Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Séptima, Rec. 51/2022 de 30 de abril del 2024

PRIMERO. Hechos relevantes para la resolución de la alzada.

La sentencia apelada desestima el recurso contencioso-administrativo interpuesto por Fundación Ciudadana Civio contra resolución de 18 de febrero de 2019 por la que el CTBG estima parcialmente la reclamación presentada en solicitud de acceso a la información del MITECO que sirve de soporte a la aplicación informática desarrollada y construida para la gestión automatizada de las solicitudes del bono social- sistema de información BOSCO-. Esta aplicación telemática permite al comercializador comprobar que el solicitante del bono social cumple los requisitos para ser considerado consumidor vulnerable.

La solicitud fue estimada en lo relativo a la especificación técnica de la aplicación; el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional; y de cualquier otro entregable que permita conocer el funcionamiento de la aplicación.

Pero fue denegada en el extremo en que se solicitaba el código fuente de la aplicación.

La sentencia recurrida mantiene el criterio de la Administración de se improcedente facilitar el código fuente y cita una pluralidad de razones: la propiedad intelectual, la protección de las personas afectadas y de sus datos personales, la protección ciudadana, la integridad de la información y el control de acceso.

Recuerda la sentencia los límites del derecho de acceso que se extravasarían de facilitarse el código fuente de los señalados en el artículo 14.1 de la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno (LTAIBG): d) la seguridad pública; g) las funciones administrativas de vigilancia, inspección y control; i) la política económica y monetaria; j) el secreto profesional y la propiedad intelectual e industrial; y k) la garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión. Y señala especialmente que la entrega del código fuente haría a la aplicación sensible a ataques por vulnerabilidad, pudiendo utilizarse las vulnerabilidades para acceder a bases conectadas a la aplicación como es el caso de la AEAT y de la Seguridad Social.

En garantía de su conclusión, la sentencia hace referencia al informe emitido por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, el cual fue sometido a contradicción.

SEGUNDO. Motivos del recurso y de oposición.

Comienza la recurrente señalando en su escrito de apelación que la única cuestión que debe analizarse, por ser la única apreciada por el CTBG para denegar el acceso a determinada información, consiste en dilucidar si la limitación consistente en la propiedad intelectual es aplicable (o no) al supuesto.

Sobre tal presupuesto, en el primer motivo del recurso denuncia la infracción del artículo 24 CE, al haberse introducido por el Abogado del Estado en su contestación a la demanda términos nuevos de debate - la seguridad nacional- así como prueba sobre determinados aspectos que, a su juicio, no guardan relación con la propiedad intelectual de la información solicitada.

En su opinión, extensamente desarrollada, el límite del artículo 14.1, apartado j) LTAIBG sólo puede aplicarse cuando se trate de una propiedad intelectual de titularidad ajena al obligado a la transparencia ya que lo que se pretende con tal limitación es la salvaguarda de derechos de terceros.

A continuación, en un segundo motivo, sostiene que la sentencia incurre en error en la apreciación de los hechos del que se deriva una infracción del artículo 9.3 CE. En el desarrollo se alega que del análisis funcional de la aplicación resulta que ninguna persona interviene en la toma de decisión del resultado de modo que para saber si es correcto el funcionamiento del sistema del bono social ha de accederse al código fuente, siendo insuficiente para conocer el funcionamiento el análisis funcional.

Dedica un fundamento a la inexistencia de desviación procesal, aludida en la sentencia, dado que los hechos sobre los que solicita el ejercicio del derecho no han sufrido variación.

Se ocupa también, en otro fundamento, de la limitación consistente en la seguridad y recuerda que la Comisión de la Unión Europea publicó el 21 de octubre de 2020 la Comunicación C (2020) 7149 final en la que, con cita de disposiciones normativas de la Unión, en la que señala que los desarrollos de las administraciones públicas deben utilizar software libre que permita su copia, distribución, comunicación pública y transformación.

Finalmente considera que al se novedoso el procedimiento y al existir dudas de derecho debería haberse aplicado el artículo 139 LJCA y no hacer imposición de costas.

TERCERO. El criterio de las Sala sobre las cuestiones planteadas. Desestimación del recurso: El código fuente está protegido por la Ley de Propiedad Intelectual; además, la difusión del código fuente de la aplicación BOSCO es susceptible de causar perjuicios graves a los mismos e infringe límites de acceso de los contemplados en el artículo 14 LTIBG.

No es atendible el argumento de que se haya causado indefensión al recurrente porque en una de las contestaciones a la demanda se esgrimiera la concurrencia de nuevos límites a la entrega del código fuente de la aplicación BOSCO y se propusiera prueba al respecto.

A este respecto cabe recordar que en los escritos de contestación pueden esgrimirse cuantos motivos procedan hayan sido o no planteados ante la Administración ( artículo 56.1 LJCA).

De esa forma, el MITECO tiene derecho a invocar todos los motivos de desestimación del recurso y, en el caso, sobre la improcedencia de facilitar el acceso al código fuente a la luz de la LTAIBG: por ello, todas las causas de inadmisibilidad de una solicitud o límites al acceso a la información pública potencialmente relevantes.

Además, el demandante podía haber propuesto contraprueba como le autoriza el artículo 60.2 LJCA y combatir las apreciaciones técnicas sobre vulnerabilidades expresadas en su informe por el Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo.

En todo caso, la resolución de la CTBG, además de considerar improcedente facilitar el código fuente en aplicación del 14.1 j) LTAIBG, relativo a perjuicios a la propiedad intelectual, al que se dedica el fundamento de derecho quinto, hace referencia también a la "la protección de las personas afectadas y de sus datos personales asegurando la protección ciudadana, la integridad de esta información y el control de su acceso", de manera que si la difusión de del código puede causar perjuicio a esos bienes, está implícito en la decisión la improcedencia de su facilitación.

En todo caso, excluir a la Administración del derecho de la protección intelectual y señaladamente de los programas de ordenador (96 del TRLPI) carece de todo fundamento. El artículo 7.2 de la Ley 33/2003 de Patrimonio de las Administraciones Públicas atribuye la consideración de patrimoniales de la Administración a los derechos de propiedad incorporal hayan sido adquiridos de particulares o generados por la propia Administración. Y el artículo 157 de la Ley 40/2015, de Régimen Jurídico del Sector Público se refiere expresamente a los derechos de propiedad intelectual de que son titulares las Administraciones Públicas sobre las aplicaciones desarrolladas por sus servicios o que hayan sido objeto de contratación.

En fin, aunque esto sería suficiente para desestimar el recurso, la apelante no ha desvirtuado que la entrega del código fuente de la aplicación BOSCO pondría en grave riesgo derechos de terceros y atentaría a bienes jurídicos protegidos por los límites al derecho de acceso a la información pública del artículo 14.1 letras d), g), i) y k) LTAIBG.

En efecto, la revelación del código aumenta de una manera objetiva la severidad de las vulnerabilidades de cualquier aplicación informática, más aún cuando se maneja información clasificada o sensible, no siendo exigible a la Administración que todas las aplicaciones que desarrolle lo sea con fuentes abiertas.

Antes al contrario, un sistema informático ha de ser desarrollado sobre la base de unas garantías de seguridad en función de la sensibilidad de la información a la que da acceso; en el caso examinado existe el compromiso de intereses de terceros y de otros bienes jurídicos, se podrían producir vulnerabilidades para acceder a las bases de datos conectadas con la aplicación que contienen datos especialmente protegidos, como la discapacidad o la condición de víctima de violencia de género del solicitante, los datos tributarios a la AEAT, de la Seguridad Social, etc. y se pondría en riesgo la confidencialidad de la información tributaria, se posibilitaria la suplantación de los usuarios autorizados, la falsificación del consentimiento, etc.

Para alcanzar tal conclusión es concluyente el informe del Subdirector General de Tecnologías de la Información y las Comunicaciones del Ministerio de Industria, Comercio y Turismo, la unidad técnica que gestiona para MITECO el sistema de información BOSCO. El informe se sometió a contradicción con audiencia de las partes, no quedando duda al respecto de que es garantía de protección ante las vulnerabilidades la ocultación del código fuente de la aplicación, de forma que no se permita a un potencial atacante estudiar el código para descubrir una vulnerabilidad de día cero. Según el informe, develar el código fuente podría acarrear las siguientes consecuencias:

- Que el ataque sería muy difícil de detectar por parte de los encargados de la administración técnica de los sistemas de información y del equipo de ciberseguridad del Ministerio, puesto que dicho personal técnico no sería consciente de que sus sistemas de información están siendo atacados.

- El Ministerio no tendría a su disposición, en el momento en que se produce el ataque, de los medios técnicos (antivirus, sondas, parches de seguridad de los productos de Sistema Operativo y Middleware) necesarios para mitigar la vulnerabilidad, puesto que los fabricantes que dan soporte a estos productos tampoco serían conscientes de la vulnerabilidad en sus productos, o de que dicha vulnerabilidad sea detectada y eliminada por los productos específicos de seguridad informática.

- Debido a lo indicado en los anteriores puntos, el atacante dispondría del tiempo suficiente conseguir sus objetivos, entre los que se podrían a modo de ejemplo enumerar las siguientes actuaciones:

* Acceder o modificar, evidentemente con propósitos ilícitos, a los datos de la base de datos de la propia aplicación, que incluye datos personales de especial protección de los interesados en los trámites (niveles de renta de los individuos, situación familiar y laboral, o si existe calificación como víctima de violencia de género o de terrorismo, o si el interesado sufre alguna discapacidad).

* Intento de acceso y/o alteración de los datos almacenados en otras bases de datos, correspondientes a otras tramitaciones administrativas cuya responsabilidad recae en el Ministerio de Industria, Comercio y Turismo.

* Utilizar los medios de la infraestructura de cómputo del Ministerio para otros fines, como por ejemplo la minería de criptomonedas.

* Utilizar la imagen del Ministerio para pertrechar delitos basados en ingeniería social (blackmail o phishing).

También nos vemos obligados aquí a disentir del argumento de la recurrente sobre la infracción del artículo 9.3 CE. El debate se centra en el derecho al acceso al código fuente de la aplicación con la que se gestiona el bono social, quedando fuera del valladar del debate determinar si es conforme a derecho el procedimiento de comprobación para verificar la condición de consumidor vulnerable (Real Decreto 897/2017 por el que se regula la figura del consumidor vulnerable, el bono social y otras medidas de protección para los consumidores domésticos de energía eléctrica y Orden ETU 943/2017, sobre el mecanismo de comprobación de los requisitos para ser consumidor vulnerable).

Como dice el Abogado del Estado la aplicación informática no es más que una herramienta que se integra en el seno de un procedimiento administrativo que seguirá produciendo un acto administrativo plenamente sujeto al ordenamiento jurídico, de modo que el control de la legalidad de los actos administrativos sigue estando garantizado: la legalidad (o no) del acto administrativo no viene justificada por el uso de la aplicación informática sino por la adecuación al ordenamiento jurídico del acto producido.

Finalmente, la recurente no puede modificar su pretensión en conclusión y tampoco se aprecian motivos para revocar la condena en costas de la primera instancia, en cuanto la cuestión jurídica allí resuelta, en función de las pretensiones y alegatos de las partes, no presentaba serias dudas de hecho o de derecho.

CUARTO. Pronunciamiento sobre las costas.

Al declararse no haber lugar al recurso de apelación, procede imponer a la parte recurrente las costas procesales, de conformidad con lo dispuesto en el artículo 139.2 de la Ley reguladora de esta Jurisdicción y de conformidad con lo previsto en el apartado 3 del mismo artículo 139 antes citado, atendiendo a la índole del asunto y a la actividad desplegada por dicha parte recurrida, procede limitar la cuantía de la condena en costas a la cantidad de 1.500 euros por la intervención del Abogado del Estado.