Derecho
Mary Bohorquez
Asociada del Estudio Olaechea
Paralelamente, ha habido un avance en la regulación para atender esta realidad marcada por nuevas modalidades delictivas.
Por ejemplo, Ley N° 30096 –Ley de Delitos Informáticos– sanciona las conductas de interceptación de datos informáticos, el fraude informático, entre otros. Esta norma está dirigida únicamente a personas naturales.
La Ley N° 29733 –Ley de Protección de Datos Personales– establece un régimen específico de sanciones administrativas frente al tratamiento indebido de datos personales por parte de personas jurídicas, así como las acciones que estas deben adoptar frente a esta situación.
En caso de incumplimiento, la referida ley establece multas que, dependiendo de la infracción, van desde 0.5 UIT hasta 100 UIT.
Ahora bien, la regulación va a requerir mejoras para adaptarse a un escenario cada vez más retador; siendo importante que las nuevas iniciativas regulatorias que se planteen estén sustentadas técnicamente.
En tal sentido, cabe señalar que a fines de octubre se presentó el Proyecto de Ley N° 13035/2025-CR, que refuerza la responsabilidad de las personas jurídicas por delitos informáticos y filtración de datos personales.
La norma, que se encuentra actualmente en la Comisión de Justicia del Congreso de la República, busca incorporar los delitos informáticos a la Ley N° 30424, que regula la responsabilidad administrativa de las personas jurídicas y cuyo alcance actual se centra en el cohecho activo transnacional, entre otros delitos.
De aprobarse el referido proyecto de ley, el incumplimiento en lo que refiere a la gestión de riesgos informáticos pasaría de ser una falta, que se resuelve por vía administrativa, a ser un delito, que amerita un proceso penal, implicando multas mayores e incluso la disolución de la persona jurídica.
Si bien esta medida puede traer consigo que las empresas refuercen sus protocolos de seguridad, prevención y respuesta antes delitos informáticos, no hay garantía de ello.
Pero más crítico es el hecho de que no hay hasta el momento el debido sustento técnico para criminalizar omisiones en la gestión de dichos protocolos. Este análisis es imprescindible para mantener el principio de última ratio del derecho penal.
Con independencia de la aprobación o no del proyecto dentro del Poder Legislativo, corresponde a las empresas implementar modelos de prevención digital, integrando la ciberseguridad como un eje central dentro de los programas de compliance, para no poner en riesgo su reputación, sus objetivos de negocio e incluso la continuidad de la organización.