Por Alex Sotomayor*

Antecedentes

Después de los atentados terroristas del 2001 en los Estados Unidos, las políticas vinculadas a la protección y resguardo de la seguridad nacional sufrieron fuertes modificaciones. Desde entonces, a escala global, casi todo país que se autodenomine democrático o no ha diseñado su política pública con base en la protección de la seguridad estatal y/o ciudadana a través de mecanismos de vigilancia. En esta línea de pensamiento, el discurso del poder político sobre la tecnificación de la seguridad busca legitimar la acción pública mediante una argumentación centrada en la idea de la eficacia y la neutralidad tecnológica.

Por otro lado, en Ecuador, la incidencia criminal se ha incrementado significativamente en los últimos años derivada, principalmente, de la presencia activa de grupos criminales vinculados a cárteles mexicanos y colombianos, configurando al país como un destacado epicentro regional para el cometimiento de una multiplicidad de delitos y el apogeo de la delincuencia organizada. Con este antecedente, es previsible que la percepción ciudadana sobre el uso de mecanismos de vigilancia para “mejorar” las condiciones de seguridad sea favorable y, por lo tanto, se encuentre legitimada.

En este contexto, el Agente Encubierto Informático surge con la narrativa de ser un elemento crucial en la persecución e investigación de actividades delictivas. Por ello, el Legislativo incorporó esta figura en el Código Orgánico Integral Penal a través de la Ley Orgánica Reformatoria a varios cuerpos legales para el fortalecimiento de las capacidades institucionales y la seguridad integral, publicada en Registro Oficial Suplemento 279, del 29 de marzo del 2023.

De esta forma, se adhiere el artículo 483.1, habilitando legalmente al Agente Encubierto Informático, el cual, en términos sencillos y visto desde el ‘deber ser’ de su existencia, es un servidor público del Sistema Especializado Integral de Investigación de Medicina Legal y Ciencias Forenses, cuya finalidad, al igual que un agente encubierto tradicional, es infiltrarse en grupos delictivos con el objetivo de recopilar información, desmantelar operaciones ilegales y evitar futuros ataques delictivos.

El objeto de este análisis es desglosar las facultades exorbitantes que le fueron otorgadas, mediante la ambigüedad semántica y sintáctica de la redacción de la norma, así como también revelar los problemas de alcance, temporalidad y los obvios conflictos de esta figura con los derechos fundamentales de privacidad e intimidad de las personas, haciendo énfasis también en los argumentos que hacen que la redacción de esta norma sea claramente inconstitucional.

Problemas de ambigüedad

Como ya fue mencionado, el artículo 483 del COIP autoriza las operaciones encubiertas del “Agente Encubierto Informático para que pueda realizar tareas de gestión investigativas ocultando su verdadera identidad o asumiendo una supuesta identidad, para lo cual deberán realizar patrullajes o acciones digitales en el ciberespacio, penetrándose e infiltrándose en plataformas informáticas como foros, grupos de comunicación o fuentes cerradas de información o comunicación, con la finalidad de hacer seguimiento de personas, vigilar cosas, realizar compras controladas y/o descubrir, investigar o esclarecer hechos delictivos cometidos o que puedan cometerse con el uso o en contra de las tecnologías de la información y comunicación. En el desarrollo de sus actividades el agente encubierto informático podrá intercambiar, enviar de manera directa archivos, ficheros con contenido ilícito o aplicar técnicas para preservar y descifrar información recolectada que sea útil para la investigación. (…) identificar a los participantes, reunir y recoger información, elementos de convicción y evidencia útil para los fines de la investigación”.

Además, podrá obtener imágenes y realizar grabaciones en audio o video, de las conversaciones que podría llegar a mantener con el o los investigados, dependiendo de la naturaleza y modus operandi de la organización, con la utilización de cualquier medio tecnológico, en cualquier lugar, para lo cual el fiscal previamente obtendrá la respectiva autorización judicial.

En primer lugar, el agente encubierto puede infiltrarse en el ciberespacio con la finalidad de “vigilar cosas”, con esta redacción tan abierta y ambigua no se delimita la esfera de vigilancia a la que puede acceder el agente, habilitándolo así para poder actuar como un black hat o cibercriminal en sentido amplio; usando técnicas como ataques DDoS, Ataque de denegación de servicio distribuido (Distributed Denial-of-Service), pudiendo utilizar spyware, técnicas de ingeniería social, etc.

La norma también establece: “…descubrir, investigar o esclarecer hechos delictivos cometidos o que puedan cometerse con el uso o en contra de las tecnologías de la información y comunicación…”.

Esta ambigüedad permite que la figura del agente encubierto sea utilizada con amplia discrecionalidad y subjetividad, dando paso a la vigilancia masiva. Además, la norma habilita a que el agente encubierto pueda anticiparse al cometimiento de conductas delictivas, contraponiendo la naturaleza de los delitos informáticos dado que, por su naturaleza, estos son delitos de resultado y no de mera actividad.

Tampoco se delimita el tiempo que estará vigilando a una persona ni qué tareas de gestión investigativas se van a aplicar para que el agente encubierto haga su trabajo.

Es una medida desproporcional también otorgar al Agente Encubierto Informático la posibilidad de obtener imágenes y realizar grabaciones en audio o video, de las conversaciones que podrá llegar a mantener con los investigados con la utilización de cualquier medio tecnológico y en cualquier lugar. El espacio de investigación ya no tiene frontera alguna y no se detalla qué medios son idóneos para esta operación, ni qué sucede con terceros que no tengan que ver en la investigación y que simplemente participen en una conversación. Se entendería que el agente encubierto está dotado con todo el equipo necesario y que aplicará técnicas de filtración de información de los ciudadanos, sin embargo, no hay claridad sobre los casos a los que se deben aplicar y las limitaciones para evitar la vulneración de los derechos a la intimidad, a la protección de datos personales y a la inviolabilidad de correspondencia.

Justamente por estas razones, la Unión Europea, tras la entrada en vigor del Reglamento General de Protección de Datos (UE) 2016-679, emitió la Directiva (UE) 2016-680, enfocada en la protección de datos en el ámbito penal, con el objetivo de prevenir violaciones a los derechos y libertades de las personas físicas. Por ello es evidente que la reforma no se encuentra armonizada con los instrumentos jurídicos de protección de datos personales internacionales y tampoco con la normativa interna.

Problemas de Aplicabilidad de las operaciones encubiertas en el Ecuador

El Reglamento para la aplicación de entradas vigiladas o controladas, establecido por la resolución 091-FGE-2015, ha resultado ser impracticable debido a su desconexión con la realidad operativa. Aunque propone iniciativas ambiciosas como una escuela para agentes encubiertos, modificaciones de identidad y colaboración interinstitucional, carece de los medios prácticos para su ejecución.

Las principales deficiencias incluyen la falta de asignación presupuestaria, ausencia de coordinación efectiva entre entidades estatales y carencia de protocolos de seguridad para el manejo de información reservada. Estas limitaciones han impedido que el órgano administrativo implemente la estructura organizacional necesaria para las operaciones encubiertas, incumpliendo el plazo de 60 días establecido tras su publicación.

En esencia, el Reglamento carece de un plan operativo integral que abarque aspectos administrativos, de recursos humanos, jurídicos y presupuestarios, lo que ha obstaculizado su aplicación efectiva hasta la fecha actual.

En este sentido, al no existir una normativa coherente y transparente que determine y delimite la ejecución de operaciones encubiertas, de cualquier índole, se le otorga al Estado una carta abierta para ejecutar mecanismos de vigilancia arbitrariamente.

Inconstitucionalidad de la norma

En el Caso Fontevecchia y D’Amico vs. Argentina se determinó que la utilización de técnicas de vigilancia como una injerencia en la vida privada debe ser idónea, necesaria y proporcional, y que, además, este examen debe ser realizado caso a caso. La figura del Agente Encubierto Informático tiene un régimen de interceptación de comunicaciones y vigilancia exorbitante y sus límites son pocos, lo que implicaría una incompatibilidad con las garantías del derecho a la intimidad e inviolabilidad de correspondencia. La medida es arbitraria, pues otorga un alto margen de discrecionalidad a la Fiscalía General del Estado para intervenir las comunicaciones y acceder a la intimidad de un sujeto en cualquier clase de delito tipificado en el COIP, o debido a la ambigüedad de la norma antes mencionada, incluso para la “prevención” de delitos, sin que se verifique que la interceptación sea necesaria o persiga un fin legítimo en el caso concreto. Además, no existen mecanismos que garanticen una destrucción de la información cuando esta no sea atinente a la causa. Incluso, se permitiría este tipo de investigación en una etapa muy temprana pre-procesal donde aún no existen verdaderos indicios de una investigación.

Idoneidad

En cuanto a la idoneidad, la interceptación como una medida de investigación busca obtener evidencias de la materialidad o responsabilidad de un delito. Esta técnica permite la vigilancia de presuntos responsables o sospechosos y permite que la FGE pueda obtener información relevante respecto de una infracción y prevenir el cometimiento de otras. Sin embargo, al no existir transparencia en los mecanismos de intervención, no se puede concluir que esta sea una medida realmente efectiva, sobre todo en entornos digitales, por lo que no se concluye que esta medida sea idónea y adecuada para la prevención de delitos.

Necesidad

Por otra parte, en el criterio de necesidad, se busca verificar que una medida estatal no reduzca el derecho más de lo que es necesario para que el Estado logre eficazmente el fin constitucional que propone. Por la ambigüedad en la redacción de la norma y puesto que la misma permite que el agente encubierto intervenga en cualquier tipo de delito, resulta potencialmente intrusivo que la interceptación pueda aplicarse a infracciones que no tienen la misma gravedad, penalidad o repercusiones sociales severas que el narcotráfico, la delincuencia organizada, el asesinato, la violencia sexual, el cohecho, el peculado, la concusión, entre otros delitos. Además, al llevarse a cabo la vigilancia en secreto sin notificación al sujeto investigado, los riesgos de arbitrariedad se incrementan, haciendo crucial que las normas que regulan esta medida sean claras para proteger contra un uso discrecional de la interceptación.

Es profundamente innecesario que esta técnica de investigación se utilice para alcanzar el objetivo constitucionalmente previsto. Se debe considerar, especialmente, que acceder a la vida íntima de una persona es justificable en cuanto no existan otros mecanismos de investigación convencional que posibiliten que el delito sea detectado o que procuren identificar a sus autores o cómplices; adicionalmente, la interceptación ha de ser usada si y solo si atiende a los fines de la investigación en relación con la importancia del delito y su gravedad.

Es menester resaltar que es la Fiscalía la que autoriza las intervenciones de los agentes encubiertos informáticos, por ello no están exentos de proveer razones suficientes para justificar la vigilancia a la luz los requisitos de razonabilidad. El fiscal debería considerar, entre otros: 1) la naturaleza del delito investigado, 2) las precauciones respecto del uso de la información obtenida o de las circunstancias bajo las cuales ha de ocurrir la interceptación.

Proporcionalidad en sentido estricto

Este requisito busca verificar si existe un debido equilibrio entre la protección constitucional a la privacidad e inviolabilidad de comunicaciones y la restricción efectuada por la incorporación de la figura del agente digital encubierto. Indudablemente, la vigilancia representa una intrusión y una interferencia en la vida privada. Sin embargo, es difícil determinar de manera abstracta los beneficios o costos de una medida de este tipo, por lo que el análisis de proporcionalidad debe realizarse caso por caso. En consecuencia, en el contexto específico de una investigación, corresponde a la autoridad judicial evaluar primero la pertinencia, adecuación, necesidad y proporcionalidad de la medida, equilibrando los derechos en juego. Además, deberá asegurarse de que la medida no infrinja las prohibiciones y limitaciones establecidas por la ley, como la interceptación en casos de secreto profesional o para evitar la revictimización de menores, entre otros escenarios.

Conclusiones

Después de las revelaciones de Edward Snowden, se creó el Necessary and Proportionate: International Principles on the Application of Human Rights to Communications Surveillance, el cual establece principios para garantizar que la vigilancia de las comunicaciones respete los derechos humanos. Estos principios incluyen la necesidad, proporcionalidad, transparencia y la supervisión judicial, entre otros. Puesto que la privacidad es un derecho humano fundamental y es primordial para el mantenimiento de sociedades democráticas, resulta evidente que toda restricción al derecho a la privacidad, incluida la vigilancia de las comunicaciones, sólo puede justificarse cuando es prescrita por ley, necesaria para alcanzar un objetivo legítimo y proporcional al fin perseguido.

Aplicar esta medida en la forma en que actualmente está tipificada no hace otra cosa que legitimar a la Fiscalía General del Estado (FGE) para la vigilancia e intrusión en la intimidad, puesto que le otorga facultades invasivas y exorbitantes, dado que esta entidad puede realizar estas investigaciones sin que sea necesario ningún tipo de autorización judicial e, incluso, sin que exista un delito. 

Debido a la inaplicabilidad e inoperancia del reglamento vigente, únicamente a través de resolución judicial debería otorgarse la identidad supuesta donde se especifica, tanto el nombre real del agente como la identidad falsa que confirmó, en el caso concreto, la autorización para los patrullajes y acciones digitales en el ciberespacio, y la obtención y traslado de la información producto de la investigación, ya que la FGE puede, sin estar en el marco de una investigación, interferir en el proceso de comunicación, almacenamiento, incluso de pensamiento de cualquier ciudadano, sin establecerse además cuáles serían los parámetros de control y escrutinio judicial para que los jueces a quienes se solicita esta medida puedan establecer su adecuada razonabilidad con protección de los derechos a la intimidad y a la protección de datos personales.

La figura del Agente Encubierto Informático, cuya constitucionalidad se cuestiona, configura una afectación innecesaria y desproporcionada para intentar garantizar la prevención de delitos, debido a la interferencia arbitraria en la privacidad y al incumplimiento de tratados internacionales y normativas internas.

Debido a la falta de garantías jurídicas para la protección de la intimidad y privacidad de las personas, la población debe buscar mecanismos de hecho, como lo son el uso de técnicas de cifrado y anonimización, puesto que esto es lo único que garantiza la protección de nuestros datos.

*Esta es una publicación original del Centro de Autonomía Digital (CAD), del cual Alex Sotomayor es colaborador.


Fabrizio Peralta Díaz