La Justicia impide la apertura del código fuente de la aplicación que concede el bono social
El Juzgado Central de lo Contencioso-Administrativo desestima el recurso de Civio en el que reclamaba acceso al programa que otorga esta ayuda
Un peligro para la seguridad pública. Este es el principal argumento del Juzgado Central de lo Contencioso Administrativo número 8 para denegar a Civio el acceso al código fuente de BOSCO, una aplicación desarrollada por el Gobierno y que utilizan las eléctricas para saber si un usuario, en situación de vulnerabilidad, puede recibir descuentos en su factura de la luz.
¿Cómo hemos llegado hasta aquí?
En 2019, Civio demostró que BOSCO tenía fallos y denegaba el bono social a personas que tenían derecho recibirlo. Lo hicimos tras recibir decenas de avisos de personas afectadas y pedir, al amparo de la Ley de Transparencia, su especificación técnica, los resultados de las pruebas de comprobación de la aplicación y su código fuente. El Consejo de Transparencia hizo que el Gobierno, contrario–, nos entregase parte de la documentación. Eso sí, el CTBG no respaldó la difusión del código fuente. Y por eso lo llevamos a juicio. Esta es la primera sentencia: desestimatoria y con una condena en costas de 2.000€.
Un código fuente contiene las instrucciones, en bruto, de un programa y define cómo calcula sus resultados. En este caso, la aplicación BOSCO es una adaptación de la normativa que se utiliza para determinar si una persona merece ser beneficiaria o no del bono social. El Gobierno, para rechazar su apertura, alegó durante el juicio que difundir este código supondría problemas tanto de seguridad pública, como defensa nacional y propiedad intelectual. Lo hizo, además, cuando la resolución del Consejo de Transparencia, el acto recurrido por Civio, solo se centraba en la propiedad intelectual. Sin embargo, el magistrado ha dado por buenos los postulados del Gobierno.
BOSCO no cumplía la norma
Una cuestión más técnica es la consideración de que lo que hace la aplicación, por sí misma, es un acto administrativo. En caso afirmativo, esto reforzaría nuestro derecho a acceder al código fuente, bajo el principio de legalidad, para conocer cómo toma una u otra decisión, frente a la protección de la propiedad intelectual del código, uno de los argumentos tanto del magistrado como del Consejo de Transparencia. Según la sentencia, sí, es un acto administrativo pero, a diferencia de lo que interpretamos, quien decide no es la aplicación, sino un órgano administrativo. Algo que nosotros ponemos en cuestión.
Lo cierto es que las eléctricas acceden a BOSCO para verificar si un usuario tiene derecho a recibir el bono social. Para acceder a esta ayuda hay, en resumen, tres formas: por rentas bajas, por ser familia numerosa o por ser beneficiario de una pensión mínima de incapacidad o jubilación y con ingresos mínimos. Estas vías de entrada no son excluyentes. Por ejemplo, otro tipo de pensionistas, como las personas viudas, no podrían acudir por la última vía, pero sí por la de renta cuando no superasen los ingresos máximos. En 2019, gracias al análisis funcional, demostramos que si para una viuda se marca la casilla de pensionistas –porque lo son–, BOSCO, sin analizar los ingresos, devuelve el mensaje de “Imposibilidad de cálculo”. Y esto es lo que las eléctricas trasladan al ciudadano, junto con el mensaje de que su solicitud ha sido rechazada. Es decir, no hay ningún empleado público que intermedie en este acto ni decida nada. Por lo que no hay más intermediación pública que la propia aplicación. Así queda demostrado en una de las cartas que recibimos de una persona que aún teniendo derecho a esta ayuda, le fue rechazada por fallos de diseño del programa, tal y como contamos en 2019.
Otro caso es el de las familias numerosas, quienes resultan beneficiarias del bono social sea cual sea su situación económica. Pero si el peticionario no permite que se consulten sus datos de renta, BOSCO deniega la ayuda porque el programa necesita analizar su renta, aunque no sea un requisito en la norma. Lo que supone, además, una consulta innecesaria de unos datos personales irrelevantes para el cálculo. En la sentencia, el magistrado da por hecho que el programa aplica tal cual la normativa. Lo hace sin haber accedido al código y sin comprobarlo. Estos dos ejemplos muestran que, al menos cuando detectamos esos errores, en realidad BOSCO no cumplía la norma.
Verificar no es hackear
El Centro Criptológico Nacional y la Subdirección General de Tecnologías de la Información y de las Comunicaciones del Ministerio de Industria, Comercio y Turismo afirmaron, en términos generales, que la difusión del código fuente de cualquier programa permitiría ataques y la exposición de bases de datos sensibles. Es cierto que BOSCO, para comprobar la elegibilidad de un posible beneficiario del bono social, realiza distintas consultas a bases de datos públicas. Entonces, ¿por qué pedimos el código fuente? ¿Queremos hackear los datos de los ciudadanos? Obviamente no.
Una buena práctica de ingeniería de software –básica, de primero de carrera– es que las contraseñas y credenciales que permiten acceder a una base de datos nunca se meten en el código, sino en un archivo de configuración separado. Y no, no queremos estas ‘llaves’ de acceso. Existen, también, otros protocolos de seguridad adicionales –que entendemos que la administración aplica– como permitir solo a determinadas IPs, unas direcciones únicas que identifican a un equipo o red, el acceso a determinados sistemas. Es decir, ni con las contraseñas una persona no autorizada podría acceder a las bases de datos sensibles. Pero hay más: la documentación disponible sobre BOSCO aclara que el programa no accede de forma directa, por ejemplo, a los datos de la Agencia Tributaria para comprobar el nivel de renta del solicitante. Para eso está la Plataforma de Intermediación, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, que ofrece un servicio que encapsula este paso y que está vedado a unos determinados certificados digitales aprobados por la administración. Este acceso mediante certificado también está previsto para BOSCO. Para más inri: hace más de un año el Gobierno, “por transparencia y para que la comunidad pueda ayudarnos a mejorar la app”, publicó el código fuente de Radar COVID, la aplicación creada para rastrear y avisar de contactos con positivos por la Covid-19. ¿Esto expuso nuestros datos sanitarios? No.
Por último, la Ley de Transparencia establece que cuando los límites legales (como seguridad pública o defensa nacional) no afecten a la totalidad de la información, se concederá un acceso parcial a la información. Es decir, que la administración podría facilitar la parte del código que evalúa si una persona cumple con los requisitos para beneficiarse del bono social y omitir el resto.
Creemos en nuestros argumentos. Y somos conscientes de que debemos defenderlos en los tribunales, no solo en público. Por ello, hemos presentado un recurso de apelación. Se trata de un primer asalto perdido. Pero aún queda partido.
NO a la opacidad en los procesos de decisión informatizados
Vamos a hacer todo lo posible para revertir el fallo y obtener transparencia sobre los programas informáticos que ya toman decisiones sobre nuestra vida y nuestros derechos. Y pagaremos mientras podamos las costas que sean necesarias. Pero también vamos a ser muy sinceros: enviaría un bonito mensaje, y a nosotros nos ayudaría muchísimo, si más personas -ojalá miles- tomasen la determinación de decir NO a la opacidad en los procesos de decisión informatizados.
Si puedes, te pedimos que te unas a nosotros y nos ayudes a revertir esta decisión en los tribunales.
Gracias por tu compromiso.