El Tribunal Supremo declara que, según la Ley de Transparencia, la Fundación Ciudadana Civio tiene derecho a acceder al código fuente de la aplicación informática BOSCO (STS 11/9/2025)

La STS de 11/09/2025 (RC 7878/2024. Ponente D. Juan Pedro Quintana Carretero), a la que he llegado gracias a que el profesor Juli Ponce Solé la compartió en sus redes sociales, ha estimado el recurso de casación presentado por la Fundación Ciudadana CIVIO para acceder al código fuente de la aplicación informática BOSCO desarrollada para determinar de manera automática si se cumplen los requisitos para ser beneficiario del bono social por consumo de de energía eléctrica, fijando la siguiente doctrina jurisprudencial:

Veremos en primer lugar los antecedentes del caso, para continuar con el resumen de esta importante sentencia, donde veremos por separado los siguientes epígrafes:

A) ¿Pueden los demandados en su contestación ampliar los motivos expuestos en la resolución impugnada sin que exista desviación procesal o indefensión y seguir manteniéndolos en casación?

B) El derecho de acceso a la información pública es un derecho subjetivo constitucional que el legislador ni el aplicador de la norma pueden desconocer.

C) La regulación legal del derecho de acceso a la información y el principio de buena administración.

D) La actividad automatizada de la Administración, los algoritmos, el código fuente y el principio de transparencia algorítmica.

E) El derecho de acceso a la información con relación a los sistemas o aplicaciones informáticas de las Administraciones Públicas.

F) Criterio de la Sala sobre la existencia del límite de acceso del art. 14.1.j) LTAIBG (propiedad intelectual).

G) Criterio de la Sala sobre la existencia del límite de acceso del art. 14.1.d) LTAIBG (seguridad pública).

Los antecedentes del caso

En este interesante informe de Digital Future Society de 2023. "El uso de algoritmos en el sector público en España: cuatro estudios de caso sobre ADMS. Barcelona, España" se explican los antecedentes de este interesantísimo caso llevado a buen puerto gracias al buen hacer y empeño de la Fundación Ciudadana Civio:

"¿Qué es BOSCO? BOSCO es un programa informático creado por la Administración pública en el 2017 para evaluar si los usuarios tienen derecho a recibir el bono social de la factura eléctrica. Las compañías eléctricas, no el Gobierno, administran el programa y se comunican directamente con los solicitantes.

¿Quién puede optar a la ayuda? El factor decisivo que determina si alguien tiene derecho a la subvención son sus ingresos. Este es el factor básico, pero existen otros factores “amplificadores” que pueden condicionar la cuantía de la subvención, como el hecho de que la persona beneficiaria haya sido o sea víctima de violencia de género o que padezca una discapacidad. Y tienen derecho a la subvención todas las familias numerosas con tres hijos o más, independientemente de sus ingresos, además de algunos pensionistas, como los que perciben pensiones de jubilación o discapacidad, pero no los que reciben una pensión de viudedad.

La cuestión a debate: En el 2018 se rechazaron las solicitudes de más de medio millón de familias. Esto llamó la atención de Civio, una organización sin ánimo de lucro cuya principal misión es asegurarse de que la Administración pública actúe como debe. Cuando supieron del gran volumen de solicitudes rechazadas, asumieron la tarea de ayudar a los solicitantes en el proceso de apelación. Civio creó un asistente para ayudarlos a determinar si tenían derecho a la subvención. Con ese fin, partieron del decreto-ley en el que se basaba el software BOSCO y tradujeron los requisitos legales a código informático. Al crear esa herramienta, se dieron cuenta de lo complicado que era traducir la ley a código, porque la propia ley tiene ciertas ambigüedades.

Una vez que Civio implementó su propia herramienta, muchos solicitantes descubrieron que cumplían los requisitos según la interpretación de esta organización, pero se les denegaba la ayuda mediante la herramienta oficial. Las alarmas saltaron cuando Civio recibió numerosas llamadas sobre esta contradicción. Y cuando, por fin, pudo acceder a parte de la información técnica, descubrió que había errores que debían corregirse para que los beneficiarios pudieran recibir la ayuda a la que tenían derecho.

Para crear este asistente, Civio solicitó al Gobierno la documentación utilizada. La solicitud pasó por los ministerios implicados y por el Consejo de Transparencia y Buen Gobierno (CTBG). El CTBG proporcionó la información técnica y los casos de uso, pero no facilitó el código fuente. Sin el código fuente, Civio no pudo determinar si la herramienta era defectuosa desde la base.

Los directores de la organización, Eva Belmonte y David Cabo, solicitaron su código fuente para averiguar a qué se debían los errores, pero la petición fue denegada por motivos de derechos de propiedad intelectual. Según el abogado de Civio, Javier de la Cueva, la interpretación actual de la ley permite a la Administración pública desarrollar algoritmos opacos, lo que ha llevado a Civio a recurrir la denegación ante los tribunales (Civio 2019).

Según explica Belmonte, “nos dieron lo que se supone que hacía la funcionalidad de la aplicación, y ahí descubrimos que algunos de los errores que nosotros habíamos detectado al hablar con la gente que pedía el bono social eran reales, como el hecho de que a las viudas se les decía que no tenían derecho a bono social aunque cumplieran los requisitos”. Técnicamente, los beneficiarios de una pensión de viudedad no tienen derecho a esta subvención, pero si la solicitan por el criterio de ingresos, sí pueden cumplir con el umbral de renta. “No sabemos si hay más errores ahí dentro, porque no tenemos acceso al código”, explica (Digital Future Society 2022c 00:11:30)"

Además de en este estudio de Digital Future Society, la propia sentencia nos describe muy bien en qué consistía dicha aplicación informática:

«...la aplicación BOSCO, tal y como se pone de manifiesto en la normativa antes expuesta sobre el bono social, es la herramienta informática - plataforma informática disponible en la sede electrónica del ministerio- que deben emplear las empresas comercializadoras de energía eléctrica para conocer que consumidores, de entre los solicitantes del bono social, cumplen los requisitos, legal y reglamentariamente previstos, para ser considerados consumidores vulnerables o consumidores vulnerables severos y percibir, en consecuencia, el bono social.

Estas empresas, como dispone la Orden ETU/943/2017, de 6 de octubre, que concreta, entre otros aspectos, la manera en que deben operar las COR para hacer uso de la aplicación informática, se limitan a introducir en la aplicación telemática los datos correspondientes al consumidor y, en su caso, a los miembros de la unidad de convivencia declarados por el mismo, una vez subsanados los eventuales defectos o contradicciones apreciados en la documentación aportada por el consumidor, y a continuación la aplicación implementada permite la visualización del resultado de las comprobaciones realizadas por la misma, tanto para la condición de consumidor vulnerable como para la de vulnerable severo (artículo 6).

De este modo, el empleo de la aplicación BOSCO por las empresas comercializadoras determina de forma automatizada si un determinado consumidor tiene derecho al bono social, y si el consumidor concernido no está de acuerdo con el resultado de la operación telemática puede reclamar ante los servicios de consumo correspondientes, en los términos que establece la normativa de defensa de los consumidores, tal y como dispone el artículo 8 del Real Decreto 897/2017, de 6 de octubre.

En efecto, una vez que las comercializadoras de referencia (COR) han introducido los datos en el sistema BOSCO, dicho sistema actúa de forma automática y emite un resultado en el sentido expuesto (bandera verde o bandera roja), lo que determina si el consumidor que ha presentado la solicitud será o no beneficiario del bono social, puesto que las COR se limitan a consultar el resultado emitido que deben seguir, trasladándoselo al solicitante.

No está de más resaltar aquí que la resolución de la AEPD de fecha 6 de  noviembre de  2024  (ref.  PS-00324-2023)  califica  el  programa  BOSCO como una decisión individual automatizada de las reguladas en el artículo 22.1 del RGPD, entendiendo que no es una mera herramienta de consulta, sino que adopta una decisión sobre si la solicitud del bono social presentada, cumple o no con los requisitos normativamente previstos para que el solicitante sea considerado un consumidor vulnerable en sus diferentes grados, con evidente impacto en los derechos de los ciudadanos a los efectos específicos de la normativa sobre protección de datos».

En ese mismo estudio antes citado, además de la aplicación BOSCO, podrán encontrar el análisis realizado por Digital Future Society a las aplicaciones Ricanvi (Un sistema que calcula el riesgo de posible reincidencia de los reclusos en Cataluña), VIOGEN (Un mecanismo de la Policía Nacional que predice el riesgo de volver a ejercer violencia de género) y Saler (Un sistema que prevé casos potenciales de corrupción en Valencia).

La Fundación CIVIO, para saber si la aplicación BOSCO calculaba correctamente si un ciudadano podía ser beneficiario del bono social eléctrico, solicitó al Ministerio de Transición Ecológica (MITECO) al amparo de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIPBG) cuatro cosas: La especificación técnica de dicha aplicación, el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional, el código fuente de la aplicación actualmente en producción y cualquier otro entregable que permita conocer el funcionamiento de la aplicación.

El MITECO no respondió, lo que obligó a la Fundación CIVIO a presentar reclamación ante el Consejo de Transparencia y Buen Gobierno (CTBG), quien mediante la resolución de 18/02/2019 estimó parcialmente la solicitud considerando correcto que el MITECO facilitase a la Fundación la especificación técnica de dicha aplicación, el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional y cualquier otro entregable que permita conocer el funcionamiento de la aplicación.

Sin embargo, rechazó que se facilitase el código fuente de BOSCO; pese a que rechaza que existiesen las causas de las letras a) y d) (seguridad nacional y seguridad pública) del art. 14 de la LTAIPBG, sí consideró que concurría la de la letra j) (El secreto profesional y la propiedad intelectual e industrial) al considerar que dicho código fuente sí estaba amparado por el derecho de la propiedad intelectual.

Contra dicha resolución la Fundación CIVIO interpuso recurso contencioso-administrativo. La Sentencia del Juzgado Central de lo Contencioso- Administrativo 8 de 30/12/2021 (P.O. 18/2019) desestimó el recurso diciendo por una parte que la documentación entregada ya era suficiente para ver cómo funcionaba el sistema informático y si lo hacía bien y que la denegación del código fuente de la aplicación informática no suponía una vulneración del principio de legalidad, pues siempre se podría comprobar si el solicitante cumplía los requisitos para concederle el bono social.

Por otra parte dice que «la entrega del código fuente haría a la aplicación sensible a ataques por vulnerabilidades “de día cero” o que están aún por descubrir en el momento en que se construye el producto software. Asimismo añadió que se podrían utilizar dichas vulnerabilidades para acceder a las bases de datos conectadas con la aplicación, que recogen datos especialmente protegidos, como la discapacidad o la condición de víctima de violencia de género del solicitante....En definitiva, podemos concluir que la revelación del código fuente aumenta de una manera objetiva la severidad de las vulnerabilidades de cualquier aplicación informática. Si esta además maneja información clasificada o sensible de la administración, el conocimiento del código fuente aumenta el riesgo de que la explotación de las vulnerabilidades pueda afectar a la seguridad nacional, la seguridad pública o la seguridad de los administrados».

Y por último añade que «Aplicando al presente asunto los preceptos inmediatamente transcritos, debemos de considerar que el MINISTERIO PARA LA TRANSICIÓN ECOLÓGIA, al reconocer el derecho al bono social, ajusta su actuación a dicha normativa, dictando el correspondiente acto administrativo. Y para ello utiliza una aplicación informática, denominada “sistema de información BOSCO”, que se inserta en una fase del procedimiento administrativo, cuyo objeto es verificar el cumplimiento de los requisitos establecidos previamente por la normativa citada. Siendo lo anterior así, no puede considerarse que el acto administrativo se dicte por una aplicación informática, sino por un órgano administrativo, y en caso de que el destinatario de dicho acto esté disconforme con el mismo, podrá impugnarlo en vía administrativa, y en vía judicial. Por tanto, la legalidad del acto administrativo no está justificada por la aplicación informática que instrumentalmente se utiliza en una fase del correspondiente procedimiento administrativo, sino por la normativa que regula la materia.».

Contra esta sentencia interpusieron recurso de apelación que fue desestimado por la Sentencia de 30/4/2024 de la Audiencia Nacional (rec. n.º 51/2022) porque entendía que era correcta la apreciación del CTBG y del Juzgado de que ello vulneraría el derecho a la propiedad intelectual, pero además añade que la entrega del código fuente pondría en grave riesgo derechos de terceros y atentaría a bienes jurídicos protegidos por los límites al derecho de acceso a la información pública del artículo 14.1 letras d), g), i) y k) LTAIBG:

"TERCERO. El criterio de las Sala sobre las cuestiones planteadas. Desestimación del recurso: El código fuente está protegido por la Ley de Propiedad Intelectual; además, la difusión del código fuente de la aplicación BOSCO es susceptible de causar perjuicios graves a los mismos e infringe límites de acceso de los contemplados en el artículo 14 LTIBG.

No es atendible el argumento de que se haya causado indefensión al recurrente porque en una de las contestaciones a la demanda se esgrimiera la concurrencia de nuevos límites a la entrega del código fuente de la aplicación BOSCO y se propusiera prueba al respecto. A este respecto cabe recordar que en los escritos de contestación pueden esgrimirse cuantos motivos procedan hayan sido o no planteados ante la Administración (artículo 56.1 LJCA).

De esa forma, el MITECO tiene derecho a invocar todos los motivos de desestimación del recurso y, en el caso, sobre la improcedencia de facilitar el acceso al código fuente a la luz de la LTAIBG: por ello, todas las causas de inadmisibilidad de una solicitud o límites al acceso a la información pública potencialmente relevantes.

Además, el demandante podía haber propuesto contraprueba como le autoriza el artículo 60.2 LJCA y combatir las apreciaciones técnicas sobre vulnerabilidades expresadas en su informe por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo.

En todo caso, la resolución de la CTBG, además de considerar improcedente facilitar el código fuente en aplicación del 14.1 j) LTAIBG, relativo a perjuicios a la propiedad intelectual, al que se dedica el fundamento de derecho quinto, hace referencia también a la «la protección de las personas afectadas y de sus datos personales asegurando la protección ciudadana, la integridad de esta información y el control de su acceso», de manera que si la difusión de del código puede causar perjuicio a esos bienes, está implícito en la decisión la improcedencia de su facilitación.

En todo caso, excluir a la Administración del derecho de la protección intelectual y señaladamente de los programas de ordenador (96 del TRLPI) carece de todo fundamento. El artículo 7.2 de la Ley 33/2003 de Patrimonio de las Administraciones Públicas atribuye la consideración de patrimoniales de la Administración a los derechos de propiedad incorporal hayan sido adquiridos de particulares o generados por la propia Administración. Y el artículo 157 de la Ley 40/2015, de Régimen Jurídico del Sector Público se refiere expresamente a los derechos de propiedad intelectual de que son titulares las Administraciones Públicas sobre las aplicaciones desarrolladas por sus servicios o que hayan sido objeto de contratación.

En fin, aunque esto sería suficiente para desestimar el recurso, la apelante no ha desvirtuado que la entrega del código fuente de la aplicación BOSCO pondría en grave riesgo derechos de terceros y atentaría a bienes jurídicos protegidos por los límites al derecho de acceso a la información pública del artículo 14.1 letras d), g), i) y k) LTAIBG.

En efecto, la revelación del código aumenta de una manera objetiva la severidad de las vulnerabilidades de cualquier aplicación informática, más aún cuando se maneja información clasificada o sensible, no siendo exigible a la Administración que todas las aplicaciones que desarrolle lo sea con fuentes abiertas.

Antes al contrario, un sistema informático ha de ser desarrollado sobre la base de unas garantías de seguridad en función de la sensibilidad de la información a la que da acceso; en el caso examinado existe el compromiso de intereses de terceros y de otros bienes jurídicos, se podrían producir vulnerabilidades para acceder a las bases de datos conectadas con la aplicación que contienen datos especialmente protegidos, como la discapacidad o la condición de víctima de violencia de género del solicitante, los datos tributarios a la AEAT, de la Seguridad Social, etc. y se pondría en riesgo la confidencialidad de la información tributaria, se posibilitaría la suplantación de los usuarios autorizados, la falsificación del consentimiento, etc.

Para alcanzar tal conclusión es concluyente el informe del Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, la unidad técnica que gestiona para MITECO el sistema de información BOSCO. El informe se sometió a contradicción con audiencia de las partes, no quedando duda al respecto de que es garantía de protección ante las vulnerabilidades la ocultación del código fuente de la aplicación, de forma que no se permita a un potencial atacante estudiar el código para descubrir una vulnerabilidad de día cero. Según el informe, develar el código fuente podría acarrear las siguientes consecuencias:

- Que el ataque sería muy difícil de detectar por parte de los encargados de la administración técnica de los sistemas de información y del equipo de ciberseguridad del Ministerio, puesto que dicho personal técnico no sería consciente de que sus sistemas de información están siendo atacados.

- El Ministerio no tendría a su disposición, en el momento en que se produce el ataque, de los medios técnicos (antivirus, sondas, parches de seguridad de los productos de Sistema Operativo y Middleware) necesarios para mitigar la vulnerabilidad, puesto que los fabricantes que dan soporte a estos productos tampoco serían conscientes de la vulnerabilidad en sus productos, o de que dicha vulnerabilidad sea detectada y eliminada por los productos específicos de seguridad informática.

- Debido a lo indicado en los anteriores puntos, el atacante dispondría del tiempo suficiente conseguir sus objetivos, entre los que se podrían a modo de ejemplo enumerar las siguientes actuaciones:

- Acceder o modificar, evidentemente con propósitos ilícitos, a los datos de la base de datos de la propia aplicación, que incluye datos personales de especial protección de los interesados en los trámites (niveles de renta de los individuos, situación familiar y laboral, o si existe calificación como víctima de violencia de género o de terrorismo, o si el interesado sufre alguna discapacidad).

- Intento de acceso y/o alteración de los datos almacenados en otras bases de datos, correspondientes a otras tramitaciones administrativas cuya responsabilidad recae en el Ministerio de Industria, Comercio y Turismo.

- Utilizar los medios de la infraestructura de cómputo del Ministerio para otros fines, como por ejemplo la minería de criptomonedas.

- Utilizar la imagen del Ministerio para pertrechar delitos basados en ingeniería social (blackmail o phishing).

También nos vemos obligados aquí a disentir del argumento de la recurrente sobre la infracción del artículo 9.3 CE. El debate se centra en el derecho al acceso al código fuente de la aplicación con la que se gestiona el bono social, quedando fuera del valladar del debate determinar si es conforme a derecho el procedimiento de comprobación para verificar la condición de consumidor vulnerable (Real Decreto 897/2017 por el que se regula la figura del consumidor vulnerable, el bono social y otras medidas de protección para los consumidores domésticos de energía eléctrica y Orden ETU 943/2017, sobre el mecanismo de comprobación de los requisitos para ser consumidor vulnerable).

Como dice el Abogado del Estado la aplicación informática no es más que una herramienta que se integra en el seno de un procedimiento administrativo que seguirá produciendo un acto administrativo plenamente sujeto al ordenamiento jurídico, de modo que el control de la legalidad de los actos administrativos sigue estando garantizado: la legalidad (o no) del acto administrativo no viene justificada por el uso de la aplicación informática sino por la adecuación al ordenamiento jurídico del acto producido."

"El código fuente está protegido por la Ley de Propiedad Intelectual; además, la difusión del código fuente de la aplicación BOSCO es susceptible de causar perjuicios graves a los mismos e infringe límites de acceso de los contemplados en el artículo 14 LTIBG. No es atendible el argumento de que se haya causado indefensión al recurrente porque en una de las contestaciones a la demanda se esgrimiera la concurrencia de nuevos límites a la entrega del código fuente de la aplicación BOSCO y se propusiera prueba al respecto.

A este respecto cabe recordar que en los escritos de contestación pueden esgrimirse cuantos motivos procedan hayan sido o no planteados ante la Administración (artículo 56.1 LJCA). De esa forma, el MITECO tiene derecho a invocar todos los motivos de desestimación del recurso y, en el caso, sobre la improcedencia de facilitar el acceso al código fuente a la luz de la LTAIBG: por ello, todas las causas de inadmisibilidad de una solicitud o límites al acceso a la información pública potencialmente relevantes".

Mediante ATS de 27/09/2024 se admitió el recurso de casación preparado por la Fundación CIVIO que tiene el siguiente contenido:

«1.º) Admitir el recurso de casación n.º 7878/2024 preparado por la representación procesal de la Fundación Ciudadana Civio contra la sentencia dictada por la Sección Séptima de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de fecha 30 de abril de 2024, desestimatoria del recurso de apelación n.º 51/2022.

2.º) Declarar que la cuestión planteada en el recurso que presenta interés casacional objetivo para la formación de la jurisprudencia consiste en determinar la procedencia -o no- de facilitar el código fuente de la aplicación informática para determinar si se cumplen los requisitos para ser beneficiario del bono social.

3º) Identificar como normas jurídicas que, en principio, serán objeto de interpretación: son los artículos 14.1 y 2 y 16 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, sin perjuicio de que la sentencia haya de extenderse a otras cuestiones o normas si así lo exigiere el debate finalmente trabado en el recurso.»

La Sentencia comentada

La Sentencia, además de fundamentada, está muy bien escrita muy clara; recomiendo su lectura completa que siempre será más nutritiva que este resumen largo.

Con carácter previo la Sentencia trata una cuestión procesal muy interesante que es la que vamos a ver en primer lugar.

A) ¿Pueden los demandados en su contestación ampliar los motivos expuestos en la resolución impugnada sin que exista desviación procesal o indefensión y seguir manteniéndolos en casación?

La recurrente se quejaba de que la Abogacía del Estado en vía judicial había introducido otras causas de oposición que no estaban previstas en la resolución del CTBG de 18/02/2019, objeto del proceso y que, por ello, tampoco las podía sostener en el debate casacional ante el Tribunal Supremo.

La Sentencia lo rechaza, confirmando que sí podía plantearlas, por las siguientes razones:

"En primer lugar, debe resaltarse que tanto en vía administrativa, ante el Consejo de Transparencia, como en vía judicial, ante el Juzgado Central de lo Contencioso-Administrativo y ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, el debate acerca de los límites al acceso a la información pública, aplicables al caso versó no solo sobre el contemplado en la letra j) del apartado 1 del artículo 14 de la LTAIBG -propiedad intelectual-, sino también sobre los contemplados en las letras a) y d) -seguridad nacional y seguridad pública-.

En segundo lugar, el artículo 56 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LJCA), al disponer que: «En los escritos de demanda y de contestación se consignarán con la debida separación los hechos, los fundamentos de Derecho y las pretensiones que se deduzcan, en justificación de las cuales podrán alegarse cuantos motivos procedan, hayan sido o no planteados ante la Administración», autoriza que las partes puedan en tales escritos incorporar al debate procesal cuantos motivos de impugnación como de defensa de la legalidad de la actuación administrativa procedan, con independencia de que hubieran sido invocados en la vía administrativa.

En tercer lugar, esta previsión legal es coherente con lo dispuesto en el artículo 60.2 de la LJCA, donde se permite al recurrente pedir el recibimiento a prueba y expresar los medios de prueba que se propongan solicitar, cuando de la contestación a la demanda resultaran nuevos hechos de trascendencia para la resolución del pleito, dentro de los cinco días siguientes a aquel en que se haya dado traslado de la misma, con el objeto de salvaguardar su derecho de defensa.

También lo es con la facultad atribuida al Juez o Tribunal de someter a las partes la concurrencia de motivos susceptibles de fundar el recurso o la oposición, no alegados por aquellas, incorporándolos de este modo al debate procesal, facultad contemplada en los artículos 33.2 y 65.2 de la LJCA.

Por tanto, con carácter general, el hecho de que la parte demandada en un proceso contencioso-administrativo esgrima en su contestación a la demanda nuevos motivos para oponerse a la pretensión de la parte demandante, incluso basados en hechos nuevos también, no supone una infracción de las normas procesales previstas en la Ley Jurisdiccional ni, en consecuencia, resulta lesivo para el derecho de defensa o a la tutela judicial efectiva de la parte demandante, pues las partes tienen en tal caso la ocasión de formular las alegaciones que consideren oportunas sobre su concurrencia y de proponer las pruebas que estimen pertinentes en defensa de sus derechos e intereses legítimos.

Esta consideración no ve desvirtuada por el hecho de que el CTBG no acogiera o rechazara alguno o algunos de los limites alegados por la Abogacía del Estado al acceso a la información pública solicitada por la Fundación Ciudadana Civio en vía administrativa. La resolución del CTBG, que estimó parcialmente la pretensión de acceso de la fundación recurrente, constituye el acto administrativo recurrido, posteriormente, en vía contencioso-administrativa, donde el control de legalidad a que se somete por esta jurisdicción no puede verse constreñido por los límites al acceso a la información pública apreciados en la resolución administrativa y puede versar sobre aquellos otros cuya concurrencia fue rechazada en vía administrativa.

En este sentido nos pronunciamos en la sentencia de esta Sala del Tribunal Supremo de 26 de mayo de 2011 (rec. 5991/2007), FJ 2º, cuando, con ocasión de la alegación de desviación procesal respecto a lo decidido en vía administrativa por haberse confirmado judicialmente la resolución administrativa con fundamento en motivos no coincidentes con los aducidos en su momento por la Administración, afirmamos que dicha desviación solo «se produce cuando en sede jurisdiccional el demandante plantea pretensiones que no formuló en vía administrativa, o cuando la Administración pretende un pronunciamiento distinto y más gravoso que el que ella misma hizo en su resolución». Y argumentábamos que si la Ley procesal, en la interpretación «directamente inspirada en la voluntad del legislador declarada en la Exposición de Motivos de la Ley, permite a la parte actora suscitar en el proceso argumentos y cuestiones que no había planteado en vía administrativa, la superación de la tradicional y restringida concepción del recurso contencioso-administrativo como instancia meramente revisora debe igualmente conducir a que, en el debate en plenitud que el proceso ha de suponer, también la Administración pueda respaldar su actuación con razones distintas a las que esgrimió en vía administrativa».

Añadimos en la STS de 6 de mayo de 2013 (rec. 3953/2010), FJ 4º, que no cabe apreciar incongruencia en la resolución judicial: «cuando el tribunal resuelve el recurso dentro de los términos del debate planteados por las partes, tanto en la demanda como en la contestación, aun cuando las alegaciones o argumentos jurídicos sean distintos de los empleados en vía administrativa, bien para fundar la ilegalidad de la resolución administrativa bien para sostener la conformidad a derecho de la misma. Como ya dijimos en nuestra STS, Sala Tercera Sección Sexta, de 7 de febrero de 2013 (3846/2010) "la posibilidad de conocer en sede jurisdiccional sobre motivos no suscitados en vía administrativa, es una consecuencia que deriva de la superación del carácter revisor de la jurisdicción contencioso-administrativa, que impedía que se pudieran plantear ante ésta cuestiones nuevas. De esta forma, al igual que el recurrente puede apoyar su pretensión en vía jurisdiccional en nuevos motivos, distintos a los aducidos en vía administrativa, también la Administración podrá alegar nuevos argumentos en apoyo de la legalidad de la actuación administrativa sin que se encuentre estrictamente vinculada por las razones en las que basó la resolución administrativa. Por ello, el artículo 56.1 la Ley reguladora de esta Jurisdicción establece que "en los escritos de demanda y de contestación se consignarán con la debida separación los hechos, los fundamentos de derecho y las pretensiones que se deduzcan, en justificación de los cuales pueden alegarse cuantos motivos procedan, hayan sido o no planteados ante la Administración". De donde se concluye la posibilidad de incorporar a la demanda y en la contestación nuevas alegaciones, argumentos o motivos siempre que no quede alterada la pretensión. Esta conclusión es armónica con la doctrina del Tribunal Constitucional que se ha pronunciado sobre el carácter pleno de la jurisdicción contencioso-administrativa y la falta de vinculación estricta a los motivos alegados en la vía administrativa si se quiere respetar el derecho a la tutela judicial efectiva».

Además, hemos declarado que tampoco ello infringe la prohibición de reforma peyorativa que forma parte del derecho a la tutela judicial efectiva (STC 28/2003, de 10 de febrero, FJ 3º) puesto que ésta «tiene lugar cuando la parte recurrente, en virtud de su propio recurso, ve empeorada o agravada la situación jurídica creada o declarada por la resolución impugnada, de modo que lo obtenido con la resolución judicial que resuelve el recurso produce un efecto contrario al pretendido por el recurrente que era, precisamente, eliminar o minorar el gravamen sufrido con la resolución objeto de la impugnación» [vid. STS de 11 de marzo de 2016 (rec. 2242/2014), FJ 1º]. Por ello, «la determinación de si existe o no reformatio in peius ha de hacerse contrastando los pronunciamientos de la resolución administrativa y de la sentencia, no sus fundamentos» [vid. STS de 26 de mayo de 2011 (rec. 5991/2007), FJ 2º] de modo que: «no existe cuando una sentencia judicial confirma la resolución administrativa impugnada sin alterar la situación preexistente del recurrente en relación con la pretensión que se ejercita», como aquí sucede, resultando que «[n]o puede entenderse [...] que una sentencia que confirma una resolución administrativa empeora la situación jurídica que esta parte tenía antes de interponer el recurso. El hecho de que la sentencia utilizara una vía argumental distinta a la empleada por [la Administración] para llegar a la misma solución no modifica el hecho de que su pretensión indemnizatoria fue rechazada tanto en vía administrativa como jurisdiccional, por lo que no se ha agravado su situación» [vid. STS de 6 de mayo de 2013 (rec. 3953/2010), FJ 3º].

Sentado lo anterior y descendiendo al concreto supuesto que nos ocupa, concluye esta Sala, frente a lo sostenido por la fundación recurrente, que ningún obstáculo existe para que el debate en vía judicial sobre los límites aplicables al derecho de acceso a la información pública verse sobre aquellos que fueron rechazados por la resolución administrativa recurrida y sobre aquellos otros incorporados a la controversia judicial por la Administración demandada en el proceso seguido en la instancia, destacando en este particular que la oposición de la Abogacía del Estado al recurso de casación no introduce en el debate procesal la eventual concurrencia de límites al acceso a la información pública que no hubieran sido aducidos con anterioridad en vía administrativa y/o en vía judicial.

Por todo ello, esta Sala considera que la alegación en vía judicial -en la instancia- de límites legales al acceso a la información pública, no acogidos por el órgano administrativo que dictó la resolución administrativa recurrida Consejo de Transparencia y Buen Gobierno-, no menoscaba, en modo alguno, el derecho de defensa de la parte recurrente.

Consecuentemente, no resulta procedente limitar, como pretende la fundación recurrente, el debate casacional a la concurrencia de límite de acceso previsto en el artículo 14.1.j) –propiedad intelectual- de la LTAIBG, que habrá de versar también sobre los restantes límites objeto de alegación por la Abogacía del Estado en la instancia, reiterados en este recurso de casación.".

B) El derecho de acceso a la información pública es un derecho subjetivo constitucional que el legislador ni el aplicador de la norma pueden desconocer.

La Sentencia afirma claramente que «el derecho de acceso a la información pública trasciende a su condición de principio objetivo rector de la actuación de las Administraciones públicas, para constituir un derecho constitucional ejercitable, como derecho subjetivo, frente a las administraciones, derivado de exigencias de democracia y transparencia, e inseparablemente unido al Estado democrático y de Derecho que enuncia el artículo 1 de nuestra Constitución (...) Derecho subjetivo que, si bien hemos advertido, no tiene la consideración de derecho fundamental en atención a su caracterización y ubicación sistemática en la Constitución [vid. SSTS de 7 de febrero de 2023 (rec. 8005/2021), FJ 5º; de 21 de abril de 2023 (rec. 350/2022), FJ 3º; y de 29 de mayo de 2023 (rec. 373/2022), FJ 3º], sí se configura como un derecho constitucional, con contenido propio y efectivo que ni el legislador, ni el aplicador de la norma pueden desconocer [vid. STC 18/1981, de 8 de junio, FJ 5º, y STS de 6 de junio de 2005 (rec. 68/2002), FJ 6º], cuyo ejercicio no cabe diferir o mediatizar por remisión al ejercicio de acciones procesales (vid. STC 164/2021, de 4 de octubre, FJ 3º), y que se encuentra estrechamente vinculado con la plena efectividad de otros principios y derechos constitucionales».

Añade que se trata de un «derecho constitucional subjetivo que presenta una íntima conexión con derechos fundamentales y libertades públicas, en la medida que su ejercicio puede condicionar la plena efectividad de estos, como el derecho de participación política (artículo 23 de la CE), el derecho a la libertad de información (artículo 20 de la CE) y el derecho a la tutela judicial efectiva (artículo 24 de la CE). Esa estrecha vinculación se advierte, igualmente, con el principio de legalidad, materializado en el sometimiento de las Administraciones públicas a la Ley y al Derecho, y su salvaguarda mediante el control que los Tribunales ejercen sobre sus actuaciones, por cuanto favorece su eficaz fiscalización por la jurisdicción contencioso-administrativa.

Y, en el ámbito del Derecho internacional, que opera como pauta interpretativa conforme al artículo 10.2 de la CE, es destacable tanto el reconocimiento expreso del derecho de acceso a la información pública como derecho fundamental en sí mismo, cual sucede en el artículo 42 de la Carta de Derechos Fundamentales de la Unión Europea, donde se dispone que: «Todo ciudadano de la Unión y toda persona física o jurídica que resida o tenga su domicilio social en un Estado miembro tiene derecho a acceder a los documentos de las instituciones, órganos y organismos de la Unión, cualquiera que sea su soporte», como su vinculación y entendimiento instrumental del derecho a la libertad de expresión y a la información, como ocurre con el artículo 19.2 del Pacto Internacional de Derechos Civiles y Políticos, hecho en Nueva York el 19 de diciembre de 1966, según la Observación General CCPR/C/GC/34 del Comité de Derechos Humanos de las Naciones Unidas, pues aquel precepto que reconoce el derecho a la libertad de expresión «enuncia un derecho de acceso a la información en poder de los organismos públicos» (vid. parágrafo 18), y con el artículo 10 del Convenio Europeo de Derechos Humanos que reconoce el derecho a la libertad de expresión, conforme a la jurisprudencia del Tribunal Europeo de Derechos Humanos que lo interpreta, a la que haremos referencia más adelante.".

C) La regulación legal del derecho de acceso a la información y el principio de buena administración.

Además de condensar la regulación legal del derecho de acceso a la información, añade un interesantísimo resumen jurisprudencial sobre esta materia que todos los ciudadanos deberíamos guardar como oro en paño para usarlo cuando queramos ejercer nuestro derecho constitucional a obtener información pública:

«El actual desarrollo legal del derecho de acceso a la información pública, tal y como lo prevé el artículo 105.b) de la CE, se contiene en los artículos 12 a 24 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIBG), que constituye la normativa básica transversal que regula esta materia, al tiempo que complementa al resto de las normas, y queda desplazada, actuando en este caso como supletoria, cuando otra norma legal haya dispuesto un régimen jurídico propio y específico de acceso a la información, de conformidad con lo establecido por la disposición adicional primera, apartado segundo, de la LTAIBG (vid. STS de 25 de enero de 2021 (rec. 6387/2019), FJ 4º.5).

El artículo 12 de la LTAIBG reconoce el derecho de todas las personas a acceder a la información pública, entendiéndose ésta, de acuerdo con el artículo 13, como «los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de alguno de los sujetos incluidos en el ámbito de aplicación de este título y que hayan sido elaborados o adquiridos en el ejercicio de sus funciones». Hemos enfatizado que la delimitación subjetiva del derecho se efectúa por la Ley en términos muy amplios, reconociéndose a “todas las personas” sin mayores distinciones (vid. STS de 25 de marzo de 2021 (rec. 2578/2020), FJ 3º.4), sin necesidad de motivar la solicitud (vid. STS de 12 de noviembre de 2020 (rec. 5239/2019), FJ 4º.7) y sin que, en todo caso, quepa excluir las solicitudes de acceso por razón del interés privado que las motiven (vid. STS de 2 de junio de 2022 (rec. 4116/2020), FJ 2º.1).

Ello no significa que se trate de un derecho ilimitado o absoluto, pero solamente puede ser limitado por los motivos predeterminados en la ley que se encuentran en los artículos 14 y 15 de la LTAIBG (vid. STC 164/2021, de 4 de octubre, FJ 3º).

El primer precepto mencionado detalla un listado de límites del derecho de acceso, que tienen por objeto la protección de los intereses que enumera el artículo y que son los siguientes: a) la seguridad nacional, b) la defensa, c) las relaciones exteriores, d) la seguridad pública, e) la prevención, investigación y sanción de los ilícitos penales, administrativos o disciplinarios, f) la igualdad de las partes en los procesos judiciales y la tutela judicial efectiva, g) las funciones administrativas, de vigilancia, inspección y control, h) los intereses económicos y comerciales, i) la política económica y monetaria, j) el secreto profesional y la propiedad intelectual e industrial, k) la garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión y l) la protección del medio ambiente.

Precisa el apartado 2º del artículo 14 de la LTAIBG que la aplicación de dichos límites, cuando proceda, habrá de ser justificada y proporcionada a su objetivo y a la finalidad de protección, atendiendo a las circunstancias del caso concreto y, especialmente, a la concurrencia de un interés público o privado superior que justifique el acceso. De ello se colige, como hemos tenido oportunidad de aclarar, que los límites contemplados en este precepto no constituyen causas de exclusión (vid. STS de 16 de diciembre de 2019 (rec. 316/2018), FJ 4º.C) ni la apreciación de su concurrencia es una potestad discrecional de la Administración (vid. STS de 29 de mayo de 2023 (rec. 373/2022), FJ 4º), ni cabe su aplicación genérica, sino que exigen una ponderación de los intereses en juego, el de acceso a la información pública, por un lado, y el protegido por la limitación de que se trate (vid. STS de 25 de enero de 2021 (rec. 6387/2019), FJ 4º.8), debiéndose interpretar los citados límites de forma restrictiva, a fin de no menoscabar el derecho de acceso, regulado de forma amplia en la Ley (vid. STS de 8 de abril de 2024 (rec. 681/2022), FJ 4º)».

Continúa diciendo la sentencia:

«El principio de buena administración conduce también a una interpretación amplia y expansiva de este derecho constitucional, que conlleva una interpretación restrictiva de los límites oponibles al acceso a la información pública, con independencia de se exija su aplicación justificada y proporcionada, como examinaremos más adelante.

Este principio fue objeto de tratamiento en nuestra sentencia de 30 de abril de 2025 (rec. 1100/2022) en los términos que resumimos a continuación.

Se infiere de los artículos 9.3 -proclama la garantía constitucional de la interdicción de la arbitrariedad de los poderes públicos-, 103 -la Administración Pública sirve con objetividad los intereses generales y actúa de acuerdo con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con sometimiento pleno a la ley y al Derecho- y 106 de la CE - los Tribunales controlan la legalidad de la actuación administrativa, así como el sometimiento de ésta a los fines que la justifican-.

Estos mandatos constitucionales tienen su reflejo en el artículo 3.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, conforme al cual las Administraciones Públicas sirven con objetividad los intereses generales y actúan de acuerdo con los principios de eficacia, jerarquía, descentralización, desconcentración y coordinación, con sometimiento pleno a la Constitución, a la Ley y al Derecho, y deberán respetar en su actuación y relaciones, entre otros, los principios de buena fe, confianza legítima y lealtad institucional.

Además, el artículo 41 de la Carta de los Derechos Fundamentales de la Unión Europea que fue proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea el 7 de diciembre de 2000 en Niza (DOUE núm. 83, de 30 de marzo de 2010), ha consagrado como un derecho fundamental de la Unión Europea el derecho a la buena administración.

Por último, el principio de buena administración ha sido objeto de tratamiento jurisprudencial, en diversas sentencias de esta Sala del Tribunal Supremo, de las que destacamos la Sentencia núm. 1752/2022, de 23 de diciembre de 2022 (Rec. 1763/2021) que cita otros muchos precedentes jurisprudenciales, donde hemos enfatizado su efectividad, en la medida en que del mismo una serie de derechos de los ciudadanos con plasmación efectiva, y hemos precisado que no se trata, por tanto, de una mera fórmula vacía de contenido, sino que se impone a las Administraciones públicas de suerte que a dichos derechos sigue un correlativo elenco de deberes a estas exigibles, entre los que se encuentran, desde luego, la transparencia y el acceso a la información pública.

En esta línea de amplio reconocimiento del derecho de acceso, el artículo 16 de la LTAIBG prevé el acceso parcial a la información cuando resulte de aplicación alguno de los límites del anterior artículo 14, pero no afecte a la totalidad de la información, salvo que de ello resulte una información distorsionada o que carezca de sentido.

Por su parte, el artículo 15 de la LTAIBG contempla otra serie de límites derivados de la protección de datos personales que eventualmente pudiera contener la información solicitada, distinguiendo los supuestos en los que resultan involucrados datos especialmente protegidos (apartado 1º), datos meramente identificativos relacionados con la organización, funcionamiento o actividad del órgano (apartado 2º) y datos personales no especialmente protegidos (apartado 3º), y contemplando reglas específicas para cada uno de ellos, salvo que se haya efectuado una previa disociación de los datos personales que impida la identificación de las personas afectadas (apartado 4º), caso en el que no resultan aplicables aquellos límites».

Antes de continuar, con relación a la buena administración, les dejo este magnífico artículo del profesor Juli Ponce Solé, la persona que más y mejor ha escrito de este principio, "El derecho a una buena administración, su exigencia judicial y el privilegio de ejecutoriedad de los actos administrativos. A propósito de la Sentencia de la Sala 3ª del Tribunal Supremo 1421/2020, de 28 de mayo de 2020, recurso de casación 5751/2017", así como algunas entradas de este blog donde se habla de ese derecho subjetivo del ciudadano que constituye a la vez una carga de la Administración:

• La inaplicabilidad del art. 1110 del Código Civil al cumplimiento de las obligaciones dinerarias de las Administraciones con los particulares y el principio de buena administración

  
  

• La resolución extemporánea declarando desistido al reclamante cuando ya se ha producido el silencio negativo es incompatible con los principios de buena administración, racionalización y eficacia

  
  

• La cita previa obligatoria, las potestades discrecionales y el principio de buena administración

  
  

• El silencio administrativo, la buena administración y el derecho a la tutela judicial efectiva

  
  

• El plazo de caducidad del sancionador las actuaciones previas y el principio de buena administración

D) La actividad automatizada de la Administración, los algoritmos, el código fuente y el principio de transparencia algorítmica.

La sentencia explica también de manera muy didáctica varios conceptos complejos que tienen que ver con la toma de decisiones automatizadas administrativas; comienza por el principio de transparencia algorítmica, el de democracia digital; y continúa explicando qué es la actividad administrativa automatizada, los algoritmos y el código fuente:

«Desde luego, no cabe cuestionar la conveniencia de que las Administraciones públicas recurran a sistemas de toma de decisiones automatizadas para el eficaz desempeño de sus funciones o la adecuada prestación de servicios públicos. No obstante, ello debe conllevar exigencias de transparencia de los procesos informáticos seguidos en dichas actuaciones, con el objeto de proporcionar a los ciudadanos la información necesaria para su comprensión y el conocimiento de las características básicas de su funcionamiento, lo que puede requerir el acceso a su código fuente.

Surge así, con motivo de la actividad administrativa automatizada, el llamado principio de “transparencia algorítmica”, que impone a las Administraciones públicas obligaciones de información pública para facilitar el acceso de los ciudadanos, en mayor o menor medida, a las características fundamentales de los algoritmos empleados en la toma de decisiones o su código fuente, como una manifestación del principio de transparencia, consagrado constitucionalmente (artículo 105.b) de la CE).

En íntima conexión con este principio aparece un concepto de mayor amplitud: “democracia digital o electrónica”. Nace como consecuencia del uso de las tecnologías digitales por los gobiernos y los ciudadanos, y su desarrollo pretende fortalecer las prácticas democráticas tradicionales. La democracia digital no solo es una extensión tecnológica de la democracia representativa, sino que también es el fruto de una auténtica transformación estructural en el funcionamiento democrático de los Poderes públicos, caracterizada por la vigencia de los principios de transparencia, participación y rendición de cuentas en un entorno digital, donde el acceso a la información púbica y la transparencia algorítmica ocupan un papel esencial para garantizarla. En este nuevo contexto digital democrático se impone a los Poderes públicos la obligación, entre otras, de explicar de forma comprensible el funcionamiento de los algoritmos que se emplean en la toma de decisiones que afectan a los ciudadanos para permitirles conocer, fiscalizar y participar en la gestión pública.

Antes de proseguir, para facilitar el examen de esta materia, conviene aproximarnos a estos conceptos técnicos, no siempre de fácil comprensión, enunciando sus rasgos fundamentales. Veamos:

1.- Las actuaciones administrativas automatizadas deben ser entendidas como «cualquier acto o actuación realizada íntegramente a través de medios» electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público», tal y como se definen en el artículo 41.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

2.- Los algoritmos incorporados a las aplicaciones o programas informáticos, según el Diccionario de la Real Academia Española, son un «conjunto ordenado y finito de operaciones que permite hallar la solución de un problema», es decir, un grupo finito de operaciones organizadas de manera lógica y ordenada que permiten alcanzar la solución a un problema determinado o realizar una tarea específica mediante un ordenador o computadora. De modo que funcionan mediante una cadena de instrucciones preestablecidas que determinan el seguimiento de unos determinados pasos programados hasta alcanzar el resultado pretendido.

3.- El código fuente del algoritmo expresa esas operaciones descritas en el lenguaje de la programación, es decir, es la traducción concreta de un algoritmo a un lenguaje de programación que puede ser entendido y ejecutado por un ordenador o computadora. De modo que constituye la representación escrita del algoritmo en un lenguaje de programación, sin perjuicio de que las operaciones así descritas resulten traducibles a lenguaje humano.

Dicho de otra manera, empleando las palabras del Consejo de Transparencia, el código fuente es el archivo o conjunto de archivos que tienen un conjunto de instrucciones muy precisas, basadas en un lenguaje de programación, que se utiliza para poder compilar los diferentes programas informáticos que lo utilizan y se puedan ejecutar sin mayores problemas».

E) El derecho de acceso a la información con relación a los sistemas o aplicaciones informáticas de las Administraciones Públicas.

Con relación a esto, la sentencia afirma que el código fuente de las aplicaciones de las Administraciones Públicas que toman decisiones automatizadas forma parte del derecho a la información; aunque al mismo tiempo reconoce también que facilitarlo puede entrañar riesgos que habrá que ponderar conforme a la ley y a la jurisprudencia antes citada, maximizando dicho acceso:

«...no cabe duda de que las aplicaciones o programas informáticos -software- se encuentran bajo el ámbito material de la aplicación de la LTAIBG pues constituyen información pública a tal efecto, resultando irrelevante cuáles sean sus características técnicas (formato) o el material en el que se registre (soporte), cuestión esta que no resulta controvertida.

Pues bien, como hemos declarado, cuando las Administraciones Públicas hacen uso de sistemas informáticos de toma de decisiones automatizadas en el ejercicio de las potestades públicas, con afectación de los derechos de los ciudadanos, el acceso a su código fuente es uno de los mecanismos a través de los cuales se garantiza la transparencia algorítmica que demanda el pleno ejercicio del derecho a la información pública. No obstante, debe reconocerse que la autorización de ese acceso puede entrañar riesgos para otros derechos o intereses dignos de protección, que deben ser considerados y ponderados, bajo el marco legal de los límites al derecho de acceso a la información pública y maximizando este acceso.

En esta ponderación de derechos e intereses no pueden desdeñarse los riesgos de seguridad que pudiera generar el acceso de terceros al código fuente del algoritmo del sistema informático por las vulnerabilidades que entrañe. Pero tampoco puede soslayarse que estos riesgos, por lo general, pueden ser previstos, lo que posibilita el diseño de la aplicación o programa informático fortaleciendo la seguridad del sistema, con su consiguiente minimización.

Por otro lado, la interpretación y ponderación de los límites del derecho de acceso a la información pública, particularmente, sobre una aplicación informática de toma de decisiones automatizadas, que esta Sala llevará a cabo a continuación, se encuentra condicionada al hecho de que ese funcionamiento automatizado sirve de soporte al reconocimiento o denegación de derechos sociales, arrojando un resultado positivo o negativo, sin exteriorizar las razones de dicho resultado.

Por lo demás, en estos casos la transparencia de las aplicaciones informáticas o del proceso tecnológico seguido por el sistema informático adquiere singular relevancia para garantizar el adecuado control de la gestión pública, al brindar a la ciudadanía la información necesaria acerca del proceso seguido en la toma de decisiones para su comprensión, así como para comprobar su adecuación a las normas cuya aplicación debe regir su funcionamiento.».

Esto de que la aplicación BOSCO no exteriorice las razones de la decisión que adopta, me ha recordado al despotismo ilustrado (del que hablé en Administración electrónica en la Ley 39/15: ¿Un nuevo despotismo ilustrado?) y al famoso comentario del profesor González Pérez sobre la Pragmática Sanción de 1767 de Carlos III de extrañamiento de los regulares de la Compañía de Jesús de los reinos de España que el añorado profesor ponía como ejemplo de mala motivación cuando en lugar de exponer las razones de su expulsión decía:

«Habiéndome conformado con el parecer de los de mi Consejo Real en el Extraordinario que se celebra con motivo de las ocurrencias pasadas, en consulta de 29 de enero próximo, y de lo que sobre ella me han expuesto personas del más elevado carácter; estimulado de gravísimas causas, relativas a la obligación en que me hallo constituido de mantener en subordinación, tranquilidad y justicia mis pueblos, y otras urgentes, justas y necesarias que reservo en mi Real ánimo...».

F) Criterio de la Sala sobre la existencia del límite de acceso del art. 14.1.j) LTAIBG (propiedad intelectual).

Con carácter previo, la Sala coincide con la Abogacía del Estado que el código fuente no es ni un acto administrativo ni una disposición reglamentaria «pues se trata de una aplicación instrumental para que las empresas comercializadoras de energía eléctrica puedan comprobar si el consumidor cumple con los requisitos previstos legal y reglamentariamente para tener la consideración de consumidor vulnerable».

Como tal programa de ordenador «se encuentra incluido específicamente dentro de las creaciones susceptibles de ser objeto de propiedad intelectual (artículos 10.1.i) y 95 y siguientes del TRLPI). Su código fuente queda específicamente protegido por el derecho de autor en la medida en la que constituye una forma de expresión del programa de ordenador, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea, en interpretación del artículo 1 de la Directiva 2009/24/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2009, sobre la protección jurídica de programas de ordenador, y sus precedentes (vid. SSTJUE de 22 de diciembre de 2010 (asunto C-393/09), apartados 34 y 35; de 6 de octubre de 2021 (asunto C-13/20), apartados 35 y 36; y de 17 de octubre de 2024 (C-159/23), apartados 37 y 38)».

Ahora bien, eso no significa que no haya que tener en cuenta que «no puede obviarse que la protección jurídica que proporciona la propiedad intelectual -opuesta como límite al acceso por la Abogacía del Estado- y, particularmente, las facultades patrimoniales que integran el derecho de autor, viene justificada, en esencia, por la necesidad de defender y remunerar el trabajo y valor añadido que aporta el creador, así como la inversión de recursos de diversa naturaleza efectuada a tal efecto, otorgando un monopolio de disposición y explotación temporal que permita recuperar los costes incurridos e incentive su continuación como elemento fundamental del progreso cultural y técnico. Sin embargo, dichas finalidades se presentan notoriamente atenuadas cuando, como sucede aquí, el programa de ordenador ha sido creado por la propia Administración Pública, que es la titular de la propiedad intelectual, por mandato de la normativa del sector eléctrico para el ejercicio de competencias públicas y dirigida a servir a intereses igualmente públicos, no encontrándose, en consecuencia, integrada -o no, al menos, principalmente- en la lógica competitiva del mercado donde se proyectan con especial significación los derechos de explotación de la propiedad intelectual».

La posible afectación a la propiedad intelectual del MITECO fue admitida por la Fundación CIVIO en la vista que se celebró en el Tribunal Supremo.

Pero como explica la sentencia ello no supone que sea causa de denegación; sino que habrá que ponderar los derechos e intereses en juego para ver cuál prevalece: si el derecho a la propiedad intelectual o el derecho a la información del solicitante.

Ante el derecho de propiedad intelectual del MITECO (atenuado a estos efectos por lo dicho anteriormente) opone las siguientes razones que le llevan a concluir que, en este caso, prevalece el derecho a la información de la Fundación CIVIO sobre aquél derecho de propiedad intelectual ministerial:

• Que el código fuente de BOSCO permite a las comercializadoras comprobar que el solicitante del bono social cumple los requisitos para ser considerado consumidor vulnerable, lo que se materializa en un descuento en la factura de consumo de energía eléctrica, una de las medidas previstas en los arts. 45 y 45.bis de la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico para proteger a los consumidores vulnerables y luchar contra la pobreza energética.

  
  

• Que esa comprobación y asignación del descuento se realiza automáticamente; como decía antes «no es una mera herramienta de consulta, sino que adopta una decisión sobre si la solicitud del bono social presentada, cumple o no con los requisitos normativamente previstos para que el solicitante sea considerado un consumidor vulnerable en sus diferentes grados, con evidente impacto en los derechos de los ciudadanos a los efectos específicos de la normativa sobre protección de datos».

  
  

• Que el propio CTBG rectificó posteriormente su postura al permitir el acceso («comparte esta Sala las reflexiones del Consejo de Transparencia que han motivado su cambio de criterio sobre el acceso a algoritmos de aplicaciones telemáticas, en sentido contrario al sostenido en la resolución administrativa recurrida en la instancia (por todas, resoluciones del Consejo de Transparencia núm. 46/2024, de 16 de enero y núm. 1071/2024, de 24 de septiembre, y las que en ellas se citan»).

  
  

• Que el acceso del código fuente del algoritmo en las actuaciones administrativas automatizadas permite conocer si se está aplicando bien la normativa y, por lo tanto del deber de motivación de las decisiones administrativas del art. 35 LPAC:

  
  

«Ciertamente, el progresivo desarrollo e implantación de la administración electrónica y el uso creciente de aplicaciones informáticas destinadas a la gestión de servicios públicos, con evidente trascendencia en los derechos de los ciudadanos, en la medida que determinan o condicionan el reconocimiento o denegación de derechos y prestaciones públicas, es decir, que operan como fuente de decisiones automatizadas, conlleva que la configuración y uso de los algoritmos en dichas aplicaciones adquieran una relevancia decisiva y exijan su transparencia.

Como es lógico, la explicabilidad de las aplicaciones informáticas, así como de los algoritmos que las sustentan, utilizadas por las Administraciones públicas, es objeto de una creciente demanda ciudadana, como condición inexcusable para preservar la rendición de cuentas y la fiscalización de las decisiones de los poderes públicos y, en último término, como garantía efectiva frente a la arbitrariedad o los sesgos discriminatorios en la toma de decisiones total o parcialmente automatizadas.

Así es, en el caso de actuaciones administrativas automatizadas, el acceso al código fuente posibilita la comprobación de la conformidad del sistema algorítmico con las previsiones normativas que debe aplicar, pues la motivación -parametrizada- de la decisión administrativa que tiene lugar, reside en el diseño de los parámetros que determinan ese código fuente. Observación que adquiere singular importancia ante el hecho de que las exigencias de motivación de los actos administrativos sean predicables también de las actuaciones administrativas automatizadas, en aplicación del artículo 35 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Por todo ello, en estas circunstancias evitar la opacidad del algoritmo o el código fuente se muestra consustancial al Estado democrático de Derecho, sujeto al principio de transparencia, y refuerza la confianza ciudadana en el correcto funcionamiento de las Administraciones públicas».

• Que en este campo regulatorio «no existen autoridades de supervisión independientes que garanticen el correcto funcionamiento de dichas aplicaciones telemáticas, lo que, dejando al margen el ejercicio de acciones judiciales, reduce notablemente las posibilidades de su fiscalización por los ciudadanos, en general, o por aquellos que se vean afectados por sus resultados, haciendo depender su eficacia del acceso al algoritmo o código fuente de la aplicación».

  
  

• Y finalmente muy relevante, por la condición de quien lo pide, la Fundación CIVIO y el destino que le va a dar a la información:

«la Sala estima transcendentes las características y la función atribuida a la aplicación BOSCO, así como el fin al que sirve, a la hora de ponderar la relevancia pública de la información a la que pretende acceder la Fundación Ciudadana Civio, que es una organización independiente y sin ánimo de lucro, cuya actividad responde a la vigilancia del funcionamiento de las instituciones públicas y de la gestión de los recursos públicos que llevan a cabo, así como la promoción de la información de los ciudadanos acerca de su funcionamiento, para lo cual persigue fomentar su transparencia.

La relevancia pública de la información solicitada por la fundación recurrente se encuentra íntimamente vinculada a las características y el funcionamiento de la aplicación BOSCO pues el código fuente de dicha aplicación ha de responder a las disposiciones normativas que regulan los requisitos que deben cumplir los consumidores para el reconocimiento del bono social por ostentar la condición jurídica de consumidor vulnerable, traduciendo a lenguaje informático dichas normas con el objeto de posibilitar su cabal cumplimiento en la comprobación de la concurrencia de tales requisitos en los consumidores solicitantes del bono social.

El legítimo interés de la fundación recurrente en acceder al código fuente de la aplicación informática reside en la verificación del correcto funcionamiento de la aplicación telemática BOSCO, contrastando que la aplicación telemática es fiel a las previsiones normativas que establecen los requisitos necesarios para ser considerado consumidor vulnerable.

Por otro lado, en la ponderación de intereses en liza, adquiere singular trascendencia ese interés de la fundación recurrente, dada la relevancia pública de la información objeto de la solicitud de acceso -el código fuente de la aplicación BOSCO-, en la medida en que su correcto funcionamiento y su sometimiento a los requisitos exigidos normativamente para obtener la condición de consumidor vulnerable resulta determinante para el reconocimiento del bono social, cuya proyección pública es de innegable magnitud, dada la finalidad que persigue: la protección de los consumidores que se encuentran en una situación social y económica más frágil y la lucha contra la pobreza energética.

Además, la información objeto de acceso proporciona transparencia sobre los asuntos públicos y es relevante para la sociedad en su conjunto o, al menos, para una parte especialmente débil de la misma, lo que evidencia su interés público, con independencia de que la Fundación Ciudadana Civio sea una entidad privada (...)

En relación con la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre este derecho, destacamos que la Fundación Ciudadana Civio desempeña funciones de vigilancia social asociadas a la guarda y custodia del Estado de Derecho y, por ende, de la democracia, en la medida que pretende velar por el correcto funcionamiento de las instituciones públicas y promover la información de los ciudadanos acerca de su mismo y la gestión de los recursos públicos.

Se cumplen de este modo los presupuestos que el Tribunal Europeo de Derechos Humanos ha exigido para reconocer el derecho de acceso a información pública, que expone en su Sentencia 18030/11, de 8 de noviembre. de 2016 (asunto Maygar Helsinki Bizottság c. Hungría): (i) propósito del acceso -la finalidad buscada debe generar debate público o contribuir a la labor de vigilancia de los poderes públicos-; (ii) naturaleza de la información -la información debe ser de interés público, es decir, que proporcione transparencia sobre los asuntos públicos o sea relevante para la sociedad en su conjunto-; (iii) rol del solicitante -debe tratarse de un solicitante que desempeñe funciones de vigilancia social asociadas a la guardia y custodia de la democracia (el TEDH entiende que cumplen estas condiciones los medios de comunicación y periodistas, pero también organizaciones no gubernamentales, investigadores académicos, escritores sobre materias de interés público, blogueros, influencers, etc.)-, y (iv) existencia y disposición de la información -la información debe estar disponible, sin que sea necesario acometer una labor de recopilación-.

Repárese en que la LTAIBG reconoce el derecho de acceso a la información pública con mayor amplitud que el TEDH, pues lo hace también en base a solicitudes fundadas en intereses privados legítimos, por lo que no delimita negativamente el ámbito subjetivo del derecho de acceso por razón del interés privado que lo motive, ni tampoco exige acreditar un determinado interés, tal y como se deduce de su artículo 12 y reconoce nuestra jurisprudencia [STS de 12 de noviembre de 2020 (rec. 5239/2019) y de 2 de junio de 2022 (rec. 4116/2020)], con independencia de que pueda tomarse en consideración en la ponderación de los bienes jurídicos confrontados».

Por todo lo expuesto, concluye la Sentencia que los posibles riesgos o perjuicios del derecho a la propiedad intelectual del MITECO se pueden minimizar, por lo que «en la ponderación de intereses en juego que hace esta Sala, se otorga prevalencia al interés en el acceso al código fuente de la aplicación telemática BOSCO sobre el derecho a la propiedad intelectual de la Administración del Estado y los eventuales perjuicios que pudieran dimanar de dicho acceso como consecuencia de su explotación no autorizada por terceros; perjuicios cuyo riesgo fácilmente puede ser minimizado sometiendo el acceso a determinadas cautelas, como, por ejemplo, la prohibición de la difusión o la utilización del código fuente para otras finalidades sin la autorización expresa de la Administración, la advertencia expresa de la responsabilidad en que puede incurrir el solicitante de acceso por el incumplimiento de esa prohibición, la firma de un compromiso de uso limitado de la información recibida o la imposición de un deber de reserva o confidencialidad respecto de la información consultada».

G) Criterio de la Sala sobre la existencia del límite de acceso del art. 14.1.d) LTAIBG (seguridad pública).

La sentencia comienza diciendo que las sentencias de instancia que se basaron en dos informes, uno del Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, la unidad técnica que gestiona para MITECO el sistema de información BOSCO, y otro del Centro Criptológico Nacional adolecen de una motivación insuficiente, ya que no realizaron el debido juicio de proporcionalidad y ponderación de los intereses en juego que exige el art. 14.2 LTAIBG.

Que si aceptásemos como dice el informe del Centro Criptológico Nacional que «podemos concluir que la revelación del código fuente aumenta de una manera objetiva la severidad de las vulnerabilidades de cualquier aplicación informática», «vaciaría de contenido el derecho de acceso en relación con las aplicaciones telemáticas cuando tuviera por objeto el código fuente, e implicaría la atribución de un carácter absoluto a la limitación de “seguridad pública” que prevé el artículo 14.1.d) de la LTAIBG, sin duda, no previsto por el legislador», además de impedir realizar el citado juicio de proporcionalidad y ponderación de intereses en juego que la LTAIBG exige.

Una vez concluida esa insuficiencia de motivación, al ponderar los derechos e intereses en juego, el derecho a la seguridad pública y, como consecuencia del mismo, indirectamente, del límite del derecho a la protección de datos personales especialmente protegidos que, como consecuencia de las vulnerabilidades que genera el acceso al código fuente de la aplicación BOSCO, pudieran verse comprometidos o resultar accesibles para terceros, y el derecho de la Fundación CIVIO a la información solicitada concluye nuevamente que prevalece este último.

Aunque el código fuente cuyo acceso se solicita no son en sí mismo datos personales, sí que hay que ponderar y evaluar los posibles riesgos para la seguridad pública por el acceso fraudulento a datos de esa naturaleza; «ponderación en la que resulta relevante el grado de vulnerabilidad inherente a aquel acceso y el peligro que pudiera suponer para el acceso no consentido a los datos personales de solicitantes del bono social, por un lado, y la relevancia pública de la información y el legítimo interés de la fundación al acceso, por otro lado. En esta ponderación nos remitimos, para evitar inútiles reiteraciones, a las consideraciones realizadas en el anterior fundamento de derecho para poner de manifiesto la prevalencia de los intereses que justifican el acceso a la información pública».

A mayores añade que aunque existen riesgos, «la transparencia sobre el mismo puede contribuir, en iguales términos potenciales, a la mejora del código y fortalecimiento de su seguridad puesto que, por un lado, incentiva a la Administración a extremar las cautelas de seguridad en el propio diseño y control del programa informático y, por otro lado, su escrutinio por actores diversos e independientes permite aflorar vulnerabilidades inicialmente inadvertidas y posibilitar su corrección temprana»; no siendo raro que haya aplicaciones de las Administraciones con código abierto como el, por otras razones, fallido «Radar COVID».

También señala que en la normativa española y europea «existen mandatos y principios favorables a la transparencia de los algoritmos públicos que conducen a descartar la ocultación del código fuente como principio general y categórico de seguridad de los sistemas informáticos».

En la UE cita el Reglamento (UE) 2024/903 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024 por el que se establecen medidas a fin de garantizar un alto nivel de interoperabilidad del sector público en toda la Unión (Reglamento sobre la Europa Interoperable), considerandos 26 y 36 o art. 5 o en materia de protección de datos los arts. 13.2.f, 14.2.g y 15.1.h) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (RGPD). Sobre la exigencia de explicabilidad de la lógica de las decisiones automatizadas aclara que aunque "no puede identificarse con la obligación de dar acceso al código fuente, pero tampoco queda en todo caso excluido ni se contrapone necesariamente con la seguridad en el tratamiento de los datos personales, como lo evidencian las recomendaciones adoptadas por el Comité Europeo de Protección de Datos en sus Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19, adoptadas el 21 de abril de 2020, en las que se afirmaba que: «37. Para asegurar su equidad, la rendición de cuentas y, más en general, su consonancia con la ley, los algoritmos deben ser auditables y han ser revisados periódicamente por expertos independientes. El código fuente de la aplicación debe hacerse público con miras a un control lo más amplio posible». «GEN-3 El código fuente de la aplicación y de su servidor final debe ser abierto, y las especificaciones técnicas han de hacerse públicas, de modo que cualquier parte interesada pueda auditar el código y, cuando proceda, contribuir a mejorarlo, corrigiendo posibles errores y asegurando la transparencia en el tratamiento de datos personales.»".

En España cita el art. 157.2 de la Ley 40/2015 que prevé la oportunidad de declarar determinadas aplicaciones de las Administraciones como de fuentes abiertas para aumentar la transparencia en su funcionamiento o fomentar la incorporación de los ciudadanos a la Sociedad de la información o el art. 23 de la Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación que, «en orden a tutelar el derecho de igualdad, contiene también principios favorables a la transparencia de los algoritmos empleados en la toma de decisiones por las Administraciones Públicas en los siguientes términos:

«1. En el marco de la Estrategia Nacional de Inteligencia Artificial, de la Carta de Derechos Digitales y de las iniciativas europeas en torno a la Inteligencia Artificial, las administraciones públicas favorecerán la puesta en marcha de mecanismos para que los algoritmos involucrados en la toma de decisiones que se utilicen en las administraciones públicas tengan en cuenta criterios de minimización de sesgos, transparencia y rendición de cuentas, siempre que sea factible técnicamente. En estos mecanismos se incluirán su diseño y datos de entrenamiento, y abordarán su potencial impacto discriminatorio. Para lograr este fin, se promoverá la realización de evaluaciones de impacto que determinen el posible sesgo discriminatorio.

2. Las administraciones públicas, en el marco de sus competencias en el ámbito de los algoritmos involucrados en procesos de toma de decisiones, priorizarán la transparencia en el diseño y la implementación y la capacidad de interpretación de las decisiones adoptadas por los mismos. […]».

Reitera que el uso del programa BOSCO supone una actuación automatizada de la Administración con el se adopta una decisión con evidente impacto en los derechos de los ciudadanos que no ofrece a los interesados un mecanismo para conocer la motivación de la decisión adoptada y que «esta opacidad del programa en la toma de decisión, además de los obstáculos que puede comportar en la eficacia de la reclamación a presentar ante los servicios de consumo, que prevé la normativa reglamentaria examinada, dificulta la detección de eventuales errores en la operativa del programa que, en virtud de su naturaleza automática, adquieren un evidente efecto multiplicador».

Finalmente añade que «los riesgos de seguridad, además de no quedar suficientemente caracterizados, se verían en todo caso circunscritos a una operativa informática especialmente acotada (la de la aplicación del bono social eléctrico) -que, de hecho, la Abogacía del Estado califica de carácter meramente auxiliar-, mientras que los intereses relativos al control de la actuación de la Administración, conectados con la significativa finalidad para la que se emplea el programa BOSCO, y, por ende, el correcto funcionamiento del programa informático, sirven, en este caso, a la efectividad de relevantes bienes jurídicos como los principios de legalidad e igualdad y otros derechos constitucionales, la participación en la toma de decisiones, el fortalecimiento de la democracia y la generación de confianza en las instituciones públicas».

Y, antes de fijar la relevante jurisprudencia que hemos visto al inicio y, en consecuencia, estimar el recurso de casación y declarar el derecho de la Fundación CIVIO al acceso al código fuente del programa BOSCO solicitado, la Sentencia concluye con relación a este apartado en el que analizaba el posible riesgo y afectación a la seguridad pública como causa de denegación que «la transparencia exigible en el funcionamiento de la aplicación telemática BOSCO, con evidente y relevante impacto en los derechos sociales de los ciudadanos, no queda garantizada con la mera explicación funcional sobre la misma, ofrecida por la Administración titular de la aplicación, sino que exige el acceso a su algoritmo, pues de otro modo no resultaría posible comprobar con exactitud y detalle dicho funcionamiento y, por ende, la sujeción de las ordenes o instrucciones en lenguaje informático que contiene a las previsiones legales y reglamentarias sobre los requisitos necesarios para la obtención del bono social».

Es de Justicia

Diego Gómez Fernández

Abogado y profesor de derecho administrativo

www.derechoadministrativoyurbanismo.es/blog 

Si le ha gustado esta entrada, puede compartirla a través de las redes sociales para que pueda llegar a otras personas. ¡Muchas gracias!