El acceso al código fuente de aplicaciones informáticas en la Administración Pública

Introducción y antecedentes

La reciente controversia resuelta por el Tribunal Supremo tiene su origen en la solicitud presentada por la Fundación Ciudadana Civio para acceder al código fuente de la aplicación BOSCO, utilizada por el Ministerio para la Transición Ecológica (MITECO) en la gestión del bono social eléctrico. BOSCO es una herramienta informática que permite a las comercializadoras de referencia consultar y verificar, de manera automatizada, el cumplimiento de los requisitos necesarios para que los consumidores puedan beneficiarse del bono social. Este proceso se realiza sin que las comercializadoras tengan acceso a determinados datos personales de los usuarios, lo que garantiza la protección de información especialmente sensible de los ciudadanos.

La Fundación Ciudadana Civio interpuso recurso de casación contra la sentencia de la Audiencia Nacional de 30 de abril de 2024, que confirmó la desestimación de su demanda para acceder al código fuente de la aplicación BOSCO. Tanto la Audiencia Nacional como el Juzgado Central de lo Contencioso-Administrativo nº8, en sentencias previas, respaldaron la resolución del Consejo de Transparencia y Buen Gobierno, que estimó parcialmente la solicitud, permitiendo el acceso a la especificación técnica de la aplicación, a los resultados de las pruebas que acreditan el cumplimiento de la funcionalidad exigida y a cualquier otro documento que permitiera comprender el funcionamiento de BOSCO. Sin embargo, denegó el acceso al código fuente de la aplicación, argumentando la existencia de diversos riesgos: la protección de la propiedad intelectual, la salvaguarda de los datos personales y de la privacidad de los afectados, la seguridad ciudadana, la integridad de la información y el control de accesos. Esta decisión ha dado lugar a un relevante debate jurídico sobre los límites del derecho de acceso a la información pública y la protección de intereses fundamentales.

El derecho de acceso a la información pública y sus límites

La sentencia parte del reconocimiento del derecho de acceso a la información pública como un derecho subjetivo de las personas, ejercitable frente a las administraciones que, si bien no tiene la consideración de derecho fundamental en atención a su caracterización y ubicación sistemática en la Constitución, sí se configura como un derecho constitucional, con contenido propio y efectivo que ni el legislador, ni el aplicador de la norma pueden desconocer y que, además, presenta una íntima conexión con derechos fundamentales y libertades públicas como participación política (artículo 23 de la CE), el derecho a la libertad de información (artículo 20 de la CE) y el derecho a la tutela judicial efectiva (artículo 24 de la CE). Este derecho, aunque no es absoluto, es una herramienta esencial para garantizar la transparencia y la rendición de cuentas de las Administraciones públicas, tal y como establece la Constitución Española y desarrolla la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno (LTAIBG).  

No obstante, la ley establece límites claros a este derecho, entre los que destacan la protección de la seguridad pública, la propiedad intelectual y, de manera especialmente relevante en este caso, la protección de los datos personales. El Tribunal Supremo, en línea con la doctrina consolidada, subraya la importancia de que cualquier restricción al acceso esté debidamente justificada y sea proporcionada, atendiendo a las circunstancias concretas de cada caso y ponderando los intereses en conflicto.

Transparencia algorítmica y control democrático

Con motivo de la actividad administrativa automatizada, la sentencia introduce el principio de “transparencia algorítmica”, imponiendo a las Administraciones públicas la obligación de proporcionar información pública que facilite el acceso de los ciudadanos a las características principales de los algoritmos empleados en la toma de decisiones, o incluso a su código fuente. Esto es parte del principio de transparencia consagrado constitucionalmente en el artículo 105.b) de la CE.

Junto a este principio, se incorpora el concepto de “democracia digital o electrónica”, que no solo amplía tecnológicamente la democracia representativa, sino también fomenta una transformación estructural en el funcionamiento democrático de los Poderes públicos. Este concepto pone énfasis en los principios de transparencia, participación y rendición de cuentas en un entorno digital, donde la información pública y la transparencia algorítmica son esenciales para su garantía.

El Tribunal Supremo subraya la importancia de que los ciudadanos puedan conocer y auditar el funcionamiento de los algoritmos relacionados con el reconocimiento de derechos sociales, alineándose con las exigencias de la normativa europea, como el Reglamento General de Protección de Datos (RGPD).

Permitir el acceso al código fuente ayuda a asegurar que las decisiones automatizadas cumplen con la legalidad y no contienen sesgos o errores perjudiciales para los ciudadanos. La transparencia algorítmica es una tendencia en auge dentro del sector público, que refuerza la confianza de los ciudadanos en la Administración y facilita el control democrático. Esto implica una interpretación restrictiva de los límites al acceso a la información pública, siempre que su aplicación sea justificada y proporcionada.

El acceso al código fuente: implicaciones en propiedad intelectual y derechos de autor

El Tribunal Supremo señala que el código fuente de la aplicación está específicamente protegido por el derecho de autor, al constituir una forma de expresión del programa de ordenador, conforme a la jurisprudencia consolidada del Tribunal de Justicia de la Unión Europea. No obstante, dado que la AEPD ha calificado el programa BOSCO, mediante resolución, como un sistema de decisión individual automatizada regulada por el artículo 22.1 del RGPD, y considerando la relevancia pública de la información a la que se quiere acceder, el Alto Tribunal defiende que la relevancia pública de la información gestionada por BOSCO y su impacto directo en los derechos de los ciudadanos justifica la prevalencia del interés en el acceso al código fuente sobre el derecho de propiedad intelectual de la Administración.

Esta decisión se apoya en el hecho de que BOSCO no se limita a ser una herramienta de consulta, sino que adopta decisiones que afectan a la concesión del bono social, incidiendo de manera significativa en la esfera jurídica de los ciudadanos, especialmente en lo relativo a la protección de datos personales. El Tribunal Supremo advierte que los riesgos inherentes a una eventual utilización o explotación no autorizada del código fuente pueden ser adecuadamente gestionados mediante la imposición de medidas cautelares, tales como la prohibición de su difusión o de su uso para fines distintos a los autorizados expresamente por la Administración.

Finalmente, el Tribunal Supremo destaca la trascendencia del legítimo interés de la fundación recurrente en acceder al código fuente de BOSCO, con el fin de verificar la conformidad de la aplicación con las exigencias normativas. Esta verificación resulta esencial para garantizar el correcto reconocimiento de la condición de consumidor vulnerable, cuya protección reviste una especial importancia social y económica, al estar orientada a salvaguardar a los colectivos más desfavorecidos y a combatir la pobreza energética.

El acceso al código fuente: implicaciones para la protección de datos

Uno de los argumentos principales de la Administración para denegar el acceso al código fuente de BOSCO fue el riesgo de que su divulgación pudiera comprometer la seguridad de los datos personales gestionados por la aplicación. Esta aplicación, utilizada por las comercializadoras de energía, accede y trata información especialmente sensible de los solicitantes del bono social, como datos económicos, familiares, de discapacidad o de víctimas de violencia de género.

El Tribunal Supremo reconoce la importancia de este riesgo, pero tras realizar un análisis detallado sobre la naturaleza de la información solicitada, aclara que, en el presente caso, el acceso al código fuente no implica, en sí mismo, el acceso a los datos personales de los ciudadanos, ya que el código fuente consiste en un conjunto de instrucciones que determinan el funcionamiento del programa, quedando los datos personales completamente al margen del acceso a la información pública. Por tanto, el acceso puede concederse siempre que se garantice que no se produce una exposición indebida de datos personales.

El Tribunal Supremo destaca que, sin perjuicio de que en la evaluación de los riesgos para la seguridad pública se puedan contemplar los eventuales riesgos de accesos fraudulentos a datos de esa naturaleza, y el posible aumento de riesgos para la seguridad informática de la aplicación inherentes al acceso al código fuente, la transparencia sobre el mismo puede contribuir, en iguales términos potenciales, a la mejora del código y el fortalecimiento de su seguridad. Esta transparencia incentiva a la Administración a extremar la seguridad en el diseño y control del programa informático, y permite que su escrutinio por diferentes actores independientes revele vulnerabilidades inadvertidas para su corrección temprana.

A este respecto, el Alto Tribual señala que en la actualidad no es insólito que aplicaciones informáticas estén disponibles a través de licencias de código abierto. Especialmente en el ámbito de aplicaciones desarrolladas por Administraciones Públicas, hay ejemplos relevantes de publicación del código fuente, como las aplicaciones para el rastreo de personas infectadas durante la crisis sanitaria de la COVID-19, por ejemplo, la aplicación “Radar COVID” en España.

Igualmente, el Tribunal Supremo subraya que, aunque hay intereses de confidencialidad y seguridad que deben ser protegidos, tanto la normativa de la UE como la doméstica tienen mandatos favorables a la transparencia en algoritmos públicos, lo cual descarta la ocultación del código fuente como principio general y categórico de seguridad.

En consecuencia, la protección de datos personales se configura como un límite legítimo al derecho de acceso, pero su aplicación debe ser objeto de una ponderación rigurosa y no puede operar como una barrera absoluta. El Tribunal Supremo aboga por la adopción de medidas técnicas y organizativas que permitan mitigar estos riesgos, como la entrega del código bajo condiciones de confidencialidad, la limitación de su uso o la imposición de deberes de reserva a los solicitantes.

Artículo elaborado por Marta Llamazares Carreño, senior manager de Regulación Digital de PwC Tax & Legal y Enrique De Umaran Cabezón, associate de Regulación Digital de PwC España.