RNBD 2025
enero 13, 2025
Aviso importante
enero 5, 2026
La sentencia T-067 del 2025 de la Corte Constitucional, relacionada con el acceso al código fuente en ejercicio del derecho fundamental de acceso a la información pública, representa un paso importante hacia el fortalecimiento de la transparencia algorítmica y el control ciudadano sobre las decisiones que afectan sus derechos. Es una sentencia novedosa, excepcionalmente valiosa, aporta elementos significativos que ayudan a interpretar futuras problemáticas asociadas al acceso al código fuente, producto del ejercicio ciudadano. Desde una lectura crítica, considero oportuno proponer algunas reflexiones complementarias, en torno a los alcances de esta decisión, especialmente en lo relacionado con la protección de datos personales y la seguridad de la información.
Test de daño…
Aunque la sentencia realiza un valioso análisis en sus consideraciones respecto al acceso y la transparencia, aplicando el test de daño, considero que su abordaje pudo realizarse revisando otro tipo de amenazas. La Corte se apoyó en los argumentos presentados por la Agencia Nacional Digital, sin realizar una evaluación propia y concreta sobre la afectación real de los derechos fundamentales a la protección de datos y la privacidad. En este sentido, la Corte debió analizar por sí misma, y no únicamente con base en lo expuesto por la parte accionada, sobre los posibles daños e impactos.
Sería recomendable que, para proceder con la entrega de este tipo de información, se exija un test técnico específico de vulnerabilidades, que permita determinar con certeza si la publicación del código fuente podría generar afectaciones reales y objetivas en la privacidad y protección de datos de las personas registradas en la aplicación. No basta con descartar riesgos basándose en amenazas como el phishing, (los esbozados por AND, y utilizados por la Corte) pues podrían existir otras amenazas que sí comprometan gravemente la información, como es la ingeniería inversa utilizada para ataques dirigidos, o revelar vulnerabilidades explotables. Posiblemente si se hubieran detectado otras amenazas, el resultado del análisis de la Corte respecto al derecho de protección de datos y privacidad hubiese sido otro, como puede ser, acceso al código pero restringiendo las partes que pueden afectar dichos derechos (información pública clasificada)
Este paso, (test de vulnerabilidades o auditorias al sistema), más que opcional, debe asumirse como una obligación en la protección de derechos fundamentales. Más aún, cuando se desconoce si ese código fuente está diseñado bajo estándares adecuados y robustos de seguridad, y teniendo en cuenta que estamos hablando de una aplicación que estuvo disponible y permitía el ingreso de datos sensibles de millones de colombianos. Ahora, estos mecanismos previos de validación, deberían ser un DEBER de las entidades del Estado, pues sería muy sencillo para estás, ampararse bajo este criterio para no entregar o revelar dicha información.
No estoy sugiriendo que no se deba dar acceso al código, sino que es imprescindible validar qué fragmentos del código podrían afectar derechos fundamentales. La garantía efectiva del derecho de acceso a la información requiere una implementación responsable y segura, de manera tal que no sea la materialización de consecuencias indeseadas asociados a la permisividad la que acabe por justificar la regresividad en la garantía.
Acceso responsable y uso de las categorías de información pública contempladas en la Ley 1712 de 2014
Por otro lado, en el escenario propuesto pudo considerarse las categorías de acceso a la información pública que contempla la Ley 1712 de 2014, desarrollada por el Decreto 103 de 2015, especialmente en los artículos 30, 31 y 32. Estas categorías permiten garantizar el acceso a la información sin poner en riesgo derechos fundamentales, lo cual habría representado una alternativa equilibrada respecto a la entrega total del código fuente. Aunque la Corte menciona referencias normativas y buenas prácticas internacionales, como la Ley de República Digital de Francia, estas no se reflejan de forma efectiva en su decisión final. De hecho, la Corte lo menciona, en la sentencia: “Por ejemplo, en Francia se concedió acceso a un programa informático, pero se permitió la eliminación previa de aquellas partes que pudieran verse afectadas por el secreto en materia industrial o comercial[1]. La legislación de ese país también estableció que el acceso al código fuente, o al algoritmo subyacente, está condicionado a que la administración tenga sus derechos de propiedad intelectual”. Esto sería muy ajustado a lo que tenemos nosotros en Colombia actualmente. El artículo 31 del mencionado Decreto establece: «Existencia y divulgación integral o parcial de la información. Si un mismo acto o documento contiene información que puede ser divulgada e información clasificada o reservada, el sujeto obligado debe revelar los datos no protegidos y presentar los fundamentos constitucionales y legales por los que retiene los datos que no puede divulgar …»
Ahora, vale la pena precisar, que la Corte aunque no aplica dicho criterio en la parte resolutiva, si lo precisa en las consideraciones, al manifestar que: «En este punto, se reitera que la consideración de los códigos fuentes de las aplicaciones usadas por el Estado para desarrollar sus funciones, si bien corresponden, en principio, a información pública, ello no implica una regla jurisprudencial de acceso total e irrestricto a dichos códigos. Tal y como sucede con la información pública en general, los jueces deben examinar las restricciones de acceso invocadas por las autoridades obligadas a la luz de las reglas constitucionales, estatutarias y jurisprudenciales sobre ese derecho. Dichas reglas parten de principios centrales como la buena fe y la máxima divulgación, pero también admiten restricciones excepcionales, justificadas, limitadas, proporcionales y derivadas de la ley»
Propuesta de acceso parcial y protección de fragmentos sensibles
La decisión de dar acceso al código fuente fue acertada. Sin embargo, si se equipara al código como un «documento público» se habría podido aplicar el mecanismo de acceso parcial, omitiendo o clasificando aquellos fragmentos que contengan información reservada o clasificada. En este caso, no hablamos de información reservada (que se califica sobre bienes constitucionales), sino de información clasificada, que recae sobre derechos fundamentales como la protección de datos personales y la privacidad. Este tipo de acceso limitado, no afecta la transparencia, sino que la fortalece, al generar condiciones de confianza y seguridad para todas las partes involucradas.
Diferencias conceptuales entre “documento público” e “información pública”
Sobre el lenguaje jurídico utilizado, es relevante insistir en que los conceptos de «documento público» e «información pública» no son equivalentes. La Ley 1712 de 2014 establece con claridad las categorías de información pública, información pública clasificada e información pública reservada. Esta diferenciación no es menor. El término «información pública», en el marco de la Ley 1712, permite una interpretación más amplia, flexible y adecuada al enfoque de derechos que requiere un Estado social de derecho. Usar indistintamente «documento público» puede invisibilizar que dentro de un documento pueden coexistir datos accesibles con información clasificada o reservada, la cual debe ser protegida de forma específica y no mediante restricciones generalizadas.
Uso posterior de la información
La sentencia no se pronuncia claramente sobre las garantías necesarias frente al uso posterior de la información entregada. Establecer de forma explícita que el código fuente entregado solo puede ser utilizado para los fines específicos inicialmente solicitados, y limitar expresamente los usos posteriores que pudieran generar nuevas vulnerabilidades o afectar la privacidad y la seguridad de la ciudadanía. Si bien es cierto que el derecho de acceso a la información no requiere una motivación, en casos como este, deben establecerse reglas claras sobre el uso legítimo y ético de esa información.
Valoración general y propuesta de acceso diferencial con medidas pertinentes.
Coincido plenamente con la decisión de fondo de la Corte Constitucional respecto al reconocimiento del derecho de acceso al código fuente solicitado por el ciudadano, pues fortalece la transparencia algorítmica y la rendición de cuentas institucional. No obstante, este acceso debe realizarse de manera más prudente y diferencial, incorporando salvaguardas específicas como la exclusión de información clasificada por razones de protección de datos personales y privacidad. Esto habría permitido conciliar de mejor el derecho de transparencia y acceso a la información pública y el derecho a la privacidad y de protección de datos personales.
Adicionalmente, hay dos aspectos que considero relevantes que me generó un poco de ruido:
Confusión entre sistemas automatizados e inteligencia artificial: La sentencia equipara sin matices los sistemas de decisiones automatizadas con sistemas de inteligencia artificial, lo cual puede llevar a confusión. No todos los sistemas automatizados hacen uso de IA, y esta diferenciación es clave para efectos regulatorios y de protección de derechos (párrafo 62)
Cambio de finalidad en el uso de los datos personales : La Corte no se pronuncia sobre el cambio de finalidad en el uso de los datos recolectados por la aplicación, según lo señaló el Ministerio de Salud y Protección Social. En efecto, la recolección de los datos se justificó en una finalidad específica, pero posteriormente estos fueron utilizados para propósitos distintos. Este cambio, realizado sin transparencia, debilita la confianza de la ciudadanía en las instituciones y vulnera el principio de finalidad que rige el tratamiento de datos personales.
En conclusión, se trata de una sentencia necesaria y pertinente, que llega en un momento clave para el debate sobre la relación entre Estado, tecnología y ciudadanía. Marca un precedente importante en el reconocimiento del derecho a entender cómo operan los sistemas que procesan decisiones públicas. Este fallo también abre el camino para seguir perfeccionando el abordaje jurídico de la transparencia en contextos digitales. Decisiones como esta delinean, poco a poco, el horizonte de los derechos digitales en Colombia y deben ir acompañadas de un enfoque cuidadoso, técnico y garantista
