Axencia Estatal Boletín Oficial do Estado

• Acerca de esta colección
• Estadísticas

REVISTA DE JURISPRUDENCIA LABORAL - Número 9/2025

I.  Introducción

Tras un largo y tortuoso peregrinaje por distintos tribunales iniciado en 2018, la Sala Tercera del Tribunal Supremo se pronuncia por primera vez sobre la interpretación del derecho de acceso a información o de transparencia referida al uso de algoritmos en la adopción de decisiones automatizadas por las administraciones públicas, y abre el código de programación de las aplicaciones públicas a la ciudadanía, para garantizar íntegramente no solo el derecho de transparencia sobre la información pública y a la motivación de las decisiones administrativas automatizadas, sino también su control ciudadano.

La sentencia comentada reconoce el derecho de la fundación ciudadana Civio a acceder al código fuente de la aplicación informática BOSCO, por la que las empresas comercializadoras de energía eléctrica puedan comprobar si los solicitantes del «bono social eléctrico» cumplen con los requisitos previstos legal y reglamentariamente para tener la consideración de consumidor vulnerable para causar tal prestación, por entender que los ciudadanos tienen derecho a conocer sobre qué variables opera dicha aplicación, es decir, el ajuste entre la normativa aplicable y el algoritmo empleado para adoptar la decisión, al objeto de garantizar una satisfacción íntegra del derecho a la información pública cuando esta resulta opacada por el uso de algoritmos de decisión automatizada.

La relevancia de esta resolución, que justifica su comentario en el presente número de la Revista de Jurisprudencia Laboral, estriba en su contenido transversal, en cuanto incide en la interpretación del alcance del derecho de acceso a la información en caso de decisiones automatizadas, no solo administrativas (que asimismo pueden tener contenido laboral o de seguridad social), sino también privadas del ámbito laboral.

I.   Identificación de la resolución judicial comentada

Tipo de resolución judicial: sentencia.

Órgano judicial: Tribunal Supremo (Sala Tercera, sección 3).

Número de resolución judicial y fecha: sentencia núm. 1119/2025, de 11 de septiembre.

Tipo y número recurso o procedimiento:  recurso de casación núm. 7878/2024.

ECLI:ES:TS:2025:3826

Fuente: CENDOJ

Ponente: Excmo. Sr. D. Juan Pedro Quintana Carretero.

Votos particulares: carece.

II.  Problema suscitado. Hechos y antecedentes

Durante la fase de producción del litigioso algoritmo BOSCO, la demandante inició ya frente al Ministerio para la Transición Ecológica y el Reto Demográfico (MITECO) procedimiento a través del portal de transparencia (27/11/2018), con el fin de conocer en su integridad el mecanismo automatizado desarrollado para determinar el cumplimiento de los requisitos de acceso al bono social eléctrico por los arts. 45 y 45 bis de la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico, arts. 3 a 8 y DT 2.ª del RD 897/2017, de 6 de octubre, y Orden ETU/943/2017, de 6 de octubre. La resolución del Consejo de Transparencia y Buen Gobierno (CTBG) núm. 701/2018, de 18/2/2019 (procedimiento núm. R/0701/2018), estimó en parte la reclamación, denegando el acceso al código fuente, por considerar no excedidos los límites del art. 14.1, a) y d) LTAIBG, sobre seguridad nacional y seguridad pública, al no existir riesgo para la seguridad nacional debidamente explicitado por la administración y, al mismo tiempo, que el derecho de propiedad intelectual no incluye las especificaciones técnicas del programa ni el resultado de las pruebas realizadas para comprobar que la aplicación implementada cumple la especificación funcional. Por ello, el recorrido judicial que siguió se centró en valorar si forma parte del derecho de acceso o derecho de transparencia el llamado código fuente de la aplicación en cuestión.

III. Posición de las partes y planteamiento judicial

Mientras la fundación demandante exige conocer en su integridad el mecanismo automatizado a través del cual se resuelven las solicitudes relativas al bono social eléctrico, la demandada esgrime un argumentario poliédrico en el que se manejan distintos razonamientos, a los que las sentencias del Juzgado Central de lo Contencioso y de la Sala Tercera de la Audiencia Nacional conceden el crédito necesario para desestimar la pretensión de la demanda: a) el derecho de propiedad intelectual del algoritmo; b) las vulnerabilidades a las que expone su revelación pública tanto respecto de los usuarios registrados como de la propia administración pública, que derivaría en accesos indiscriminados no autorizados para la obtención de un provecho ilícito de los datos obtenidos; c) la ausente necesidad de descubrir una codificación que no es sino transcripción literal de un procedimiento legal y parte de un procedimiento administrativo cuya resolución se somete al imperio de la ley y es susceptible de impugnación; d) los propios límites del derecho a la información pública, no absoluto; e) la falta de acreditación de un interés público o privado superior que justifique el acceso; y f) la naturaleza del código fuente, no identificable con la información pública del art. 13 de la LTAIBG, al no ser ni «contenidos» ni «documentos», sino programas informáticos.

La sentencia del Juzgado Central Contencioso-Administrativo núm. 8, de 30/12/2021, núm. 143/2021 (proc. ordinario núm. 18/2019), niega que la decisión automatizada constituya en sí misma acto distinto del propiamente administrativo en el que se inserta, que culmina en una decisión dictada por un órgano administrativo, garantizando su legalidad, ex art. 9.3 CE, su ajuste a la normativa aplicada, y esgrime razones de seguridad pública, propiedad intelectual y garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión, así como la propia protección de los datos personales de las personas afectadas, que traspasan los límites del derecho reconocido en el art. 14.1 LTAIBG.

Frente a esta resolución, la citada fundación interpuso recurso de apelación (núm. 51/2022), resuelto en sentido desestimatorio por la sentencia de la Audiencia Nacional núm. 2013/2024, de 30/4/2024, en cuanto respecta al acceso al código fuente de la aplicación, pues la solicitud excede los límites del derecho de acceso a la información pública previsto en el art. 14.1 j) LTAIBG, apdos. d), g), i) y k), al incidir sobre la propiedad intelectual del código fuente, ex art. 14.1 j) LTAIBG, y provocar grave riesgo para los derechos de terceros y vulnerabilidades de las bases de datos conectadas a la aplicación (vulnerabilidad «de día cero», es decir, sin parche o solución), pero estimando el derecho de acceso a su especificación técnica, al resultado de las pruebas realizadas para comprobar el cumplimiento de la especificación funcional y a cualquier otro entregable que permitiera conocer su funcionamiento -casos de uso-). A idénticos fallo y argumentación llega la misma sala en Sentencia de la sección séptima (rec. núm. 49/2023) respecto de la aplicación informática utilizada para el sorteo de tribunales asociado a procesos selectivos en materia educativa en la Comunidad de Madrid.

Tras la íntegra desestimación de la demanda en sendas instancias, la fundación limita el objeto de su recurso a la solicitud de acceso concreto «a la parte o línea del código de la aplicación que toma la decisión», con los siguientes argumentos: a) el derecho de propiedad intelectual no puede ser un límite al art. 14.1 j) LTAIBG, porque provocaría que cualquier producción documental administrativa, a salvo de la prevista en el art. 13 TRLPI, estuviera sujeta a tales derechos intelectuales, en contra del art. 19 de la Declaración Universal de los Derechos Humanos, el derecho de participación en los asuntos públicos ex arts. TUE, 42 CDFUE y 23.1 CE, así como el  derecho a la seguridad jurídica del art. 9.3 CE, considerando que ni siquiera se trata de decisión de la administración pública, porque el reconocimiento del derecho e se efectúa por la propia aplicación, impidiendo el control de legalidad establecido en el art. 106.1 CE; b) los límites del art. 14 determinan la obligación de conceder acceso parcial, ex art. 16 de la misma ley, a fin de comprobar si, además de los ya detectados, existen otros errores en la aplicación.

La recurrida arguye la aplicabilidad del límite de seguridad pública previsto en el art. 14.1 d) LTAIBG, por probadas razones de vulnerabilidad de datos especialmente sensibles y de funcionamiento de la administración; la instrumentalidad de la aplicación, por sujetarse esta a derechos de propiedad intelectual ex arts. 10.1.i) y 95 y ss. TRLPI; que la denegación del derecho no se corresponde con el funcionamiento erróneo de la aplicación; y, finalmente, que el sistema de fuentes abiertas y la reutilización de sistemas y aplicaciones conforme al art. 157 Ley 40/2015 se limita a las relaciones entre administraciones públicas, y no existe declaración ni concurren condiciones que avalen su configuración como fuente abierta en el caso presente.

IV.  Normativa aplicable al caso

Art. 15.1 h) del Reglamento (UE) 2016/679 (RGPD); arts. 41 y 42 de la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE); arts. 14, 15 y 16 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIPBG); art. 157.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP); y arts. 10.1.i) y 95 y ss. del TR de la Ley de Propiedad Intelectual (TRLPI). Asimismo, art. 5 del Reglamento (UE) 2024/903 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre interoperabilidad del sector público, art. 23 de la Ley 15/2022, de 15 de julio, integral para la igualdad de trato y la no discriminación, y art. 13 del RDLeg. 1/1996, de 12 de abril, de Propiedad Intelectual (LPI).

V. Doctrina básica

La resolución analiza el carácter del derecho reclamado y pondera (de acuerdo con la doctrina sentada en la STJUE de 27/2/2025, C‑203/22) ambos intereses en juego, para otorgar prevalencia al derecho ciudadano de conocer la información incluida en aplicaciones digitales usadas para adoptar decisiones administrativas automatizadas en todos sus elementos:

a) Naturaleza del derecho de acceso a la información pública: el art. 42 CDFUE reconoce a todo ciudadano el derecho a acceder a los documentos de las instituciones, órganos y organismos de la Unión, cualquiera que sea su soporte (en idéntico sentido al art. 13 LTIPBG), lo que exige, de acuerdo con el art. 2 de la Ley Orgánica 1/2008, de 30 de julio, en relación con el art. 10.2 CE, la interpretabilidad de los derechos fundamentales y las libertades conforme a dicha carta, derecho que se vincula al principio de transparencia administrativa y a una buena administración reconocido en el art. 41 de la Carta (STS de 29/5/2024 -rec. núm. 1262/2023-), pese a que este no tenga carácter de fundamental (SSTS de 7/2/2023 -rec. núm. 8005/2021-, de 21/4 -rec. núm. 350/2022- y 29/5/2023 -rec. 373/2022-), pero se halle estrechamente vinculado con la plena efectividad de otros principios y derechos constitucionales como los de participación política propios de los sistemas democráticos actuales (SSTC núms. 119/1995, de 17/7, y 175/2021, de 25/10), libertad de información y tutela judicial efectiva (STC núm. 164/2021 y SSTS de 30/3/1999 -rec. núm. 6563/1994- y de 16/12/2011 -rec. núm. 4607/2009). La transparencia del proceso tecnológico seguido por el sistema informático adquiere singular relevancia para garantizar el adecuado control de la gestión pública, aunque requiera de controles reforzados para evitar injerencias externas de orden tecnológico (STC núm. 16/2004, de 23/2).

b) Naturaleza de la decisión automatizada: la actividad automatizada de la administración pública, identificada como la realizada «íntegramente a través de medios electrónicos en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público», ex art. 41.1 LRJSP, se encuentra incluida en el ámbito de aplicación del art. 22.1 RGPD, según la resolución de la AEPD de 6/11/2024 (ref. PS-00324-2023), que califica la aplicación BOSCO como una decisión individual automatizada a tal efecto, «con evidente impacto en los derechos de los ciudadanos a los efectos específicos de la normativa sobre protección de datos».

c) Decisiones administrativas automatizadas y principio de transparencia: los contenidos a los que se refiere el art. 13 LTAIBG cuando reconoce el derecho de información pública incluyen todo tipo de documento, con independencia de su soporte, y a todo ciudadano, sin distinciones (STS de 25/3/2021 -rec. núm. 2578/2020-), y del interés privado que motive la solicitud (que no exige motivación, STS de 12/11/2020 -rec. núm. 5239/2019-), ex STS de 2/6/2022 (rec. núm. 4116/2020). Asimismo, según el art. 105.b) CE y la jurisprudencia constitucional (cfr. SSTC núms. 164/2021, de 4/10, y 18/1981, de 8/6), el acceso de los ciudadanos a archivos y registros administrativos, que deberá regularse por ley (siendo esta la LTAIPBG, arts. 12 a 24, que devendrá supletoria en caso de entrar en juego otra norma especial, STS de 25/1/2021 -rec. núm. 6387/2019-), sujeta a la actividad administrativa automatizada ex art. 105 b) CE a dicho deber de transparencia e impone a las administraciones públicas el deber de facilitar el acceso de los ciudadanos a las características fundamentales de los algoritmos empleados en la adopción de decisiones o su código fuente.

d) Limitaciones del derecho: en primer lugar, dicho acceso solo se excluirá por motivos legalmente tasados (arts. 14 y 15 LTAIBG -STC núm. 164/2021, de 4/10-), esto es, en el caso que nos ocupa: si afecta a la seguridad y defensa del Estado y a la intimidad de las personas, como prevé el art. 14.1 de la citada ley, en sus distintos apartados, especialmente d) (seguridad pública), j) (propiedad intelectual), y l) (garantía de la confidencialidad o el secreto requerido en procesos de toma de decisión). Limitaciones (y no meras causas de exclusión de acceso (STS de 16/12/2019 -rec. núm. 316/2018-) que deberán aplicarse de forma justificada, proporcionada y restrictiva (STS 8/4/2024 -rec. núm. 681/2022-, de 16/10/2017 -rec. núm. 75/2017-, 10/3/2020 -rec. núm. 8193/2018-, 11/6/2020 -rec. núm. 577/2019-, 19/11/2020 -rec. núm. 4614/2019-, 29/12/2020 -rec. núm. 7045/2019-), no de forma discrecional por la administración (STC núm. 164/2021, de 4/10) ni tampoco de forma genérica, sino ponderando los intereses en juego -el interés público o privado superior que justifique el acceso y el protegido por la limitación en cuestión (STS de 25/1/2021 -rec. núm. 6387/2019)- (art. 14.2), pues el principio de buena administración (reconocido en el art. 41 CDFUE, y definido por la STS de 30/4/2025 -rec. núm. 1100/2022- y las precedentes, como la núm. 1752/2022, de 23/12) exige una interpretación amplia y expansiva. En segundo lugar, la solicitud debe ser oportuna, pero no exhaustivamente justificada (STS de 12/11/2020 -rec. núm. 5239/2019-). En tercer lugar, se exige la pertinente disociación de datos personales que pudieran contener (art. 14.3 y 15.4). Finalmente, debe garantizarse el acceso parcial cuando tales límites no afecten a la totalidad de la información, salvo que la resultante quede distorsionada o pierda su sentido (art. 16).

e) Derechos de propiedad intelectual sobre sistemas digitales: la aplicación BOSCO es un programa informático incluido específicamente dentro de las creaciones susceptibles de ser objeto de propiedad intelectual (arts. 10.1.i) y 95 y ss. TRLPI, y SSTJUE de 22/12/2010 -asunto C-393/09-, de 6/10/2021 -asunto C-13/20-, y de 17/10/2024 -C-159/23-), pero la interpretación restrictiva de los límites aplicables al derecho no admite la exclusión de acceso basada en el mero riesgo de eventuales perjuicios para la administración titular con motivo de su uso o explotación no autorizada, al carecer de la relevancia necesaria para operar con tal efecto limitativo, sino tras ponderar los intereses concurrentes y su justificación y proporcionalidad a su objeto y finalidad de protección. La naturaleza, tanto de la aplicación, como de la entidad recurrente, avalan la relevancia pública de la información solicitada, que, en definitiva, es constatar si el código fuente de la aplicación traduce con exactitud la norma y procedimientos aplicables, con un legítimo interés, relevante para la sociedad en su conjunto: la protección de los consumidores que se encuentran en una situación social y económica más frágil y la lucha contra la pobreza energética. Por lo que el derecho de propiedad intelectual de la administración pública no puede tener eficacia obstativa al acceso a tal información, el código fuente, cumpliéndose, por otra parte, los presupuestos que la STEDH núm. 18030/11, de 8/11/2016 (asunto Maygar Helsinki Bizottság c. Hungría) exige para reconocer el derecho de acceso a información pública (que la LTAIBG supera en su alcance, al incluir también intereses privados legítimos y no requerir la acreditación de un concreto interés). Por tales razones, el Consejo de Transparencia ha cambiado su criterio desde la resolución impugnada en sus posteriores resoluciones núms. 46/2024, de 16/1, y 1071/2024, de 24/9. Del mismo modo, la protección jurídica que proporciona la propiedad intelectual (la defensa y remuneración del trabajo y valor añadido que aporta el creador y la recuperación de la inversión de recursos vertida en su creación) decae cuando esta es producto de la propia administración pública, que, por ello, no se encuentra integrada «en la lógica competitiva del mercado donde se proyectan con especial significación los derechos de explotación de la propiedad intelectual», lo que conduce a otorgar prevalencia al interés en el acceso al código fuente sobre el derecho a la propiedad intelectual de la Administración del Estado y los eventuales perjuicios que pudieran dimanar de dicho acceso como consecuencia de su explotación no autorizada por terceros, pues tal riesgo puede ser fácilmente minimizado «sometiendo el acceso a determinadas cautelas» (v.gr., prohibición de difusión o uso para otras finalidades sin autorización expresa, advertencia expresa de responsabilidad por incumplimiento de la prohibición, firma de compromiso de uso limitado de la información o imposición de deber de confidencialidad).

f) Seguridad pública y protección de datos personales: si bien la revelación del código fuente aumenta la severidad de las vulnerabilidades de cualquier aplicación informática, este criterio no es suficiente en sí mismo, y, por ende, no puede oponerse a su acceso legítimo, pues lo contrario vaciaría de contenido el derecho cuando se tratase de aplicaciones telemáticas y tuviera por objeto el código fuente, implicaría la atribución de un carácter absoluto a la limitación de «seguridad pública» que prevé el art. 14.1.d) LTAIBG y resultaría contrario a la propia exigencia de juicio de proporcionalidad y ponderación de intereses exigida por la LTAIBG, por lo que, en este caso, invocada genéricamente, es inaplicable por falta de consistencia y fundamentación. Tampoco consta exposición de datos personales de usuarios, por excluirse de la información pública, y, al contrario, su protección exige transparencia sobre la lógica empleada en tratamientos de datos personales que impliquen la adopción de decisiones individuales automatizadas con efectos jurídicos (arts. 13.2.f y 14.2.g, y 15.1.h RGPD, que exige facilitar información significativa sobre la lógica aplicada, y sobre la importancia y las consecuencias de dicho tratamiento, que, aunque no se identifica específicamente con el acceso al código fuente, tampoco se excluye, según tanto las directrices 4/2020 del Comité Europeo de Protección de Datos, pues la 37 afirma literalmente que «el código fuente de la aplicación debe hacerse público con miras a un control lo más amplio posible», para que «cualquier parte interesada pueda auditar el código», como el art. 23.2 de la Ley 15/2022, que insta a las administraciones públicas a priorizar la transparencia en el diseño de sus algoritmos de decisión). La seguridad pública, por otra parte, cede ante la prevalencia del interés público en la información, cuya transparencia, también aplicada a otros productos digitales de la administración pública de código abierto ex art. 157.2 LRJSP, puede contribuir incluso a la mejora del código y el fortalecimiento de su seguridad, al incentivar extremar las cautelas de seguridad y facilitar su escrutinio por actores independientes que hagan aflorar nuevas vulnerabilidades inadvertidas y posibilitar su corrección temprana. En definitiva, el propio derecho europeo «contiene mandatos y principios favorables a la transparencia de los algoritmos públicos que conducen a descartar la ocultación del código fuente como principio general y categórico de seguridad de los sistemas informáticos» (v.gr. art. 5 del Reglamento (UE) 2024/903).

g) Motivación de las decisiones administrativas: se constata que el programa toma decisiones opacas de efectos jurídicos sin motivación sobre los fundamentos que sustentan la resolución, especialmente si esta es negativa, desembocando en obstáculos adicionales en el proceso de reclamación y dificultando «la detección de eventuales errores en la operativa del programa que, en virtud de su naturaleza automática, adquieren un evidente efecto multiplicador».

VI. Parte dispositiva

La sentencia estima la demanda y el recurso, con la consiguiente anulación de la resolución administrativa recurrida, declarando el derecho de la demandante a acceder al código fuente de la aplicación BOSCO.

VII. Comentario

La resolución analizada tiene una indudable trascendencia jurídica más allá del ámbito administrativo en el que se centra, por facilitar no solo razones que justifican que el alcance de la transparencia informativa en la adopción de decisiones automatizadas tenga un fundamento público, sino por ofrecer argumentos que sirvan a la extensión del derecho de acceso que reconoce también a ámbitos privados, en los que se incidirá particularmente en este comentario, por inscribirse en el marco del derecho del trabajo y de la seguridad social.

1.  El deber público y derecho ciudadano de transparencia algorítmica

1.1 Obligaciones de transparencia y afectación de datos personales

En un contexto donde son aplicados datos personales, como el de autos, el derecho de acceso a la información previsto en el art. 15.1 h) RGPD conforma un conjunto con las obligaciones adicionales de información impuestas a los responsables del tratamiento de datos en virtud de los arts. 13.2 f) y 14.2 g) RGPD, según se afirma en las SSTJUE de 7/12/2023, SCHUFA Holding y otros (Scoring), asunto C‑634/21, y de 27/2/2025, asunto C‑203/22, CK y Magistrat der Stadt Wien (ya comentada en el número 3/2025 de la RJL-), comprende el de conocer la «información significativa sobre la lógica aplicada» por un sistema basado en algoritmos o un sistema de inteligencia artificial (IA), que debe consistir en una explicación exhaustiva del procedimiento y de los principios aplicados para explotar, de forma automatizada, sus datos personales con el fin de obtener un resultado determinado, en el mismo sentido que el art. 13 RIA alude a la información significativa sobre la lógica aplicada, y sobre la importancia y las consecuencias previstas del tratamiento para el interesado.

Y, pese a limitar su alcance de acuerdo con los derechos y libertades de terceros (art. 15.4 RGPD), incluidos los secretos comerciales o la propiedad intelectual (art. 9 de la Directiva 2016/943) y, en concreto, los derechos de propiedad intelectual que protegen programas informáticos, tales derechos ajenos no pueden impedir el conocimiento por cada interesado de la información respectiva cuando esta se solicita a una autoridad de control con acceso a esta, como sería, en el presente caso, la propia administración pública. La segunda de las resoluciones citadas matiza que el acceso a la información se garantiza a la propia autoridad, a efectos de realizar la oportuna ponderación entre ambos intereses (los del solicitante y los de la entidad ajena objeto de la solicitud) y facilitar a los interesados la información en cuestión, si su interés es superior al del secreto comercial. En el caso presente, la decisión producida no tiene carácter privado, sino público, lo que obliga a contar con los deberes de transparencia que sobre la administración pública pesan respecto de informaciones públicas, lo que le obliga a efectuar ella misma tal ponderación de intereses en juego, y esta, para garantizar la plena efectividad del derecho, podría exigir convertir el código de programación en una fuente abierta, desconectada de datos personales que debe proteger.

1.2  El código fuente: la obligación de motivar las decisiones administrativas frente al derecho de propiedad intelectual

Los demandantes centran su reclamación en el acceso al código fuente (esto es, el conjunto de archivos que contienen las instrucciones escritas en un lenguaje de programación para su compilación en programas de ejecución directa) como si de la piedra filosofal se tratase en términos de conocimiento, sinónimo de su legítima aspiración a desentrañar la opacidad de algoritmos de decisión automatizada interpuestos entre la ciudadanía y la administración pública. A priori, sin embargo, centrar la demanda de información respecto al funcionamiento interno del mecanismo algorítmico en cuestión no necesariamente garantiza la total transparencia y comprensión de su funcionamiento, especialmente en los sistemas guiados por datos masivos y en los que el aprendizaje automático o profundo opacan la relación entre los datos de entrada y los resultados ofrecidos por el sistema de IA.

Ahora bien, los sistemas guiados por código y no por datos, como ocurre con el sistema BOSCO -en el que la aplicación realiza un cotejo entre los datos de usuario introducidos y el código introducido en el algoritmo, que se corresponde con la traslación de reglas jurídicas, como son las correspondientes a los requisitos que deben cumplir los solicitantes para obtener el reconocimiento de un beneficio económico (la reducción de la tarifa eléctrica doméstica), es decir, la codificación de dichos requisitos en el conjunto de operaciones de cálculo que desarrolla el algoritmo (BOSCO)-, pueden ser transparentes permitiendo el conocimiento de dicha secuenciación de órdenes para determinar si cada usuario es o no tributario del beneficio solicitado. Es en este ámbito donde cobra sentido la reclamación efectuada por la demandante, pues la misma constituye la compleción de la información solicitada y solo obtenida parcialmente, al haberse facilitado solo parte de ella.

Debe recordarse la doctrina al respecto del TJUE, a tenor de la cual compartir la información técnica o matemática descriptora del algoritmo empleado o el completo procedimiento computacional que da lugar a una decisión no satisface el derecho de acceso, puesto que no «puede considerarse una explicación suficientemente concisa e inteligible», ya que (y como se afirmó ya en la STJUE, Infopaq International, C-5/08, y de 2/5/2012, SAS Institute Inc contra World Programming Ltd (Gran Sala), no consiste en revelar códigos, sino en hacer inteligibles los parámetros y criterios de las decisiones que se toman), de existir datos personales en juego, como es el caso (pues la administración opone esta causa a la solicitud de la demandante), «…el RGPD exige que el responsable del tratamiento ofrezca información significativa sobre la lógica aplicada a esta decisión, “no necesariamente una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo”». Por el contrario, el art. 15.1 h) exige que se traslade al interesado la descripción del procedimiento «y los principios concretamente aplicados, de tal manera que … pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada», identificado, así, el concepto de «información significativa» con la relación entre los datos utilizados por el sistema y su efecto sobre la decisión adoptada (en el mismo sentido que el RIA, que la refiere a la lógica aplicada por el sistema automatizado -o razonamiento subyacente, según art. 9.1 Convenio 108+-), y requiriendo que se indique la importancia del tratamiento en la decisión automatizada y las consecuencias derivadas de esta, al objeto de facilitar su impugnación con garantías, en resumidas cuentas, la traducción técnica del deber de motivación, sinónimo del llamado derecho de explicabilidad del art. 13.2 f) RGPD.

Por otra parte, resulta sorprendente el rechazo de la administración especializada en la materia -el Centro Criptográfico Nacional (a través de su informe pericial depuesto en el acto del juicio)- a franquear el acceso a la codificación de órdenes en la que consiste el algoritmo por razones de seguridad pública y vulnerabilidad del sistema si esta, como argumenta el propio ministerio demandado, es la simple transcripción de la norma que le da soporte y a la que se vincula en su aplicación práctica automatizada, si la auténtica vulnerabilidad reside en el conjunto de datos personales que soporta el sistema fruto del volcado de datos personales por parte de los propios solicitantes y de su interconexión con otras fuentes de información pública, como es el caso de la administración tributaria y de la seguridad social, a los que no resulta obligado facilitar el acceso. Como resuelve la sentencia comentada, conocer esta secuencia de órdenes no expone ni al conjunto de la población vulnerable ni a la administración pública a vulnerabilidades concretas per se, y lo que en realidad supondría tal riesgo se encuentra en una fuente de información distinta, el conjunto de datos personales que el sistema acaba poseyendo, como ya afirmara la resolución del CTBG de 18/2/2019 (que rechazó que compartir la codificación del algoritmo no supusiera abrir el acceso a datos personales), y, al contrario, resulta coherente tanto con el art. 23.2 de la Ley 15/2022, de 12 de julio, como con el art. 5 del Reglamento (UE) 2024/903, sobre el deber de publicar fuentes de código abierto en el marco de la Comisión Europea). Sin permitir el acceso a estos y compartiendo solo la codificación de órdenes que recogen el procedimiento administrativo aplicable, el sistema mantiene su seguridad y los reclamantes conocen cómo se ha secuenciado y si se han cometido errores en la verificación de los requisitos exigidos por la norma codificada (de acuerdo con el  art. 15.1 h) RGPD, que garantiza la autocomprobación de la veracidad o exactitud de los datos utilizados para generar la decisión, en relación con el art. 8.2 CDFUE, o derecho de acceso y de rectificación de los datos personales, según mantuvo la STJUE 27/2/2025, asunto C‑203/22). Finalmente, no debe olvidarse tampoco que el art. 13.1 RIA incluye en el derecho de acceso también los conjuntos de datos empleados, aunque no se trate de su contenido individualizado, sino de estos como «datasets» identificables como conjunto.

Que esto les sirva a los demandantes representados por la fundación para verificar en qué parámetros concretos se ha producido la exclusión de un colectivo significativo de beneficiarios, que sirve de motivo a la solicitud de conocimiento sobre el procedimiento aplicado en sus aspectos técnicos, es harina de otro costal. Es posible que no pueda encontrarse una deficiente transcripción del procedimiento administrativo legal o que no quepa detectar error de código, y que aquel resultado se deba a la interconexión automatizada de datos económicos y personales de los solicitantes entre diversas administraciones, pero el derecho de transparencia y de acceso a la información pública y el derecho de fiscalización ciudadana, núcleo de la pretensión de la demanda, amén del derecho a la motivación de las decisiones con efectos jurídicos individuales ha quedado así satisfecho, en beneficio de la ciudadanía en general.

En definitiva, el deber de motivar las resoluciones administrativas alcanza a cualquier herramienta de la que esta se valga para adoptarlas, así como a los procesos intermedios que determina una decisión que debe ajustarse a una legalidad concreta, porque el derecho a la información pública, reconocido en el art. 105.b) CE, aunque no tiene carácter fundamental (STS de 7/2/2023 -rec. núm. 8005/2021-), forma parte del derecho reconocido en el art. 41 CDFUE, como afirma la STS de 29/5/2024 (rec. núm. 1262/2023), al relacionar el derecho de acceso a la información pública con el principio de transparencia administrativa y el derecho a una buena administración que aquel precepto reconoce.  

Lo anterior no es óbice al derecho de propiedad sobre las aplicaciones automatizadas creadas por la administración (situación fáctica de la que parte la sentencia, pese a que en otros casos esta recurre a empresas privadas para su producción -v.gr. INSS y la empresa ViewNext-), reconocidos tanto en el art. 7.2 de la Ley 33/2003, de Patrimonio de las Administraciones Públicas, como en el art. 157 LRJSP (la sentencia de origen afirma que el código fuente de la aplicación no forma parte de las exclusiones de la propiedad intelectual previstas en el art. 13 LPI, al no ser tal código norma ni acto administrativo), pues este cede ante el interés público superior, considerado el alcance del deber de información pública. De igual modo, el art. 135.1 c) de la Ley de Propiedad Intelectual (RD leg. 1/1996, de 12 de abril) ampara la propiedad intelectual de bases de datos y autoriza su revelación en el contexto de un procedimiento administrativo o judicial, cuando esta no cause un perjuicio injustificado a los intereses legítimos del titular del derecho o vaya en detrimento de la explotación normal del objeto protegido (art. 135.2).

2.      La automatización de la protección social

Con el título precedente se pretende reseñar el impacto de la resolución estudiada sobre el ámbito de la administración laboral y de seguridad social, pues cabe concluir que le son igualmente aplicables los arts. 5 y 12 LTAIBG (en conexión con su art. 14) y la argumentación anteriormente reproducida, y que, por ende, aquella se encuentra sometida a idéntica obligación de compartir el código fuente o actuar con fuentes abiertas, para que la ciudadanía tenga completo acceso a los procedimientos digitales aplicados y se encuentre en condiciones de impugnarlas. En consecuencia, la doctrina reseñada sería aplicable a las resoluciones de naturaleza pública dictadas por cualquiera de las entidades gestoras de la seguridad social en la resolución y cálculo de prestaciones (al respecto de la cual se pronunció la AEPD en resolución de la Gerencia Informática de la Seguridad social de este mismo año 2025, que admitió su uso por el INSS únicamente para el control de la incapacidad temporal -concretamente el modelo de priorización de citas médicas de revisión y control, con intervención humana, afirma dicha entidad, ex art. 22 RGPD-, concediendo acceso parcial a la información solicitada) o en la tramitación automática de altas y bajas de trabajadores según Resolución de 9 de abril de 2025 de la TGSS); por la Inspección de Trabajo ex art. 53.1.a) de la LISOS, por la administración competente en materia de empleo (como el algoritmo send@ en el perfilado automático -definido por la STJUE de 7/12/2023, asunto SCHUFA Holding y otros, C‑634/21- de itinerarios de inserción laboral, sujeto al art. 22.1 RGPD).

En definitiva, la doctrina analizada dejaría sin efecto la resolución citada de la Gerencia Informática de la Seguridad Social (GISS), que precisamente invocaba las precedentes del Juzgado central de lo contencioso y de la Audiencia Nacional en este y en asunto similar (algoritmo de sorteo de tribunales en procesos selectivos autonómicos), por cuanto esta comparte los argumentos del CTBG con respecto al bono social eléctrico para facilitar un acceso parcial a la información solicitada que excluye expresamente el código fuente. Apoyándose, amén de en los textos legales de general aplicación, en una «Norma interna de Seguridad en entornos analíticos desarrollada por el Comité de Seguridad de los Sistemas de Información de la Seguridad Social, de 23 de junio de 2023», que ni es pública ni se comparte tampoco en la respuesta a la solicitud de información citada, y, pese a la declarada transparencia como motor de la Estrategia de Inteligencia Artificial 2024, la GISS apela a los riesgos que justifican su negativa al amparo del art. 14.1 k) LTAIGB, que exponen al INSS a vulnerabilidades, que se prestan a actuaciones malintencionadas y fallos de seguridad, con riesgo de manipulación o corrupción de los resultados del modelo, así como a usos indebidos al margen de su funcionalidad para la seguridad nacional y la seguridad social, y que, además, resultarían ineficaces, pues no podrían interpretarse sin los datos personales sensibles asociados. De ahí la trascendencia de esta sentencia para toda la administración pública, a la que resulta de aplicación en circunstancias similares, no sin antes efectuar idéntica ponderación de los intereses en juego, pues, si en el caso de origen era el reconocimiento de un derecho de índole económica (descuento en la factura del consumo eléctrico), en las diversas circunstancias en las que la administración laboral y de seguridad social emplea aplicaciones o IA para emitir decisiones automatizadas deberá calibrarse el alcance de las decisiones emitidas, en algunos casos de menor o incluso similar entidad (inserción laboral y procesos de incapacidad temporal, respectivamente, en cuanto se trata de situaciones estas últimas que llevan anudada una prestación económica), pero en otros de mayor alcance (v.gr. actuación inspectora), todas ellas calificables como de alto riesgo en el contexto del RIA.

3.      Extrapolación al ámbito de las decisiones automatizadas de carácter privado

Vistos los razonamientos predicables del deber de información pública, cabe extraer algunas conclusiones replicables en ámbitos privados, más allá del acceso a la información pública, núcleo fundamental de la resolución comentada: la invocabilidad de la seguridad público-privada de los datos conectados al algoritmo y la propiedad intelectual del código fuente.

En efecto, de la sentencia analizada se puede concluir que el derecho de transparencia de quienes resulten afectados por una decisión automatizada alcanza a todos los elementos del algoritmo o secuenciación de órdenes de las que es fruto la decisión, y que podría comprender también el código fuente de este (siendo claro que, tras la ponderación de intereses en juego, puede resultar obligado el acceso al mismo en decisiones administrativas). La cuestión es si en el ámbito privado este último elemento habría de ser igualmente compartido.

El primer obstáculo a esta solución son los derechos de propiedad intelectual reconocidos a los autores de dicho código, avalados por la Directiva 2016/94 y los considerandos 107 y 167, así como el art. 25.5, 52.6, 78 o 101 RIA, que garantizan la protección de los secretos comerciales y la propiedad intelectual, y restringen el acceso a estos a la información estrictamente necesaria a las autoridades implicadas en la aplicación del derecho de la UE, con las salvedades previstas en el art. 5 a la protección íntegra de tal derecho (c) si los trabajadores lo han puesto en conocimiento de sus representantes en el marco del ejercicio legítimo de sus funciones, si tal revelación fuera necesaria para ese ejercicio -en el mismo sentido, art. 2.c) de la Ley 1/2019, de Secretos Empresariales- y d) para proteger un interés legítimo reconocido por el derecho nacional o de la UE). Pero también es sabido que, en caso de conflicto entre el ejercicio del derecho de acceso pleno a información y los derechos o libertades de otros, la STJUE de 27/2/2025 delega a la autoridad administrativa o judicial el pleno acceso a aquella, en garantía de los derechos protegidos por la Directiva 2016/94 (y por el deber de confidencialidad regulado en el art. 78.1 RIA, con las salvedades previstas en el art. 5 de la Directiva 2016/943), para realizar la ponderación entre ambos derechos. Tal marco jurídico implica que la administración, aunque se trate de distinto órgano o entidad, será en todo caso la legítima intérprete de tal ponderación, bajo el principio de prohibición de la mera «negativa a prestar toda la información al interesado» (considerando 63 RGPD y STJUE de 4/5/2023, C‑487/21).

En definitiva, el deber de facilitar el código fuente es susceptible de extrapolación a las decisiones privadas para facilitar la comprobación del soporte técnico de una decisión automatizada (adoptada por una empresa), si bien sobre la base de criterios divergentes, igualmente conectados al verdadero alcance del derecho, en el sentido resuelto por la citada STJUE de 27/2/2025. En cualquier caso, la motivación y transparencia de las decisiones no debe ser solo asunto de carácter público, pues, en contextos privados (como el ámbito laboral), el interés legítimo del interesado en conocer cómo se toman las decisiones que le afectan jurídicamente exige igualmente efectuar idéntica ponderación entre propiedad intelectual, seguridad y derechos protegibles (v.gr. los de impacto laboral, especialmente los de índole fundamental).  Avalan esta tesis los argumentos favorables a la apertura del código presentes en la sentencia, enmarcados en el RGPD (arts. 13.2.f y 14.2.g, y 15.1.h RGPD) y, en consecuencia, predicables de cualquier tipo de decisión automatizada. Como afirma la sentencia, con base en las directrices 4/2020, del Comité Europeo de Protección de Datos y del art. 23.2 de la Ley 15/2022 (de aplicación en el ámbito privado también), aunque el derecho de transparencia no se identifica concretamente con el acceso al código fuente, este tampoco se excluye, y así, la directriz 37 incluye el deber de hacer público el código fuente para un control lo más amplio posible.

VIII. Apunte final

A partir de esta resolución, se plantea en el horizonte un mar de nuevas dudas acerca de cuál sea la praxis administrativa que siga a tal fallo. En concreto, si el derecho a información pública justifique transformar el funcionamiento digital de la administración en sistemas de código abierto consultables en sus sitios web, como se desprende, por otra parte, de mandatos legales europeos, o si, como parece, en situaciones críticas (vulnerabilidad de información sensible de los propios administrados o del sistema de gestión de la administración pública), pueda seguir ocultando cierta información acerca de la codificación de sus procesos mientras no se inste el mecanismo de protección judicial oportuno para revelar información opaca en sus relaciones con administrados que consideren insuficiente la motivación de la resolución que les afecta.

En todo caso, si, como anuncia la sentencia analizada, la vulnerabilidad de información sensible de los propios administrados o del sistema de gestión constituyen elementos críticos expuestos que deben reforzarse, celebremos el fallo por constituir un acicate a la mejora de la seguridad de nuestra administración digital, para que la seguridad de todos encuentre el mismo nivel de desarrollo sostenible que la propia digitalización pública y permita a la ciudadanía confiar en el Estado digital del bienestar.