Datos personales: riesgos penales que no deben ignorarse

La falta de supervisión y de control sobre cómo se recogen y utilizan los datos se ha convertido en un riesgo legal concreto para las organizaciones, tras la reciente promulgación del Decreto Legislativo N° 1700.

La norma no solo sanciona el acceso ilícito a sistemas informáticos –es decir, el “hackeo”–, sino también la posesión, adquisición, comercialización o intercambio de datos personales cuando se conoce –o debía presumirse– que estos fueron obtenidos sin consentimiento, mediante la vulneración de sistemas o como resultado de un delito informático previo.

La compra de bases de datos sin validación, la aprobación de campañas con información de procedencia incierta, o la conservación de historiales sin consentimiento documentado o de repositorios sin trazabilidad, son algunos casos en los que quienes toman decisiones pueden tener responsabilidad penal, si se comprueba que sabían —o debían saber— que los datos eran irregulares.

Aunque la responsabilidad penal por este delito recae exclusivamente en personas naturales, cuando las conductas se cometen en el ámbito de la organización o en su beneficio, la persona jurídica puede ser incorporada al proceso penal y quedar sujeta a consecuencias accesorias, como la clausura temporal de locales, la suspensión de actividades vinculadas al tratamiento de datos, la intervención judicial o incluso la disolución.

En este escenario, cobra mayor importancia el rol del Oficial de Datos Personales (ODP) como órgano de asesoría y supervisión. Sin embargo, cabe señalar que éste no asume responsabilidad penal ni administrativa por las infracciones vinculadas al tratamiento de datos —las cuales recaen en el responsable del tratamiento—, salvo que haya incumplido sus obligaciones, teniendo responsabilidad en casos de dolo, fraude, encubrimiento o manipulación de información, etc.

Las empresas deben adoptar medidas inmediatas y estructurales: auditar integralmente sus bases de datos personales; verificar que los consentimientos sean expresos, informados y documentados; suspender el uso y eliminar de forma segura la información de origen incierto; reforzar la debida diligencia con proveedores; y fortalecer los programas de cumplimiento con capacitación periódica y registro de cada medida adoptada.

Integrar la protección de datos dentro del gobierno corporativo, anticipando riesgos y garantizando la trazabilidad de la información, es ahora imprescindible para proteger la reputación, el valor y la continuidad de la empresa.