utilizados por organizaciones criminales para cometer extorsiones y otros delitos graves.
Este tipo penal implica un cambio sustancial en la delimitación de la responsabilidad penal, en la medida en que esta ya no se restringe a quien accede ilegítimamente a la información con conocimiento de su origen ilícito, sino que se extiende también a quienes, atendiendo a las circunstancias del caso, debieron presumir que los datos fueron obtenidos sin consentimiento del titular, mediante la vulneración de sistemas de seguridad o a través de la comisión de un delito informático.
En tal sentido, este delito sanciona también a quien no cumplió con sus deberes de diligencia y prevención.
Asimismo, la amplitud de los verbos rectores permite que conductas que, en apariencia, forman parte de las operaciones regulares de una empresa —como la adquisición de bases de datos, el intercambio de información con empresas del mismo grupo económico o el uso de datos personales con fines comerciales— puedan ser subsumidas en el tipo penal, siempre que se verifique que estos datos comercializados tienen un origen ilícito.
Esto resulta especialmente relevante en áreas como marketing, recursos humanos, relaciones públicas o cadena de abastecimiento, donde el tratamiento de datos personales constituye una práctica habitual.
De igual manera, existe el riesgo de incurrir en responsabilidad por omisión para funcionarios y directivos, incluyendo al Oficial de Datos Personales, en aquellos supuestos en los que, teniendo el deber de control o supervisión, no adopten medidas razonables para prevenir la comisión del delito.
No obstante, el alcance del tipo penal no es absoluto. La propia norma prevé supuestos de exclusión de responsabilidad cuando la adquisición, posesión, intercambio o tratamiento de datos se realiza con autorización del titular, por mandato judicial o administrativo, en ejercicio legítimo de derechos fundamentales o de funciones legalmente reconocidas, así como en el marco de actividades desarrolladas en sectores regulados —como el bursátil, financiero, previsional o de seguros—, siempre que no exista una finalidad de aprovechamiento ilícito o de comercialización indebida de la información.
Estas excepciones delimitan el ámbito de aplicación del tipo penal, pero no eliminan la necesidad de una adecuada gestión de riesgos por parte de las empresas.
En conclusión, resulta imprescindible la implementación de programas integrales de compliance en materia de protección de datos personales, que incluyan la identificación y gestión de riesgos, la adopción de controles internos efectivos, capaciones y la realización de revisiones periódicas de sus procesos.
Del mismo modo, es necesario dotar a los funcionarios que trabajen con datos personales las herramientas suficientes para prevenir el tratamiento de datos de origen ilícito, así como delimitar de manera clara las responsabilidades en los instrumentos de gestión interna. Finalmente, es fundamental garantizar la trazabilidad y licitud en el origen, tratamiento y uso de las bases de datos, a fin de prevenir contingencias penales.