Escrito por: Henry Guerrero & Javier Güere | Especialistas en Seguridad de la Información de RSM Perú

 

El reciente incidente que involucró al Registro Nacional de Identificación y Estado Civil (RENIEC) puso nuevamente sobre la mesa el debate entre transparencia electoral y protección de datos personales.

Entre el 27 y el 31 de octubre de 2025, RENIEC publicó la Lista del Padrón Inicial (LPI) correspondiente a las Elecciones Generales 2026, con el objetivo de permitir la revisión ciudadana de los datos electorales.

🔍 ¿Qué ocurrió?

Durante la publicación del padrón, la plataforma web del RENIEC permitió que cualquier usuario, ingresando un número de DNI, pudiera acceder a información personal sensible de los ciudadanos inscritos, incluyendo nombres completos, direcciones exactas y fotografías.

Expertos en ciberseguridad advirtieron que esta exposición masiva facilitaba la extracción automatizada de datos (scraping), incrementando el riesgo de suplantación de identidad, extorsión y fraude digital en un contexto de creciente ciberdelincuencia en el país.

🏛️¿Qué postura y medidas adoptó RENIEC?

RENIEC defendió la publicación señalando que se trataba de un acto legal y obligatorio, sustentado en el Artículo 203 de la Ley N° 26859, Ley Orgánica de Elecciones, la cual exige la consignación pública de nombres, DNI, fotografía, firma digitalizada y lugar de sufragio. Sin embargo, ante la ola de críticas, la entidad implementó medidas correctivas, como:

  1. Reducir el tiempo de acceso a un minuto por sesión.
  2. Restringir las búsquedas por IP.

Aun así, los especialistas consideraron insuficientes estas acciones, argumentando que el problema no radicaba en la velocidad de acceso, sino en haber publicado datos sensibles sin las salvaguardas digitales adecuadas.

⚖️ El conflicto legal: Ley 26859 vs. Ley 29733

Este caso evidenció el choque entre dos marcos normativos vigentes en el Perú:

  • Ley N° 26859 (Ley Orgánica de Elecciones, 1997): prioriza la transparencia electoral y la verificación ciudadana, en un contexto originalmente físico.
  • Ley N° 29733 (Ley de Protección de Datos Personales, 2011): protege el derecho fundamental a la autodeterminación informativa y exige que el tratamiento de datos sea proporcional, adecuado y seguro.

El punto de colisión radica en que la Ley de Protección de Datos considera desproporcionado publicar domicilios exactos o datos biométricos para un fin de verificación, algo que la Autoridad Nacional de Protección de Datos Personales (ANPD) ya había advertido previamente.

Así, el incidente fue consecuencia directa de una interpretación literal de una ley antigua en un entorno digital moderno, exponiendo datos de millones de ciudadanos.

🔐 Datos sensibles al descubierto: la trampa de las soluciones reactivas

Cuando ocurre una exposición de datos, las instituciones suelen optar por medidas reactivas que buscan contener el daño inmediato —como limitar el tiempo de acceso o bloquear IPs—, pero no solucionan el error estructural: la publicación masiva de información innecesaria.

La verdadera prevención requiere aplicar el principio de “Privacidad desde el diseño” (Privacy by Design), incorporando controles de seguridad desde el inicio de todo proceso digital.

 

🧭 Lección de riesgo: armonizar, no exponer

La lección más relevante de este caso es que las entidades públicas deben interpretar las normas de forma sistemática, ponderando la transparencia con el derecho constitucional a la autodeterminación informativa (Artículo 2, inciso 6 de la Constitución).

Proteger los datos personales no limita la transparencia, la fortalece, al garantizar la confianza ciudadana.

Para ello, se requieren:

  • Lineamientos técnicos claros en todas las entidades.
  • Evaluaciones de Impacto en la Privacidad (PIA) previas a cualquier publicación masiva.

 

¿Está realmente tu entidad gestionando la protección de datos con una visión de futuro?

En un entorno digital donde la transparencia debe equilibrarse con la seguridad, anticiparse es la mejor defensa. Implementar un Sistema de Gestión de la Privacidad de la Información conforme a la Ley N° 29733 y la ISO/IEC 27701 no es solo cumplimiento, es confianza y reputación.

Es momento de tomar decisiones estratégicas y fortalecer la gestión de la privacidad en tu organización.
📩 Escríbenos a [email protected] para más información.

 

RSM Perú

En RSM Perú contamos con un equipo de especialistas. ¡ContáctanosNosotros te brindaremos los servicios necesarios para ayudar a tu empresa.

¡Contáctanos!

Completa el formulario y un representante de RSM se pondrá en contacto contigo

 

 Acepto los Términos y condiciones y las Politicas de Privacidad.