¿Está tu empresa incurriendo en una infracción penal sin saberlo? La nueva frontera penal de los datos personales

En los últimos años, muchas empresas en la República Dominicana han comenzado a familiarizarse con conceptos como políticas de privacidad, consentimiento y seguridad de la información. Sin embargo, una realidad menos discutida -y potencialmente más riesgosa- es el avance hacia la penalización directa del uso indebido de datos personales. Resulta que el artículo 198 del nuevo Código Penal introduce un cambio relevante en la forma en que deben entenderse los riesgos asociados al tratamiento de datos. Ya no se trata únicamente de un tema de cumplimiento administrativo o reputacional; ciertas conductas vinculadas al manejo de datos pueden constituir delitos penales.

De manera puntual, la disposición sanciona a quien recolecte, conserve o comercialice datos personales mediante procedimientos automatizados sin el consentimiento del titular, o incluso cuando dicho consentimiento haya sido retirado. Asimismo, penaliza el acceso indebido y la divulgación de información privada.

Este punto es particularmente crítico, porque en la práctica empresarial actual muchas operaciones dependen precisamente de estos procesos: bases de datos de clientes, campañas de marketing digital, herramientas de analítica, outsourcing tecnológico, entre otros. En ese contexto, la línea entre una operación legítima y una conducta penalmente sancionable puede volverse difusa si no existen controles adecuados.

Más aún, el elemento doloso que exige la norma no necesariamente implica una intención maliciosa en el sentido tradicional. Puede configurarse, en ciertos escenarios, a partir de decisiones conscientes de negocio que ignoran riesgos legales evidentes, como continuar utilizando una base de datos pese a la revocación del consentimiento, o compartir información con terceros sin base legal suficiente y sin los acuerdos correspondientes que autorizan dicha cesión.

A este escenario se suma un factor que está redefiniendo completamente el alcance del riesgo: el uso de sistemas de inteligencia artificial. Muchas organizaciones están incorporando herramientas de IA para analizar grandes volúmenes de datos, automatizar decisiones o perfilar clientes, en ocasiones sin tener plena visibilidad sobre el origen de los datos utilizados ni sobre la base legal que legitima su tratamiento. Esto es particularmente delicado, ya que estos sistemas no solo procesan datos personales, sino que pueden amplificar su uso, combinarlos con otras fuentes y generar inferencias sensibles. En este contexto, el uso de inteligencia artificial sin controles adecuados puede no solo agravar una infracción, sino también facilitar la configuración del elemento doloso exigido por la norma, especialmente cuando la empresa es consciente del riesgo y, aun así, decide continuar con el tratamiento. Por tanto, la gobernanza de datos en entornos de IA se convierte en un componente esencial para mitigar exposición legal y, ahora, también penal.

Por otro lado, el artículo 199 del nuevo Código Penal amplía significativamente el alcance del riesgo al establecer la posible responsabilidad penal de las personas jurídicas. Esto implica que no solo los individuos, sino también las empresas, pueden enfrentar consecuencias legales -de índole penal- directas por prácticas indebidas en el manejo de datos.

Este aspecto marca un punto de inflexión: el tratamiento de datos personales deja de ser un tema exclusivo de áreas técnicas o de cumplimiento, y pasa a ser una prioridad estratégica para la alta dirección. La ausencia de políticas claras, controles internos, trazabilidad del consentimiento o gestión de los datos personales puede traducirse en exposición penal. Ahora bien, la norma también prevé excepciones cuando existe autorización legal o judicial, lo que reafirma un principio fundamental: el tratamiento de datos no es ilegal per se, pero requiere una base legal clara y verificable.

En este nuevo entorno, las empresas deben replantear su enfoque. No basta con tener una política de privacidad publicada en la página web. Es necesario implementar programas integrales que incluyan:

• Gestión activa del consentimiento.
• Revisión de contratos con proveedores.
• Auditorías internas de datos.
• Capacitación del personal.
• Mecanismos de respuesta ante incidentes.

La pregunta ya no es si una empresa cumple formalmente con la normativa, sino si está en capacidad de demostrar que sus procesos de tratamiento de datos son legales, controlados y trazables. Esto cobra aún más relevancia en un contexto como el de la República Dominicana, donde -si bien todavía no contamos con una ley de protección de datos personales plenamente actualizada- ya se empieza a impulsar su discusión en el Congreso Nacional. En ese escenario, podría pensarse que el riesgo regulatorio sigue siendo limitado o incipiente. Sin embargo, esa percepción es engañosa. Las disposiciones del nuevo Código Penal, en particular el artículo 198, introducen un régimen que, en la práctica, puede resultar incluso más inmediato y contundente: la posibilidad de que cualquier persona afectada por un uso indebido de sus datos personales inicie acciones penales. Esto cambia radicalmente la ecuación de riesgo para las empresas.

Ya no se trata únicamente de evitar sanciones administrativas futuras, sino de enfrentar potenciales procesos penales en el presente, con todo lo que ello implica, como daños reputacionales, exposición mediática, distracción de la alta gerencia, y una inversión significativa de tiempo y recursos económicos en la defensa.

En definitiva, estas nuevas disposiciones del Código Penal no solo introducen un tipo penal; redefinen el estándar de diligencia empresarial en materia de datos personales. Ignorar este cambio no es simplemente un riesgo regulatorio: puede convertirse en un riesgo penal real. Este es, además, un momento clave, pues el nuevo Código Penal entrará en vigencia en agosto de 2026, lo que otorga a las empresas unos meses valiosos para ponerse al día, revisar sus prácticas y asegurar que su gestión de datos personales esté alineada con este nuevo estándar antes de que el riesgo penal sea plenamente exigible.