Manuel Cipriano Pirgo*

Sobre los hechos ocurridos

El pasado 4 de abril, diversos diarios del país informaron sobre un hecho alarmante. Un portal web local de investigación periodística reveló la comercialización de cerca de 25 millones de fotografías de ciudadanos peruanos, obtenidas de la base de datos de la autoridad encargada del registro nacional, en una plataforma de internet.

Ante esta denuncia, la Oficina Nacional de Registro de Identificación y Estado Civil (RENIEC) confirmó la filtración de datos, atribuyendo la responsabilidad al Ministerio del Interior. El Ministerio del Interior en el Perú es el responsable de la protección de los derechos y libertades fundamentales, así como del mantenimiento y restablecimiento del orden interno, el orden público y la seguridad ciudadana.

La RENIEC precisó también que la filtración ocurrió un mes antes, debido al mal uso de sus facultades por parte de una funcionaria del Ministerio del Interior, quien tenía acceso a los registros de ciudadanos para sus labores de investigación. La referida oficina indicó que, como consecuencia de lo sucedido, había suspendido los accesos a los registros al mencionado ministerio.

Por su parte, el Ministerio del Interior señaló que, tras realizar las investigaciones pertinentes, determinó que los hechos no fueron consecuencia de un hackeo masivo, sino de una práctica conocida como “scraping”. Además, dicho ministerio afirmó que se habían tomado las medidas necesarias y establecido protocolos para controlar el acceso de sus funcionarios a la base de datos de los ciudadanos.

El marco legal de protección de los datos personales y confianza digital

Con relación al caso, es fundamental destacar la vulneración de la Ley de Protección de Datos Personales, Ley N° 29733, aprobada en el 2011. Dicha ley tiene como objetivo garantizar el derecho fundamental a la protección de los datos personales, consagrado en la Constitución Política, a través de su adecuado tratamiento y en el marco del respeto a los demás derechos fundamentales. La ley también regula los bancos de datos, definidos como el conjunto organizado de datos personales, automatizado o no, independientemente del soporte, la forma o la modalidad de su creación, formación, almacenamiento, organización y acceso. Estos bancos de datos pueden ser de administración privada o pública.

Un aspecto importante de destacar es el previsto en el artículo 17 de la referida ley que establece la obligación de confidencialidad del titular del banco de datos, el encargado y cualquier persona que intervenga en el tratamiento de los datos y sus antecedentes.
Asimismo, el nuevo reglamento de la Ley N° 29733, aprobado por Decreto Supremo N° 016-2024-JUS, vigente desde el 31 de marzo de 2025, establece en su artículo 34 que, ante un incidente de seguridad de datos personales que implique la exposición de grandes volúmenes de datos (en cantidad o tipo), que pueda afectar a un gran número de personas, que involucre datos sensibles o que cause un perjuicio evidente a los derechos o libertades del titular, el titular del banco o el responsable del tratamiento debe notificar a la Autoridad de Protección de Datos Personales (el Ministerio de Justicia, a través de la Dirección Nacional de Justicia) en un plazo máximo de 48 horas después de tener conocimiento del incidente. Si la notificación se realiza después de las 48 horas, debe incluirse la justificación correspondiente. Esta obligación se mantiene, incluso, si se considera que el incidente ha sido subsanado o resuelto. La norma también contempla la obligación de comunicar el incidente al titular de los datos (afectado) en el mismo plazo.

Por otro lado, en el país se cuenta con un Marco de Confianza Digital, aprobado por Decreto de Urgencia N° 07-2020, que tiene por objeto establecer las medidas para garantizar la confianza de las personas en su interacción con los servicios digitales de entidades públicas y privadas, y en cuyo ámbito se localiza también la protección de datos personales de los ciudadanos. Para tal efecto, se ha creado el Registro Nacional de Incidentes de Seguridad Digital, administrado por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, a donde deben reportarse todos los incidentes de seguridad digital. Dicha norma también considera a los datos personales como parte de los activos estratégicos, debiendo garantizarse el buen uso de los mismos.

Con fecha 5 de abril del presente año, se ha publicado la Resolución Ministerial N° 071-2025-PCM, proyecto de reglamento del Decreto de Urgencia N° 07-2020, que tiene por objeto desarrollar las disposiciones normativas para garantizar que las interacciones digitales de las personas con los servicios digitales prestados por las entidades públicas y privadas, se desarrollen de forma veraz, predecible, ética, proactiva, transparente, segura, inclusiva y confiable, así como, fortalecer la confianza digital.

Sobre las consecuencias legales

En primer lugar, un tema que llama la atención es la justificación del Ministerio del Interior, quien señaló que el hecho se ocasionó por una práctica de “scraping”. Sin embargo, esta modalidad de filtración no correspondería exactamente con la información que han brindado los medios periodísticos y la propia información de las autoridades. Según la información periodística y por las fotos obtenidas como prueba del delito, es posible observar que las mismas responderían a acciones generadas dentro del mismo Ministerio del Interior e, incluso, según se ha dado cuenta, aparece el nombre de la funcionaria que realizó la recopilación y que habría filtrado los datos. Por el contrario, el “scraping”, según la información obtenida de algunas portales web como ESIC, se refiere a los programas creados para visitar sitios web a fin de seleccionar las páginas relevantes y extraer información. Al automatizar este proceso, estos programas extraen enormes cantidades de datos en muy poco tiempo.

Por un tema de competencia, es la Autoridad de Protección de Datos del Ministerio de Justicia será quien deberá determinar la responsabilidad de las entidades gubernamentales y terceros, de los hechos materia de la denuncia, a través de un procedimiento administrativo sancionador. El resultado de tal procedimiento puede culminar en sanciones por responsabilidad administrativa de las entidades que pueden oscilar entre 2 y 10 Unidades Impositivas Tributarias (UIT), lo que equivale aproximadamente a $14,500.00. Esta cifra puede incrementarse hasta 10 veces en caso de persistir el incumplimiento de la ley.

Además de las sanciones administrativas, el personal de las entidades públicas responsable puede enfrentar sanciones disciplinarias, acciones por indemnización de daños y perjuicios, y hasta sanciones penales.

Con relacion a los terceros que están comercializando con los datos personales, es importante señalar que el Código Penal peruano sanciona con pena privativa de libertad de 2 a 5 años a quien comercializa o vende ilegítimamente información no pública relativa a la esfera personal, familiar, patrimonial, laboral, financiera o análoga de una persona natural.

En síntesis, se podrían identificar hasta tres responsables en el caso de la filtración de los datos. En primer lugar, las instituciones públicas RENIEC y Ministerio del Interior. La RENIEC, por no cumplir con realizar su labores, de manera diligente, en su rol de encargada de la administración de la base de datos de los ciudadanos; y el Ministerio del Interior, por el uso indebido de los datos de los ciudadanos y haber permitido la filtración misma. Finalmente, la persona o personas responsables de la filtración y comercialización de las fotografías y datos de los ciudadanos en un portal web a disposición de cualquier interesado.

Finalizada las investigaciones y en caso de determinarse responsabilidad, a las dos primeras instituciones les correspondería la sanción pecuniaria mencionada anteriormente, mientras que a los responsables de la comercialización directa de los datos, les corresponderían las sanciones penales por el delito de tráfico de datos personales.

Mensaje final

Más allá del proceso sancionador y penal que corresponde realizar, resulta sumamente preocupante que las autoridades responsables del cuidado y protección de nuestros derechos, como es la preservación de nuestros datos personales, sean precisamente quienes los han vulnerado. Igualmente, llama la atención la falta de celeridad para impedir la comercialización de nuestros datos en diversas plataformas a vista de todo el público.

Toda esta situación de la filtración de datos plantea interrogantes cruciales sobre el avance del Perú en materia de seguridad y transformación digital, el cumplimiento de las leyes por parte de las mismas autoridades, el conocimiento de los ciudadanos sobre sus derechos y los riesgos en el entorno digital.

Este caso ilustra también una situación recurrente en la que el Estado es el primero que incumple e, incluso, vulnera dolosamente la ley. Este mismo nivel de acción, o inacción, no se observa cuando la sanción recae sobre una institución privada.

Por consiguiente, si aspiramos a una auténtica transformación digital a nivel nacional, el punto de partida debe ser el propio Estado. La promulgación de leyes y normas resulta insuficiente si las instituciones no experimentan una mejora sustancial desde su interior hacia la ciudadanía. Para tal caso, en situaciones como la referida, la respuesta institucional, en términos de sanciones, debe ser mucho más ágil y contundente.

*Manuel Cipriano Pirgo
Consultor en Telecomunicaciones y TICs. Máster en Derecho Internacional Económico por la Pontificia Universidad Católica del Perú, Máster en Derecho Digital y de la Ciberseguridad por la Universidad Internacional de Valencia, Abogado de la Universidad Nacional de Trujillo-Perú.