En Hiperderecho ya habíamos hecho un primer acercamiento a este tema en Democracia y Datos —un proyecto donde analizamos el proceso electoral peruano desde la perspectiva de protección de datos personales— y explicamos por qué el padrón electoral es la base de datos más importante de todo el proceso electoral y, al mismo tiempo, una de las más sensibles. Allí argumentamos que cualquier decisión sobre su publicación debe partir de un principio claro: la protección de datos personales no es opcional; es una condición para la legitimidad democrática.

El punto de partida: “público”, sí; pero de acceso restringido

El artículo 197 de la Ley Orgánica de Elecciones establece que “el padrón electoral es público”. Sin embargo, el mismo artículo limita esa publicidad: no es un acceso abierto a cualquier persona, sino un acceso restringido a actores que participan del proceso electoral, como partidos políticos, agrupaciones independientes o alianzas.

Además, este acceso no es absoluto. Según el artículo 203, el padrón contiene información detallada: nombres y apellidos, código único de identificación (CUI), fotografía, firma digitalizada, distrito, provincia, departamento, número de mesa de sufragio, declaración de discapacidad, domicilio e impresión dactilar. Pero no todos esos datos pueden ser accedidos por los partidos políticos. La ley excluye explícitamente el domicilio y la impresión dactilar, que deben mantenerse bajo confidencialidad.

Por tanto, el padrón electoral es público (y de acceso restringido) en su existencia, pero no en su contenido total. La publicidad de algunos datos tiene como límite la protección de la privacidad de las personas inscritas.

Publicación digital y proporcionalidad

RENIEC justifica la publicación del padrón invocando el artículo 198 de la misma ley que dice dicha entidad “publica el padrón inicial a través de su portal institucional”. El objetivo de dicha norma sería que la ciudadanía pueda revisar la información y, en caso de errores (por ejemplo, personas fallecidas o desplazadas que aún figuran activas), pueda solicitar las tachas o correcciones correspondientes.

Sin embargo, aquí surge la pregunta clave:

¿Es necesario publicar direcciones, fotografías o firmas digitalizadas para cumplir con ese fin?

Desde una perspectiva de privacidad desde el diseño y aplicando el principio de proporcionalidad de la Ley de Protección de Datos Personales, la respuesta es no. El principio de proporcionalidad obliga a que todo tratamiento de datos personales sea adecuado, relevante y no excesivo en relación con la finalidad para la cual se recaban o publican.

Si la finalidad de la publicación es permitir la verificación ciudadana del padrón, bastaría con mostrar nombre, número de DNI y número de mesa de sufragio. Nada más. Publicar otros datos —como domicilio, foto o firma— no añade valor a la veeduría, pero sí incrementa el riesgo de suplantación de identidad, acoso o fraude, especialmente en un contexto de creciente inseguridad ciudadana.

La misma LOE y la Ley de Protección de Datos exigen respetar confidencialidad y proporcionalidad a la vez de publicar el padrón. No es una dicotomía; es una ecuación conjunta. Publicar no equivale a exponer.

En concreto:

• La publicación digital debe alinearse a la finalidad de veeduría.
• El contenido visible en el portal debe ser el mínimo necesario para esa finalidad.
• El resto del padrón (con datos de alto riesgo como domicilio o huella) no es para exhibición pública ni para descarga masiva, y su acceso por actores legitimados debe estar técnicamente acotado y auditado.

Cambios normativos recientes y confusiones persistentes

Es importante notar que las normas que delimitan qué información puede compartirse con los partidos políticos no son recientes. El artículo 203, desde su aprobación, detalla la estructura del padrón y su contenido. En el año 2016 se incorporó el domicilio y la huella dactilar, pero excluyendo su acceso a partidos políticos. En el año 2025 se añadió también un espacio para que RENIEC haga anotaciones sobre la actualización de datos de los ciudadanos.

Otro cambio relevante que se dió en 2025 es quiénes pueden acceder a la lista de electores. Antes, solo los partidos y agrupaciones políticas tenían acceso; hoy, también los personeros titulares nacionales de los partidos pueden solicitarla. Esta ampliación de legitimados genera confusión, pues en la práctica se mezclan dos conceptos distintos: el padrón electoral (una base de datos integral) y la lista de electores (una versión acotada que debería respetar los límites de confidencialidad).

El elefante en la sala: RENIEC como data broker estatal

Desde Hiperderecho, hemos alertado repetidas veces las distintas problemáticas de RENIEC respecto de la protección de la privacidad (como el que se dió con las firmas falsas). El problema no es solo una interfaz mal diseñada o un CSV mal configurado. Es estructural. RENIEC, la entidad que administra nuestra identidad (y cada vez más, nuestra identidad digital), se ha ido deslizando hacia un rol de validador comercial de identidades, ofreciendo servicios en “RENIEC en línea” con una lógica de mercado.

Cuando una entidad pública que concentra datos sensibles de toda la población opera con reflejos de data broker (intermediario de datos), sin incorporar privacidad desde el diseño y sin someter sus prácticas a evaluaciones de impacto y controles externos robustos, ocurren exactamente estas cosas: exposiciones innecesarias, ambigüedad normativa instrumentalizada y riesgos expansivos para millones de personas.

¿Cómo se ve “privacidad desde el diseño” en el padrón? (Guía práctica)

1. Finalidad clara y única
   Publicación web solo para veeduría ciudadana.
2. Minimización de datos
   Mostrar: nombre, DNI (o tokenizado) y mesa.
   Ocultar: domicilio, foto, firma, huella, discapacidad y cualquier otro dato no necesario para la finalidad.
3. Tokenización/hashed IDs y rate-limiting
   • Evitar el DNI en texto claro en búsquedas públicas (usar identificadores ofuscados).
   • Límites de consulta por IP/usuario y CAPTCHAs accesibles (sin castigar a personas con discapacidad).
4. Versiones diferenciadas (capas de acceso)
   • Ciudadanía: vista mínima para verificación.
   • Actores legitimados (partidos y personeros): acceso acotado, con trazabilidad, contratos de confidencialidad y obligaciones de seguridad.
   • Nada de descargas masivas sin justificación, cifrado, logs y controles ex post.
5. Auditoría y rendición de cuentas
   • Evaluación de Impacto en Protección de Datos (EIPD) previa a cada proceso.
   • Bitácoras de acceso y reportes públicos (agregados) de consultas, bloqueos y anomalías.

Preguntas incómodas (que igual hay que hacer)

• Si la finalidad es veeduría, ¿por qué se publica fotografía o la dirección de domicilio?
• ¿Qué EIPD hizo RENIEC antes de publicar el padrón inicial? ¿Quién la revisó?
• ¿Existe un registro de accesos y un plan de respuesta a incidentes alineado con la Autoridad de Protección de Datos?
• ¿Cómo se verifica que partidos y personeros cumplan con medidas de seguridad y no redistribuyan datos?
• ¿Qué métricas de éxito usa RENIEC para la veeduría que no dependan de exponer más datos?

Hacia un rediseño institucional con enfoque de privacidad

La legitimidad de una elección no se construye exhibiendo domicilios y huellas dactilares en nombre de la “transparencia”, sino alineando la publicidad a la finalidad, con proporcionalidad y controles técnicos y legales sólidos. El padrón electoral debe ser público en lo que debe ser público: lo suficiente para que cualquiera fiscalice, sin convertir a toda la ciudadanía en un riesgo potencial.

El reto para RENIEC no es solo arreglar una página o bajar un archivo: es abrazar la privacidad desde el diseño como política institucional. Porque si el Estado no puede proteger la base de datos más importante del proceso electoral, ¿de qué privacidad hablamos cuando hablamos de gobierno digital?