Por Alejandro Huergo Lora

Más ruido que nueces

En su reciente sentencia 1119/2025, de 11 de septiembre, la Sala de lo Contencioso-Administrativo (Sección 3ª) cierra el llamado “caso Bosco”, estimando el recurso de casación interpuesto por la Fundación Civio y anulando las sentencias del Juzgado Central de lo Contencioso-Administrativo y de la Audiencia Nacional. El TS reconoce a esta fundación (no a cualquier otro sujeto) el derecho a acceder al código fuente del algoritmo Bosco, es decir, la aplicación informática mediante la que la Administración indica a los comercializadores de energía eléctrica si un consumidor reúne, o no, los requisitos legales que permiten beneficiarse del bono social (requisitos familiares y de renta). Habiendo expresado en este blog mi opinión sobre este caso (aquí y aquí), me parece casi obligado hacerlo ahora a propósito de esta tercera y última sentencia.

Me habría sorprendido, la verdad, que el Tribunal Supremo hubiera desestimado el recurso de casación, al haber calado en los últimos años el mensaje de que “el algoritmo” (cualquiera) es un grave peligro para los ciudadanos, que hasta ahora parece que vivían en un mundo feliz de funcionarios humanos que resuelven los expedientes con rapidez, sin errores, aplicando la ley pero con empatía y en todo caso sin peligrosos sesgos. De hecho, lo que me sorprendió fue que el Juzgado y la Audiencia Nacional resolvieran como lo hicieron y, sobre todo, que identificaran lúcidamente la naturaleza y funciones de este concreto algoritmo, que es lo que quise destacar en mis comentarios anteriores.

La nueva sentencia ha sido saludada como un gran paso adelante y, en efecto, parece destinada a crear grandes titulares en los medios de información general. Una tendencia muy actual, la de sentencias aparentemente históricas, que a veces parece que van a parar incluso el cambio climático. Sin embargo, la decisión está muy dirigida a un caso concreto y tiene en cuenta circunstancias muy específicas, como vamos a ver. De hecho, la respuesta a la cuestión casacional menciona expresamente a la Fundación Civio y al algoritmo Bosco, por lo que su aplicación a otros casos será limitada.

Y, en lo que tiene de más general, esa misma doctrina resulta muy ambigua, puesto que se limita a reflejar que la transparencia es muy importante también cuando se emplean sistemas informáticos en la toma de decisiones automatizadas por Administraciones Públicas, concluyendo que ello

debe conllevar exigencias de transparencia de los procesos informáticos seguidos en dichas actuaciones, con el objeto de proporcionar a los ciudadanos la información necesaria para su comprensión y el conocimiento de su funcionamiento, lo que puede requerir, en ocasiones, el acceso a su código fuente, a fin de posibilitar la comprobación de la conformidad del sistema algorítmico con las previsiones normativas que debe aplicar”.

Quedamos, por tanto, a la espera de ver cuáles son esas ‘ocasiones’ en las que sí habrá derecho de acceso. Algo muy parecido a lo que sucede con construcciones jurisprudenciales muy consolidadas, como la del ius puniendi único, que supone la aplicación al Derecho administrativo sancionador de principios y garantías penales, pero “con matizaciones”, de modo que todo queda remitido a la sentencia de cada caso concreto, en la que se decidirá si el principio penal se aplica o “se matiza”.

Civio es especial y el algoritmo Bosco también

Lo que viene a decir esta sentencia es que a un sujeto como la Fundación Civio (no a cualquier sujeto) se le permite acceder al código fuente de un algoritmo creado por un ente público (como “Bosco”), especialmente si toma decisiones administrativas que afectan, de manera particular, a personas vulnerables. Y digo esto porque la sentencia tiene en cuenta expresamente, como argumentos para llegar a la conclusión, que quien pide la información es la Fundación Civio (y no otro sujeto) y que el algoritmo ha sido creado por una entidad pública (y no por una empresa que puede tener, por ejemplo, un interés económico claro en explotarlo y en que su contenido no sea divulgado). De ahí que resulte difícil extrapolar esta sentencia a cualquier otro caso que tenga que ver con la utilización de algoritmos por Administraciones Públicas. Utilizo la expresión algoritmo, al igual que en la sentencia, de manera vaga e informal. Para mayores precisiones remito a mis publicaciones en la materia.

Recordemos que lo que se discute en el caso Bosco no es si la Administración puede utilizar algoritmos (o con qué requisitos), o si los ciudadanos pueden impugnar una decisión por estar basada en algoritmos, o si tienen derecho a conocer exhaustivamente su contenido (código fuente) cuando se enfrenten a esa decisión en los tribunales. Lo que se discute es si el derecho de acceso a la información pública (desarrollado por la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno) otorga a cualquier sujeto el derecho a conocer el código fuente de un algoritmo que utilice la Administración. La respuesta depende, lógicamente, de si entra en juego alguna de las excepciones previstas en dicha Ley, discutiéndose en este caso (en las tres sentencias) la posible aplicación de dos de esas excepciones: 1) que el acceso podría vulnerar los derechos de autor o de propiedad intelectual sobre el algoritmo; y 2) los posibles riesgos para la ciberseguridad derivados del conocimiento público del algoritmo (es decir, el peligro de que publicar los planos de una casa facilite el trabajo a quienes quieren robar en ella).

En anteriores publicaciones he dicho expresamente que no me pronuncio sobre ninguna de esas dos cuestiones, sino que mi interés es identificar correctamente la función de este algoritmo porque me parece el punto de partida imprescindible para ir solucionando los problemas jurídicos que plantean estos instrumentos tecnológicos en su aplicación por Administraciones Públicas.

Dicho esto, el Tribunal Supremo reconoce (incluso esto se ha llegado a cuestionar) que el algoritmo es una creación protegible como propiedad intelectual, a pesar de que aplica normas jurídicas. El hecho de que las normas jurídicas (publicadas en boletines oficiales) no sean creaciones intelectuales (por lo que pueden ser libremente reproducidas) no significa que las obras creadas a partir de las mismas (libros, recopilaciones, bases de datos, programas informáticos) también sean de dominio público y puedan ser de libre uso. Aquí el Tribunal tiene en cuenta, en un ejercicio de ponderación, que este concreto algoritmo es de titularidad de una Administración, que se supone que no piensa explotarlo comercialmente, pero en muchos otros casos no será así, por lo que no se puede generalizar la doctrina establecida por esta sentencia en cuanto a que el libre acceso prevalece sobre la protección de la propiedad intelectual.

En cuanto a la ciberseguridad, habiendo presentado la Administración, como prueba, un informe que enumeraba una serie de riesgos derivados del acceso público, el Tribunal pondera esos riesgos con el interés en el acceso, teniendo en cuenta igualmente que quien lo solicita es una entidad sin ánimo de lucro y con un historial digno de elogio como la Fundación Civio. De nuevo nos encontramos con una conclusión ligada al caso concreto, no con una regla de aplicación general.

Como es cada vez más frecuente, la sentencia se basa en la ponderación. Es una decisión muy extensa (ochenta páginas en su versión oficial, algo sin duda desusado para una sentencia del TS en general y, sobre todo, hasta hace pocos años, máxime no habiendo votos particulares) en la que se dedica un espacio considerable a enumerar (acumular) principios jurídicos aplicables o relacionados, algunos de ellos muy genéricos, como el de buena administración. Principios que se utilizan como punto de apoyo para interpretar de manera restrictiva las excepciones al derecho de acceso. La ponderación es una técnica imprescindible en muchos casos, pero que también favorece la discrecionalidad (en este caso, judicial) y reduce la previsibilidad, que es un valor jurídico. De aquí a lo que Max Weber llamaba “justicia del cadí” (concepto que recordaba con frecuencia el profesor García de Enterría) va un paso.

Esto no va de usar IA para adoptar resoluciones administrativas

Me parece muy significativo (y acertado) que la sentencia no hable una sola vez de “inteligencia artificial”, ni mencione tampoco su regulación (Reglamento europeo 1689/2024), reconociendo implícitamente que (como sostuve en anteriores entradas) estamos hablando de otra cosa, concretamente, de un sistema informático que, al modo de una calculadora o del programa Renta Web, automatiza operaciones de comprobación del cumplimiento de requisitos reglados. Y digo que es bueno porque en estos momentos se mezcla todo y con frecuencia se mete en el mismo cajón distópico la desinformación provocada por las redes sociales, los sesgos de los sistemas de IA que pueden influir en la toma de determinadas decisiones… y la aplicación de sistemas como Bosco o Renta Web, que en realidad no aportan ningún criterio propio a la decisión administrativa porque son puramente instrumentales y únicamente aplican (con un 100% de acierto o con algunos errores, eso es otra cosa) criterios previamente establecidos en una norma.

Esto es lo que me interesa (una vez más) destacar. No es lo mismo un sistema informático que, de entre todas las decisiones posibles, recomienda una en función de criterios extraídos de los datos (como hacen los sistemas de IA que sí ayudan a tomar decisiones) que un sistema informático que efectúa cálculos en aplicación de reglas previamente introducidas por un humano (como hacen Renta web, Bosco o la aplicación que tiene cualquier Facultad para asignar estudiantes a grupos en función de la prioridad en la elección, el orden alfabético o el criterio que se haya establecido).

Por ejemplo, un sistema de IA que atribuye a la persona que solicita un préstamo un coeficiente de solvencia del 1 al 10 (en función de no se sabe qué criterios, puesto que es un sistema algorítmico elaborado a partir del análisis de datos históricos de solvencia), y que puede ser tenido en cuenta por un banco para conceder o denegar un crédito, es un sistema que sí toma (o contribuye a tomar) una decisión relevante para los ciudadanos (sentencia del TJUE de 7 de diciembre de 2023, asunto  C‑634/21, Schufa). Un sistema de ese tipo no se limita a aplicar criterios preestablecidos. La decisión de conceder, o no, un crédito, no es una decisión pautada jurídicamente: los bancos no están obligados a conceder todos los créditos, y los criterios no se encuentran establecidos en ninguna norma. Si me deniegan un crédito, y la decisión se basa en el informe de ese sistema de IA, solo podré cuestionarla conociendo el funcionamiento del sistema, por lo que el acceso al mismo es imprescindible. Y si no se puede conceder ese acceso, porque lo impiden obligaciones de confidencialidad, o porque, incluso concedido el acceso, no es posible explicar completamente el funcionamiento del sistema, tenemos un problema para utilizar esos sistemas en la toma de algunos tipos de decisiones.

Otra cosa son los sistemas tipo Bosco, que no introducen criterios propios en la decisión, sino que simplemente mecanizan las operaciones necesarias para aplicar criterios reglados establecidos en una norma. Esos sistemas se equivocan cuando la decisión que proponen no es la que resulta de la aplicación de dichos criterios, es decir, cuando al programarlos se ha cometido un error al volcar la norma en un programa informático. Decir que el sistema “decide quién tiene derecho al bono social” es tan inexacto como decir que cada sujeto tiene que pagar por el IRPF lo que diga renta Web. No es así: tanto uno como otro sistema aplican la norma, sin perjuicio de que pueden cometer errores y, del mismo modo que con los operadores humanos, existen las vías de recurso para corregirlos (siendo una cosa importante determinar si en estos casos de aplicación automatizada deben funcionar las vías de recurso ordinarias o hay que implantar otras adicionales, más rápidas, para corregir esos errores).

Pero (y esto es lo más importante), mientras que en el primer caso (predicción de solvencia, es decir, sistemas de IA) es imprescindible conocer “las tripas” del sistema para demostrar que se ha equivocado, o ha lanzado una predicción injustificada, en el segundo es innecesario, porque una decisión es incorrecta cuando no se ajusta a la norma, y la Administración debe adoptar la decisión que se ajuste a la norma, diga lo que diga el algoritmo (siendo indiferente saber en qué línea de código radica la fuente del error, o qué factor se olvidó durante el proceso de elaboración del sistema).

La sentencia, llevada —en mi opinión— en exceso por este clima de opinión distópico, es deliberadamente ambigua sobre esta cuestión. Se dice en ella que Bosco sirve para la “toma de decisiones automatizadas” y “sirve de soporte al reconocimiento o denegación de derechos sociales, arrojando un resultado positivo o negativo, sin exteriorizar las razones de dicho resultado”. También dice que estas aplicaciones tienen “evidente trascendencia en los derechos de los ciudadanos, en la medida que determinan o condicionan el reconocimiento o denegación de derechos y prestaciones públicas, es decir, que operan como fuente de decisiones automatizadas”, y que el algoritmo “supone una actuación automatizada de la Administración en el ejercicio de sus competencias, a través de la cual se adopta una decisión con evidente impacto en los derechos de los ciudadanos, lo que se desprende directamente de su regulación”, o que “el programa toma una decisión que condiciona el acceso al bono social eléctrico”.

Esas afirmaciones no son, en mi opinión, correctas, salvo con muchos matices, por las razones que acabo de indicar. Vuelvo al ejemplo de Renta web: no podemos decir que “tome decisiones con efectos fiscales” o que “determine la carga tributaria de cada ciudadano”, y eso es lo que parecería que hace Bosco si hacemos caso de la literalidad de las frases entrecomilladas.

Pero en la misma sentencia encontramos, como no puede ser de otro modo, frases que explican la verdadera función de Bosco (tal como la he explicado en anteriores entradas y en otras publicaciones):

“… el código fuente de dicha aplicación ha de responder a las disposiciones normativas que regulan los requisitos que deben cumplir los consumidores para el reconocimiento del bono social por ostentar la condición jurídica de consumidor vulnerable, traduciendo a lenguaje informático dichas normas con el objeto de posibilitar su cabal cumplimiento en la comprobación de la concurrencia de tales requisitos en los consumidores solicitantes del bono social”…

“Asiste la razón a la Abogacía del Estado cuando niega que la aplicación BOSCO tenga la naturaleza de un acto administrativo o de una disposición de carácter general de rango reglamentario, pues se trata de una aplicación instrumental para que las empresas comercializadoras de energía eléctrica puedan comprobar si el consumidor cumple con los requisitos previstos legal y reglamentariamente para tener la consideración de consumidor vulnerable”.

Conclusiones

Nadie duda (yo, desde luego, no) que todo es poco para mejorar el funcionamiento de la Administración. Estoy convencido (y lo he puesto por escrito) de que los actuales mecanismos de control de legalidad (incluido el contencioso-administrativo) son muy imperfectos. Normalmente, el interesado solo conoce lo que la Administración ha hecho en relación con él, pero no su actuación en otros casos similares, siendo esto último imprescindible, con frecuencia, para demostrar la ilegalidad y arbitrariedad de una actuación individual (por ejemplo, pueden existir razones para denegar una subvención, pero, si se demuestra que se han concedido a otros proyectos con iguales o menos méritos, la denegación deviene ilegal). Y también porque, aunque se corrijan ilegalidades individuales, existe una masa de actos ilegales que no llegan a los tribunales, lo que, con frecuencia, determina que a la Administración no le merezca la pena cumplir la Ley o que no tenga consecuencias no hacerlo.

Pero no podemos confundir unas cosas y otras, y decir que el acceso al código fuente es necesario para corregir actuaciones ilegales porque, cuando hablamos de sistemas automatizados como Bosco, su mal funcionamiento queda demostrado sin necesidad alguna de acceso, cuando a una persona que cumple los requisitos para el reconocimiento de un derecho le dicen que no los cumple, sin necesidad de saber, repito, en qué línea de código está la fuente del error. El acceso al código fuente es un plus. En otros sistemas, una necesidad. En definitiva, es importante evitar la confusión porque hay otros sistemas en los que sí es imprescindible ese acceso para poder comprobar que se ha producido un error (sin perjuicio de que también cabe, incluso en los sistemas de IA, la “auditoría inversa”, es decir, demostrar un mal funcionamiento a partir de lo evidentemente inadecuado, o erróneo, o sesgado, de las respuestas del sistema, aunque no se pueda demostrar por qué, o cómo, se produce el error).

Es necesaria una pequeña mención al tema de la motivación, porque la sentencia repite varias veces que Bosco no motiva las denegaciones del bono social, como si fuera otro problema adicional que hace necesario el acceso al código fuente. Una vez más, un problema sectorial concreto enturbia lo que pretende ser una construcción general, un “hito histórico”. El caso del bono social es bastante particular porque la liberalización del sector eléctrico hace que algunas decisiones imperativas (y, en ese sentido, materialmente administrativas) sean adoptadas por sujetos privados. Es lo que sucede, por ejemplo, con el otorgamiento de permisos de acceso y conexión a la red de transporte y distribución (requisito fundamental para que sea viable un parque eólico o fotovoltaico, o de baterías), que conceden o deniegan empresas privadas como Red Eléctrica. O con el acceso al bono social, que conceden o deniegan las comercializadoras (empresas privadas). La Administración ocupa una posición de garante, resolviendo (en un caso a través de la CNMC, en otro a través de autoridades de consumo) los posibles recursos. En el caso del bono social, se ha arbitrado una solución que persigue la rapidez: la Administración le dice al comercializador si el consumidor cumple o no los requisitos del bono social, porque es la Administración la que tiene rápido acceso a los datos familiares y de renta de los consumidores. Y lo hace con un sí o un no, para no facilitar datos personales del consumidor (tal como explica la sentencia que estoy comentando). De ahí que la decisión del comercializador no sea motivada, porque al comercializador no se le facilita la información relativa a la renta o circunstancias familiares del consumidor. Este sabe que, si acredita los requisitos del bono social, se le tendrá que reconocer, sin más.

Es obvio que los actos administrativos deben motivarse en los supuestos legalmente previstos y que ese deber de motivación se mantiene cuando en su producción se han utilizado ayudas informáticas. Esto es algo que nadie discute, como nadie discute que esos actos deben dictarse por el órgano competente (y no por otro), que deben notificarse o que pueden recurrirse exactamente igual que cuando no se utiliza una ayuda de este tipo.

Es interesante recordar que el Reglamento de IA, que se refiere a sistemas mucho más relevantes que Bosco porque sí influyen, con criterios propios y autónomos, en la toma de decisiones, no obliga a revelar el código fuente ni siquiera de los sistemas de IA de alto riesgo. Les impone una serie de obligaciones de transparencia y explicabilidad, pero solo obliga a sus titulares a revelar el código fuente en casos concretos, cuando no existan vías alternativas para cumplir dichas obligaciones y, en esos supuestos, se tendrá que revelar a las autoridades competentes, no a terceros. El Tribunal Supremo ha establecido un deber de apertura mucho más amplio para un sistema informático claramente menos relevante, aunque, eso sí, solo para un sujeto concreto (la Fundación Civio). ¿Veremos a medio plazo una cuestión prejudicial para que el TJUE diga si estos derechos de acceso al código fuente (que suponemos que se extenderán a los sistemas de IA, más relevantes) son compatibles con el Reglamento de IA que, como sabemos, es una norma armonizadora con la que se quiere expresamente evitar que los Estados miembros establezcan obligaciones adicionales?

Foto: Deniz Demirci en unsplash