¿Opacidad de los algoritmos? El caso Bosco

¿Algoritmos opacos? Caso Bosco

¿Existe opacidad en los algoritmos informáticos? La reciente sentencia de la Audiencia Nacional en el llamado «caso Bosco» ha arrojado bastante luz sobre la improcedencia de solicitar acceso al código informático para tratar de probar el mal funcionamiento de los algoritmos informáticos a la hora de asignar una subvención mediante el sistema Bosco.

Caso Bosco: Sentencia de Audiencia Nacional sobre examen de algoritmos

La reciente Sentencia de la Audiencia Nacional 2013/2024, de 30 de Abril de 2024, Sala de lo Contencioso (Caso Bosco) ha arrojado luz sobre la falta de pertinencia jurídica respecto a la pretensión de acreditar el mal funcionamiento de los algoritmos mediante el acceso al código informático del sistema informático, así como lo inadecuado de invocar la Ley 19/2013 , de transparencia, acceso a la información pública y buen gobierno (LTAIBG)

Antecedentes de hecho de la sentencia

PRIMERO.  En el recurso contencioso-administrativo 18/2019 interpuesto por la entidad Fundación Ciudadana Civio contra la resolución del CTBG de 18-2-2019, dictada en el procedimiento tramitado con el n.º R/0701/2018, por la que se estimó parcialmente la reclamación presentada en fecha 27-11-2018 contra el MITECO, sobre acceso a la información relativa a la aplicación informática para determinar si se cumplen los requisitos para ser beneficiario del bono social, el  Juzgado de lo Contencioso Administrativo número 8 de Madrid, con fecha 30 de diciembre de 2021, dictó sentencia  desestimatoria con expresa imposición de las costas a la demandante con el límite de 1.000,00 euros por todos los conceptos, y para cada una de las partes demandada y codemandada.        

SEGUNDO.  Notificada a las partes, la representación de Fundación Ciudadana Civio formuló recurso de apelación, con la siguiente solicitud: » (…) se tenga por interpuesto recurso de apelación contra la  sentencia n.º 143/2021 de fecha 30 de diciembre de 2021  recaída en el presente procedimiento y, tras los trámites que procedan en Derecho, se dicte nueva sentencia por órgano competente en la que se declare el derecho de la recurrente al acceso a la información solicitada, se ordene la entrega de la misma, declarándose que no proceden las costas de la primera instancia».  

Dado traslado la Abogacía del Estado en sus respectivas representaciones de la Administración General del Estado y del CTBG, se presentaron sendos escritos de oposición al recurso de apelación solicitando en ambos su desestimación.     

TERCERO.  Recibidas las actuaciones, formado rollo de apelación y al no haberse solicitado el recibimiento de la apelación a prueba, ni la celebración de vista o la presentación de conclusiones, se señaló para votación y fallo el día 23 de abril de 2024, fecha en que ha tenido lugar.

Fundamentos de derecho de la sentencia

PRIMERO. Hechos relevantes para la resolución de la alzada.  

La sentencia apelada desestima el recurso contencioso-administrativo interpuesto por Fundación Ciudadana Civio contra resolución de 18 de febrero de 2019 por la que el CTBG estima parcialmente la reclamación presentada en solicitud de acceso a la información del MITECO que sirve de soporte a la aplicación informática desarrollada y construida para la gestión automatizada de las solicitudes del bono social- sistema de información BOSCO -. Esta aplicación telemática permite al comercializador comprobar que el solicitante del bono social cumple los requisitos para ser considerado consumidor vulnerable.

La solicitud fue estimada en lo relativo a la especificación técnica de la aplicación; el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional; y de cualquier otro entregable que permita conocer el funcionamiento de la aplicación.

 Pero fue denegada en el extremo en que se solicitaba el código fuente de la aplicación.

La sentencia recurrida mantiene el criterio de la Administración de se improcedente facilitar el código fuente y cita una pluralidad de razones: la propiedad intelectual, la protección de las personas afectadas y de sus datos personales, la protección ciudadana, la integridad de la información y el control de acceso.

Recuerda la sentencia los límites del derecho de acceso que se extravasarían de facilitarse el código fuente de los señalados en el  artículo 14.1 de la Ley 19/2013 , de transparencia, acceso a la información pública y buen gobierno (LTAIBG): d) la seguridad pública; g) las funciones administrativas de vigilancia, inspección y control; i) la política económica y monetaria; j) el secreto profesional y la propiedad intelectual e industrial; y k) la garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión. Y señala especialmente que la entrega del código fuente haría a la aplicación sensible a ataques por vulnerabilidad, pudiendo utilizarse las vulnerabilidades para acceder a bases conectadas a la aplicación como es el caso de la AEAT y de la Seguridad Social.

En garantía de su conclusión, la sentencia hace referencia al informe emitido por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, el cual fue sometido a contradicción.

SEGUNDO. Motivos del recurso y de oposición.  

Comienza la recurrente señalando en su escrito de apelación que la única cuestión que debe analizarse, por ser la única apreciada por el CTBG para denegar el acceso a determinada información, consiste en dilucidar si la limitación consistente en la propiedad intelectual es aplicable (o no) al supuesto.

Sobre tal presupuesto, en el primer motivo del recurso denuncia la infracción del  artículo 24 CE , al haberse introducido por el Abogado del Estado en su contestación a la demanda términos nuevos de debate – la seguridad nacional- así como prueba sobre determinados aspectos que, a su juicio, no guardan relación con la propiedad intelectual de la información solicitada.

En su opinión, extensamente desarrollada, el límite del artículo 14.1, apartado j) LTAIBG sólo puede aplicarse cuando se trate de una propiedad intelectual de titularidad ajena al obligado a la transparencia ya que lo que se pretende con tal limitación es la salvaguarda de derechos de terceros.

A continuación, en un segundo motivo, sostiene que la sentencia incurre en error en la apreciación de los hechos del que se deriva una infracción del  artículo 9.3 CE . En el desarrollo se alega que del análisis funcional de la aplicación resulta que ninguna persona interviene en la toma de decisión del resultado de modo que para saber si es correcto el funcionamiento del sistema del bono social ha de accederse al código fuente, siendo insuficiente para conocer el funcionamiento el análisis funcional.

Dedica un fundamento a la inexistencia de desviación procesal, aludida en la sentencia, dado que los hechos sobre los que solicita el ejercicio del derecho no han sufrido variación.

Se ocupa también, en otro fundamento, de la limitación consistente en la seguridad y recuerda que la Comisión de la Unión Europea publicó el 21 de octubre de 2020 la Comunicación C (2020) 7149 final en la que, con cita de disposiciones normativas de la Unión, en la que señala que los desarrollos de las administraciones públicas deben utilizar software libre que permita su copia, distribución, comunicación pública y transformación.

 Finalmente considera que al se novedoso el procedimiento y al existir dudas de derecho debería haberse aplicado el  artículo 139 LJCA  y no hacer imposición de costas.

TERCERO. El criterio de las Sala sobre las cuestiones planteadas. Desestimación del recurso: El código fuente está protegido por la Ley de Propiedad Intelectual; además, la difusión del código fuente de la aplicación BOSCO es susceptible de causar perjuicios graves a los mismos e infringe límites de acceso de los contemplados en el artículo 14 LTIBG.  

 No es atendible el argumento de que se haya causado indefensión al recurrente porque en una de las contestaciones a la demanda se esgrimiera la concurrencia de nuevos límites a la entrega del código fuente de la aplicación BOSCO y se propusiera prueba al respecto.

 A este respecto cabe recordar que en los escritos de contestación pueden esgrimirse cuantos motivos procedan hayan sido o no planteados ante la Administración (artículo 56.1 LJCA).

De esa forma, el MITECO tiene derecho a invocar todos los motivos de desestimación del recurso y, en el caso, sobre la improcedencia de facilitar el acceso al código fuente a la luz de la LTAIBG: por ello, todas las causas de inadmisibilidad de una solicitud o límites al acceso a la información pública potencialmente relevantes.

Además, el demandante podía haber propuesto contraprueba como le autoriza el  artículo 60.2 LJCA  y combatir las apreciaciones técnicas sobre vulnerabilidades expresadas en su informe por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo.

En todo caso, la resolución de la CTBG, además de considerar improcedente facilitar el código fuente en aplicación del 14.1 j) LTAIBG, relativo a perjuicios a la propiedad intelectual, al que se dedica el fundamento de derecho quinto, hace referencia también a la «la protección de las personas afectadas y de sus datos personales asegurando la protección ciudadana, la integridad de esta información y el control de su acceso», de manera que si la difusión de del código puede causar perjuicio a esos bienes, está implícito en la decisión la improcedencia de su facilitación.

En todo caso, excluir a la Administración del derecho de la protección intelectual y señaladamente de los programas de ordenador (96 del TRLPI) carece de todo fundamento. El  artículo 7.2 de la Ley 33/2003 de Patrimonio de las Administraciones Públicas  atribuye la consideración de patrimoniales de la Administración a los derechos de propiedad incorporal hayan sido adquiridos de particulares o generados por la propia Administración. Y el  artículo 157 de la Ley 40/2015, de Régimen Jurídico del Sector Público  se refiere expresamente a los derechos de propiedad intelectual de que son titulares las Administraciones Públicas sobre las aplicaciones desarrolladas por sus servicios o que hayan sido objeto de contratación.

En fin, aunque esto sería suficiente para desestimar el recurso, la apelante no ha desvirtuado que la entrega del código fuente de la aplicación BOSCO pondría en grave riesgo derechos de terceros y atentaría a bienes jurídicos protegidos por los límites al derecho de acceso a la información pública del artículo 14.1 letras d), g), i) y k) LTAIBG.

En efecto, la revelación del código aumenta de una manera objetiva la severidad de las vulnerabilidades de cualquier aplicación informática, más aún cuando se maneja información clasificada o sensible, no siendo exigible a la Administración que todas las aplicaciones que desarrolle lo sea con fuentes abiertas.

Antes al contrario, un sistema informático ha de ser desarrollado sobre la base de unas garantías de seguridad en función de la sensibilidad de la información a la que da acceso; en el caso examinado existe el compromiso de intereses de terceros y de otros bienes jurídicos, se podrían producir vulnerabilidades para acceder a las bases de datos conectadas con la aplicación que contienen datos especialmente protegidos, como la discapacidad o la condición de víctima de violencia de género del solicitante, los datos tributarios a la AEAT, de la Seguridad Social, etc. y se pondría en riesgo la confidencialidad de la información tributaria, se posibilitaría la suplantación de los usuarios autorizados, la falsificación del consentimiento, etc.

Para alcanzar tal conclusión es concluyente el informe del Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, la unidad técnica que gestiona para MITECO el sistema de información BOSCO. El informe se sometió a contradicción con audiencia de las partes, no quedando duda al respecto de que es garantía de protección ante las vulnerabilidades la ocultación del código fuente de la aplicación, de forma que no se permita a un potencial atacante estudiar el código para descubrir una vulnerabilidad de día cero. Según el informe, develar el código fuente podría acarrear las siguientes consecuencias:

            – Que el ataque sería muy difícil de detectar por parte de los encargados de la administración técnica de los sistemas de información y del equipo de ciberseguridad del Ministerio, puesto que dicho personal técnico no sería consciente de que sus sistemas de información están siendo atacados.  

            – El Ministerio no tendría a su disposición, en el momento en que se produce el ataque, de los medios técnicos (antivirus, sondas, parches de seguridad de los productos de Sistema Operativo y Middleware) necesarios para mitigar la vulnerabilidad, puesto que los fabricantes que dan soporte a estos productos tampoco serían conscientes de la vulnerabilidad en sus productos, o de que dicha vulnerabilidad sea detectada y eliminada por los productos específicos de seguridad informática.  

            – Debido a lo indicado en los anteriores puntos, el atacante dispondría del tiempo suficiente conseguir sus objetivos, entre los que se podrían a modo de ejemplo enumerar las siguientes actuaciones:  

            * Acceder o modificar, evidentemente con propósitos ilícitos, a los datos de la base de datos de la propia aplicación, que incluye datos personales de especial protección de los interesados en los trámites (niveles de renta de los individuos, situación familiar y laboral, o si existe calificación como víctima de violencia de género o de terrorismo, o si el interesado sufre alguna discapacidad).  

            * Intento de acceso y/o alteración de los datos almacenados en otras bases de datos, correspondientes a otras tramitaciones administrativas cuya responsabilidad recae en el Ministerio de Industria, Comercio y Turismo.  

            * Utilizar los medios de la infraestructura de cómputo del Ministerio para otros fines, como por ejemplo la minería de criptomonedas.  

            * Utilizar la imagen del Ministerio para pertrechar delitos basados en ingeniería social (blackmail o phishing).  

También nos vemos obligados aquí a disentir del argumento de la recurrente sobre la infracción del  artículo 9.3 CE . El debate se centra en el derecho al acceso al código fuente de la aplicación con la que se gestiona el bono social, quedando fuera del valladar del debate determinar si es conforme a derecho el procedimiento de comprobación para verificar la condición de consumidor vulnerable (Real Decreto 897/2017 por el que se regula la figura del consumidor vulnerable, el bono social y otras medidas de protección para los consumidores domésticos de energía eléctrica y Orden ETU 943/2017, sobre el mecanismo de comprobación de los requisitos para ser consumidor vulnerable).

Como dice el Abogado del Estado la aplicación informática no es más que una herramienta que se integra en el seno de un procedimiento administrativo que seguirá produciendo un acto administrativo plenamente sujeto al ordenamiento jurídico, de modo que el control de la legalidad de los actos administrativos sigue estando garantizado: la legalidad (o no) del acto administrativo no viene justificada por el uso de la aplicación informática sino por la adecuación al ordenamiento jurídico del acto producido.

Finalmente, la recurente no puede modificar su pretensión en conclusión y tampoco se aprecian motivos para revocar la condena en costas de la primera instancia, en cuanto la cuestión jurídica allí resuelta, en función de las pretensiones y alegatos de las partes, no presentaba serias dudas de hecho o de derecho.

 CUARTO. Pronunciamiento sobre las costas.  

Al declararse no haber lugar al recurso de apelación, procede imponer a la parte recurrente las costas procesales, de conformidad con lo dispuesto en el  artículo 139.2 de la Ley reguladora de esta Jurisdicción  y de conformidad con lo previsto en el apartado 3 del mismo artículo 139 antes citado, atendiendo a la índole del asunto y a la actividad desplegada por dicha parte recurrida, procede limitar la cuantía de la condena en costas a la cantidad de 1.500 euros por la intervención del Abogado del Estado.

No está justificado acceder al código informático para examinar algoritmos

La Sala de lo Contencioso de la Audiencia Nacional ha resuelto que no está justificado ni es proporcional el acceso al código informático para examinar la incorrección de algoritmos en un sistema informático de gestión pública. Resumiendo, sustentan su argumentación en:

  1. El demandante pudo haber propuesto una prueba pericial informática de contraste con el fin de combatir las apreciaciones técnicas sobre vulnerabilidades expresadas en su informe por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo. No lo hizo.
  2. El tribunal de instancia concedió acceso a la la especificación técnica de la aplicación; el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional; y cualquier otro entregable que permita conocer el funcionamiento de la aplicación. Sin embargo el demandante sostuvo que sólo mediante el acceso al código informático podía comprobarse su corrección, lo que técnicamente no es cierto.
  3. El demandante no desvirtuó que la entrega del código fuente del sistema informático BOSCO podía poner en grave riesgo derechos de terceros y atentar a bienes jurídicos protegidos. Nuevamente, no presentó una prueba pericial informática. Sostiene la Sala que es garantía de protección ante las vulnerabilidades la ocultación del código fuente de la aplicación, de forma que no se permita a un potencial atacante estudiar el código para descubrir una vulnerabilidad que ponga en riesgo la seguridad.
  4. Sostiene la Sala que la aplicación informática no es más que una herramienta que se integra en el seno de un procedimiento administrativo que seguirá produciendo un acto administrativo plenamente sujeto al ordenamiento jurídico.

El error de no solicitar acceso al proyecto técnico informático

Constituye un error habitual por parte de muchos despachos jurídicos no especializados el no solicitar acceso parcial al proyecto técnico informático del sistema de información público objeto de controversia jurídica. Los motivos para solicitarlo son de mucho peso:

  1. Los algoritmos están descritos en los distintos diagramas y planos que forman parte del proyecto técnico informático que debe existir para poder justificar la funcionalidad y seguridad del sistema de información pública.
  2. No suelen existir proyectos técnicos de sistemas de información pública. Aunque parezca increíble, en la mayoría de casos no hay un sólo ingeniero en informática materializando dicho sistema. Por tanto, si se solicita dicha prueba y no existe, por inversión de la carga probatoria, se puede ganar el proceso en ese preciso instante, dada la incapacidad de la administración recurrida para acreditar en qué consisten los algoritmos objeto de controversia.
  3. En los muy raros casos en los que existe proyecto técnico, el mismo no ha sido suscrito por un ingeniero en informática como exige el marco legal vigente. Habitualmente se encuentran ingenieros de otras especialidades, sin competencias legales en la materia, como industriales o de telecomunicaciones. Es lo sucedido en el caso Bosco.
  4. No contar con un perito informático colegiado que le auxilie. Es normal que un letrado no domine el ámbito de ingeniería y menos el de ingeniería informática. Ahora bien, resulta inexcusable que en este tipo de procesos no se cuente con un perito informático colegiado especializado en arquitectura de sistemas y algoritmos informáticos. En Tech Iuris siempre contamos con peritos informáticos colegiados para estos menesteres.

El error de no haber desvirtuado el informe técnico del Ministerio

El informe técnico del Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria pudo ser fácilmente desvirtuado por la representación legal del apelante. Dicho informe fue realizado por D. Marcos Martínez Díaz, para más señas ingeniero de telecomunicación, sin competencias legales en sistemas informáticos ni algoritmos. Se pueden observar las competencias de un ingeniero de telecomunicación en la Orden CIN/355/2009, de 9 de febrero, por la que se establecen los requisitos para la verificación de los títulos universitarios oficiales que habiliten para el ejercicio de la profesión de Ingeniero de Telecomunicación. Carece por completo de competencias en el ámbito de los proyectos de software, los cuales están en el ámbito de competencia de la ingeniería técnica informática en virtud del ANEXO II, Apartado 3 de la Resolución de 8 de junio de 2009, de la Secretaría General de Universidades, por la que se da publicidad al Acuerdo del Consejo de Universidades, por el que se establecen recomendaciones para la propuesta por las universidades de memorias de solicitud de títulos oficiales en los ámbitos de la Ingeniería Informática, Ingeniería Técnica Informática e Ingeniería Química.

A mayor abundamiento, el Tribunal Superior de Justicia de Murcia, en Sentencia nº 1078/2021 de 03/06/2021 ha reconocido como legalmente competentes a los ingenieros técnicos en informática frente a los ingenieros técnicos de telecomunicaciones para realizar la actividad de analista de sistemas, siendo estos últimos incompetentes en la materia. El analista de sistemas es precisamente el profesional que diseña los algoritmos informáticos.

Y finalmente, los informes técnicos en el ámbito de la informática son un acto propio de la profesión en virtud del Art. 2 de la Ley 12/1986, de 1 de abril, sobre regulación de las atribuciones profesionales de los Arquitectos e Ingenieros técnicos, estando sólo habilitado para realizar informes técnicos en el ámbito de las telecomunicaciones.

Por tanto, el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria emitió un informe técnico en el ámbito de la informática sin estar legalmente habilitado para ello, el cual podría haber sido fácilmente impugnado como prueba. Y no sólo eso, sino que incluso podría haberse llegado a sustentar causa por posibles delitos de estafa procesal e intrusismo profesional.

Por este motivo conviene contar con un letrado especializado en Derecho Informático. Al desconocer este marco normativo, el litigante no pudo invocar dichos preceptos para tumbar el informe, e incluso haber podido iniciar acciones judiciales contra su autor por delitos de estafa procesal e intrusismo profesional.

Así mismo, es un error grave fundamentar la pretensión en la normativa de Transparencia y Buen Gobierno y no en base a lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Entre otras disposiciones, el ENS establece en su artículo 10.6 los requisitos mínimos de una política de seguridad de los sistemas de información públicos:

6. La política de seguridad se establecerá de acuerdo con los principios básicos señalados en el capítulo II y se desarrollará aplicando los siguientes requisitos mínimos:

a) Organización e implantación del proceso de seguridad.

b) Análisis y gestión de los riesgos.

c) Gestión de personal.

d) Profesionalidad.

e) Autorización y control de los accesos.

f) Protección de las instalaciones.

g) Adquisición de productos de seguridad y contratación de servicios de seguridad.

h) Mínimo privilegio.

i) Integridad y actualización del sistema.

j) Protección de la información almacenada y en tránsito.

k) Prevención ante otros sistemas de información interconectados.

l) Registro de la actividad y detección de código dañino.

m) Incidentes de seguridad.

n) Continuidad de la actividad.

ñ) Mejora continua del proceso de seguridad.

Todo ello es imposible de acreditar sin el correspondiente proyecto técnico del sistema de información, que además, debe estar redactado por un profesional cualificado en virtud del principio de profesionalidad definido en el Art. 16 del Esquema Nacional de Seguridad.

Desde Tech Iuris volvemos a incidir en la irrelevancia del código informático para resolver la cuestión y en contar siempre con un perito informático colegiado en estos casos como garantía de éxito.

Abogados especializados en Derecho Informático

TECH IURIS Abogados es un despacho jurídico pionero en Almería, fruto de la unión entre juristas de reconocida solvencia y profesionales de la ingeniería informática y del ámbito de las Tecnologías de la Información y de la Comunicación. Estamos especializados en Derecho Informático y en problemáticas jurídicas con un muy alto componente tecnológico y de innovación en el ámbito TIC. No dude en confiar en nuestro despacho si necesita confrontar errores en algoritmos de sistemas de información gestionados por la Administración Pública.

Especialistas en Derecho Informático y Algoritmos

Entradas relacionadas

¡Descubre la oratoria jurídica para abogados!

El dominio de la oratoria jurídica resulta fundamental para los abogados durante una vista, muy especialmente en el ámbito del Derecho Informático. Así pues, ¿qué es la oratoria jurídica? ¿por qué es tan importante la oratoria jurídica para un abogado? ¿Cuáles son las características del abogado que domina la oratoria? ¿Qué es la oratoria jurídica? […]

Contencioso contra las Cortes Generales en el Supremo

Tech Iuris Abogados ha sido contratado para la llevanza de demanda contenciosa contra las Cortes Generales ante el Tribunal Supremo, al objeto de recurrir las bases de proceso selectivo al Cuerpo de Asesores Facultativos de las Cortes Generales, especialidad informática. El despacho asume dicho reto desde su marcado carácter de especialistas en Derecho Informático. Bases […]

Scroll al inicio