El nuevo Código Penal dominicano: ¿un paso decisivo hacia una verdadera cultura de protección de datos?

Rebeca Cerdeiras Montero, Compliance Officer,Experta en Protección de Datos, Auditor BASC, OEA e ISO 37301.República Dominicana.

Resumen:

El nuevo Código Penal dominicano marca un antes y un después al tipificar como delito el uso indebido de datos personales y establecer la responsabilidad penal de las empresas. Este avance refuerza la Ley 172-13, reconociendo la protección de la privacidad e integrándola en el cumplimiento empresarial.

Mientras el RGPD europeo se consolida como referencia internacional, República Dominicana tiene ahora la oportunidad de modernizar su marco normativo y promover una verdadera cultura de cumplimiento.

Palabras clave: Protección de datos, ética empresarial, economía digital, responsabilidad penal de la persona jurídica, cultura de cumplimiento.

Introducción

El artículo 199 del nuevo Código Penal dominicano tipifica como delito la recolección, almacenamiento, comercialización o divulgación de datos personales sin el consentimiento de su titular por parte de la persona jurídica, marcando un punto de inflexión en la protección de la privacidad.

En la economía digital, los datos personales son el nuevo activo estratégico. Cada formulario que cumplimentamos, cada compra en línea o registro en una aplicación genera información valiosa sobre nuestras preferencias y comportamientos. Sin embargo, la gestión responsable de esos datos sigue siendo un desafío para muchas empresas y organizaciones.

Europa dio un paso firme en 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), considerado hoy un estándar internacional de referencia por su nivel de exigencia y por haber transformado la forma en que las organizaciones gestionan la información personal. El RGPD no solo impuso obligaciones técnicas y de transparencia, sino que instauró una nueva cultura de respeto a la privacidad y responsabilidad empresarial.

En la República Dominicana, la Ley No. 172-13 sobre Protección de Datos de Carácter Personal fue pionera en la región al reconocer el derecho de los ciudadanos a controlar el uso de su información. Sin embargo, su aplicación práctica sigue siendo limitada, tanto en el sector público como en el privado. La falta de actualización frente a la digitalización acelerada, la inteligencia artificial y las nuevas tecnologías hace evidente la necesidad de modernizar el marco normativo, incorporando principios y sanciones que respondan a la realidad actual.

Hoy, más que nunca, proteger los datos personales es proteger la confianza, y esa confianza se ha convertido en uno de los activos más valiosos de cualquier organización. El nuevo Código Penal dominicano constituye una oportunidad histórica para fortalecer esta materia y crear una verdadera cultura de privacidad.

Del RGPD a la práctica dominicana

El RGPD europeo parte de un principio claro: las empresas son responsables, no solo de cumplir la ley, sino de poder demostrarlo. Esto implica documentar los procesos, formar al personal, evaluar los riesgos y adoptar medidas de seguridad avanzadas. Las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación anual.

En cambio, la legislación dominicana actual se centra en el consentimiento del titular y los derechos de acceso, rectificación, cancelación y oposición (conocidos como “derechos ARCO”). Aunque representa un avance, la falta de mecanismos sancionadores fuertes y una cultura empresarial más preventiva ha limitado su impacto.

El impulso del nuevo Código Penal Dominicano

El artículo 198 del nuevo Código Penal representa un paso adelante al tipificar como delito la recogida, recolección, revelación, difusión o conservación no autorizada de datos personales, reforzando la protección frente al uso indebido de información privada.

Pero el cambio más transformador llega con el artículo 199, que introduce la responsabilidad penal de las personas jurídicas. Esto significa que las empresas podrán ser sancionadas penalmente si no adoptan las medidas necesarias para proteger los datos de sus clientes o si, por negligencia, facilitan su uso indebido.

Por primera vez, la protección de datos deja de ser solo una obligación administrativa para convertirse en una responsabilidad penal directa. Este cambio legal exige a las organizaciones implementar controles reales y demostrar que sus políticas de privacidad no son meros documentos decorativos.

Una oportunidad para continuar avanzando

Lejos de verse como una amenaza, esta evolución normativa debe entenderse como una oportunidad para modernizar la gestión empresarial.

Adoptar las buenas prácticas del RGPD —transparencia, consentimiento informado, seguridad técnica, minimización de datos y formación del personal— no solo garantiza el cumplimiento, sino que mejora la reputación y fortalece la relación con los clientes.

En un contexto donde la confianza se ha convertido en un activo intangible de enorme valor, proteger los datos es proteger la marca ante una exigencia regulatoria que es cada vez, en mayor medida, una exigencia social ineludible.

Conclusión: Del cumplimiento a la conciencia

La combinación del nuevo Código Penal con la Ley 172-13 puede marcar el inicio de una nueva etapa en República Dominicana.Una etapa en la que la privacidad y la seguridad de la información no sean solo un tema de algunos departamentos, sino una parte esencial de la responsabilidad corporativa.

Proteger los datos personales no es algo voluntario: es un deber ético, una estrategia empresarial y una señal clara de respeto hacia quienes confían en nosotros.

Referencias

REPÚBLICA DOMINICANA. Congreso Nacional de la República Dominicana. (2013). Ley No. 172-13 sobre la Protección de Datos de Carácter Personal. Gaceta Oficial No. 10740, de 13 de diciembre de 2013.

REPÚBLICA DOMINICANA. Congreso Nacional de la República Dominicana. (2025). Ley No. 74-25 que instituye el Código Penal de la República Dominicana. Gaceta Oficial No. 11208, de 5 de agosto de 2025.

UNIÓN EUROPEA. Parlamento Europeo y Consejo de la Unión Europea. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea, L 119, 1–88, 27 de abril del 2016.