Un decreto silencioso amplía la vigilancia estatal a través de las compras públicas

Los intentos por ampliar la vigilancia desde el Estado hacia los ciudadanos quedaron bloqueados por la Corte Constitucional cuando suspendió artículos de la Ley de Inteligencia en 2025. Sin embargo, en marzo de 2026 y a través de un decreto, el presidente Daniel Noboa insiste en esa vigilancia, ahora mediante las compras públicas.

El 12 de marzo se publicó en el Registro Oficial el decreto 328, que crea un mecanismo para que el Centro Nacional de Inteligencia (CNI), el ente encargado de analizar información sobre posibles amenazas “a la seguridad del Estado”, vigile a quienes son o quieren ser contratistas del Estado.

Según los antecedentes del propio decreto, la medida busca detectar posibles vínculos con redes criminales, casos de corrupción o financiamiento ilícito antes de que se adjudiquen contratos estatales.

El decreto también ordena al ECU 911 que, si el CNI lo requiere, entregue información de las empresas o personas naturales que estén aplicando en alguna convocatoria de contrato. Esta información podrá ser entregada incluso mediante geolocalización, es decir, la tecnología que permite conocer la ubicación de una persona o de su dispositivo, como una computadora o teléfono celular.

Te contamos más sobre este decreto que ha pasado desapercibido entre el convulso contexto político ecuatoriano.

¿Qué es el Centro Nacional de Inteligencia y qué hace?

El Centro Nacional de Inteligencia (CNI) es la institución encargada de producir “inteligencia” para el Estado. Es decir, recopila información de distintas entidades públicas —y en algunos casos privadas—, la cruza y la analiza para “alertar sobre posibles riesgos a la seguridad del país y apoyar la toma de decisiones del gobierno”.

En 2018, el entonces presidente Lenin Moreno eliminó la entonces Secretaría de Inteligencia (Senain) y la reemplazó por el Centro de Inteligencia Estratégica (CIES), que en la práctica es el mismo CNI. 

Desde entonces, el CNI funciona como ente rector del Sistema Nacional de Inteligencia, es decir, coordina a las distintas unidades de inteligencia del Estado. Y en el gobierno de Daniel Noboa, en 2025, se volvió a reorganizar el sistema de inteligencia con un reglamento y se ratificó al CNI como organismo con rango ministerial y coordinación del Sistema Nacional de Inteligencia.

Mientras una secretaría depende jerárquicamente de la Presidencia, un organismo con rango de ministerio participa en la toma de decisiones al mismo nivel que otros ministerios y puede coordinar directamente con ellos.

El CNI no opera solo. Coordina un sistema que incluye a los subsistemas de inteligencia de:

• Las Fuerzas Armadas
• La Policía Nacional
• Análisis financiero y económico,
• La Casa Militar Presidencia
• Tributaria nacional 
• Aduanera
• Penitenciaria del organismo técnico del Sistema Nacional  de Rehabilitación Social

Estas instituciones comparten datos y análisis para construir informes sobre posibles amenazas a la seguridad del Estado. 

Según el reglamento que se expidió en 2025, la información que recoge el CNI se obtenía sólo a través de fuentes como personas, fuentes abiertas, señales, imágenes, herramientas técnicas, ciberinteligencia y datos financieros. El decreto 328 amplía esas fuentes y añade nuevos canales de información. Dispone que todos los ministerios deberán entregar al CNI información relacionada con las compras públicas y con las empresas que contratan con el Estado.

¿Cómo se ampliará la vigilancia del CNI?

El decreto señala que el CNI deberá emitir  “alertas y reportes de riesgo” sobre los perfiles que quieran participar en una contratación con el Estado, basados en posibles amenazas a la seguridad integral del Estado, como vínculos con crimen organizado, corrupción, financiamiento ilícito o injerencia extranjera. Esta información será recabada por el CNI con base a datos enviados por los ministerios. 

La norma no define qué se entiende por “vínculo” con el crimen organizado, qué tipo de información lo probaría, ni qué nivel de relación sería suficiente para considerar a alguien como riesgo. Tampoco establece criterios claros para para que una persona sea parte de una alerta o reporte riesgo.

El decreto ordena que, antes de adjudicar contratos del régimen especial, los ministerios y entidades del Ejecutivo envíen al CNI:

• el listado completo de participantes
• estructuras societarias
• beneficiarios finales

El CNI podrá pedir información adicional y esta deberá entregarse de forma inmediata, dice el decreto. Según el decreto, el Centro definirá los protocolos internos para supervisar la entrega de información y reportará periódicamente al Presidente.

El decreto también establece que los procesos de contratación que ya estén en marcha deberán enviar la información requerida, incluso si aún no han sido adjudicados.

La vigilancia será para el régimen especial y contratos confidenciales

El decreto 328 se enfoca en los procesos del régimen especial, es decir, una excepción al sistema normal de compras públicas. Este régimen permite que ciertas contrataciones se hagan con reglas más flexibles, sin licitación abierta o con menos competencia, generalmente en casos donde hay urgencia, confidencialidad, un proveedor único o necesidades técnicas específicas. 

En este régimen, según la Ley de Contratación Pública, el Estado puede: invitar directamente a uno o pocos proveedores, acortar plazos, negociar condiciones, omitir ciertos procesos competitivos.

La Ley de Contratación no dice en qué contextos se podría aplicar este régimen especial, pero sí detalla para qué:

• contrataciones calificadas como necesarias para seguridad del Estado, y cuya ejecución esté a cargo de las Fuerzas Armadas o de la Policía Nacional
• campañas de comunicación del gobierno
• asesorías jurídicas especializadas
• obras artísticas o científicas
• compra de repuestos específicos
• contratación entre entidades públicas
• adquisiciones del sector salud
• contratos del Banco Central

El decreto también dice que el CNI debe emitir alertas y reportes de riesgo al Presidente de la República sobre personas naturales o jurídicas que participen en contratos clasificados como:

• Confidenciales: información sensible que solo pueden ver funcionarios autorizados.
• Reservados: información que se mantiene temporalmente no pública hasta que deje de ser delicada.
• Secretos: información cuya divulgación podría dañar la seguridad del Estado.
• Secretísimos: información de máxima protección, cuya filtración implicaría un riesgo grave para el Estado.

Según el decreto, los reportes de riesgo no se limitarán a la empresa que firma el contrato con el Estado sino que incluye a toda la cadena vinculada con la contratación pública:

• oferentes, quienes presentan propuestas en un proceso de contratación
• subcontratistas, empresas que ejecutan parte del trabajo
• accionistas, quienes poseen participación en la empresa
• beneficiarios finales, quienes controlan o reciben los beneficios económicos

Es decir, el CNI podrá vigilar a todos los que estén de alguna manera vinculados con el futuro contrato. 

Por ejemplo, si el Estado contrata a una empresa para instalar cámaras de videovigilancia, el análisis podría incluir a la empresa proveedora de equipos, la firma que instala el sistema, los socios de la compañía o el grupo empresarial que la controla. Incluso el análisis se extendería a la empresa que también participó en el concurso pero no fue seleccionada. 

El ECU 911 también deberá entregar información

El decreto dispone que el ECU 911 entregue, cuando lo solicite el Centro Nacional de Inteligencia, datos de geolocalización y georeferenciación de quienes detecte como “riesgo”. 

También ordena que la Dirección de Control Migratorio —la dependencia del Ministerio del Interior que registra entradas y salidas del país, movimientos fronterizos y datos de viajeros— pase a formar parte del Sistema Nacional de Inteligencia.

Para la constitucionalista Ximena Ron, para acceder a este tipo de información —como geolocalización o datos migratorios— se deberían cumplir condiciones específicas. Explica que la Constitución protege los datos personales y que solo pueden levantarse en tres casos: con consentimiento de la persona, con orden judicial o cuando una ley lo autoriza expresamente. Un decreto, señala, no tiene rango de ley y por sí solo no puede habilitar este tipo de acceso.

Similitudes con la cuestionada Ley de Inteligencia 

El mecanismo propuesto en el decreto es similar a disposiciones incluidas en la Ley Orgánica de Inteligencia, aprobada en 2025 y que tiene artículos suspendidos por la Corte Constitucional, mientras analiza su constitucionalidad. 

Por ejemplo, el artículo 13 permitía al sistema de inteligencia solicitar información a instituciones públicas, algo similar a lo que ahora dispone el decreto cuando ordena a entidades del Ejecutivo enviar listados de participantes y datos de contratación. Según Ron, esa similitud es relevante porque la Corte ya consideró que este tipo de facultades podría afectar derechos y decidió suspenderlas mientras las revisa.

El artículo 47 y 48 autorizaban pedir información a operadoras de telecomunicaciones, incluyendo datos de localización, una facultad que se asemeja a lo que ahora establece el decreto al permitir solicitar al ECU 911 datos de geolocalización y georeferenciación. Ron recuerda que la Ley de Inteligencia intentó introducir estas facultades de manera general, pero la Corte suspendió provisionalmente estos mecanismos para analizarlos, al considerar que podrían ser inconstitucionales. Por eso, dice que replicarlos mediante decreto podría enfrentar cuestionamientos jurídicos.

El artículo 51 habilitaba la recopilación de datos y la elaboración de alertas basadas en riesgos para la seguridad del Estado, sin criterios definidos, algo similar al mecanismo del decreto que ordena emitir “alertas y reportes de riesgo” sobre personas o empresas que participen en contrataciones públicas. Para Ron, el uso de datos personales para inteligencia sí podría aplicarse, pero mediante procedimientos regulados, por ejemplo, con autorización judicial previa o con consentimiento expreso dentro de contratos, siempre que exista una ley que establezca con claridad el alcance, el uso, el tiempo de almacenamiento y quién manejará la información. 

Esto, además, debe cumplir la Ley de Protección de Datos Personales, “que exige que toda recolección de datos tenga finalidad definida, límites y controles”.

La ley también permitía utilizar información migratoria, una facultad comparable con lo que dispone el decreto de incorporar la Dirección de Control Migratorio al Sistema Nacional de Inteligencia.

Todos estos artículos fueron suspendidos provisionalmente por la Corte Constitucional, lo que significa que no pueden aplicarse mientras el tribunal analiza si son compatibles con la Constitución. La suspensión no implica que ya hayan sido declarados inconstitucionales, pero sí que podrían vulnerar derechos —como la privacidad o la protección de datos personales— y por eso decidió detener su aplicación de forma temporal.

Ron señala que la protección de datos personales es clave porque la información sensible —como ubicación, movimientos o vínculos societarios— puede afectar la privacidad, la seguridad e incluso la integridad de las personas. Por eso, considera que “cualquier sistema de inteligencia que use estos datos debe estar regulado por ley y no solo por disposiciones administrativas, para evitar que la vigilancia estatal se aplique sin controles claros”.