ANEXO I
Preguntas para ser respondidas por el autor del Informe del Centro Criptológico Nacional obrante
en el Procedimiento Ordinario n.º 18/2019 ante el Juzgado Central de lo Contencioso
Administrativo n.º 8.
1. ¿De qué fecha es su informe?
2. Dado que en su Informe no constan antecedentes, ¿qué documentación recibió para la
emisión del mismo?
3. Cuando usted preparó su informe, ¿conocía el contenido del informe emitido por la
Subdirección General de Tecnologías de la Información y de las Comunicaciones del
Ministerio de Industria, Comercio y Turismo de fecha 4 de diciembre de 2019 sobre la
aplicación Bosco?
4. Para la emisión de su informe, ¿ha consultado el contenido del código fuente de la
aplicación Bosco?
4.1.

Si la respuesta a la anterior pregunta es afirmativa, esto es, que sí ha consultado
el código fuente de la aplicación Bosco:
1. ¿De cuántas partes o módulos consta la aplicación Bosco?
2. ¿Existe algún módulo o parte de la aplicación Bosco que archive los datos personales
de los usuarios y sus contraseñas?
3. ¿Existe algún módulo o parte de la aplicación Bosco con un algoritmo que
compruebe si una persona cumple con los requisitos legales para tener derecho al
bono social energético?
4. ¿Podría explicar cómo es esa parte del programa?
5. ¿Existe algún módulo o parte de la aplicación Bosco cuya entrega del código fuente
de esa parte no suponga atentar contra la seguridad nacional o la seguridad pública?
6. El programa Bosco, ¿maneja información clasificada o sensible de la
administración?

4.2.

Si la respuesta a la pregunta 4 es negativa, esto es, que no ha consultado el
código fuente de la aplicación Bosco:
1. ¿Se puede afirmar que el usuario de la aplicación Bosco introduce sus datos de
unidad familiar y de ingresos en una página web?
2. ¿Se puede afirmar que la aplicación Bosco toma esos datos para verificar si cumplen
unas condiciones que están insertas en dicha aplicación?
3. Cuando la aplicación Bosco recibe esos datos introducidos por el usuario ¿envía el
resultado a la administración o a una comercializadora de electricidad?
4. ¿A qué pudo deberse que la aplicación Bosco se equivocara con respecto al bono
social que correspondía a las familias numerosas?

 5. En el caso de las familias numerosas, ¿obligaba la aplicación Bosco a cumplimentar
la casilla de ingresos aun cuando que permite comprobar la renta aun cuando éste no
fuese un requisito legal?
6. ¿A qué pudo deberse que el programa se equivocara con respecto al bono social que
correspondía a las personas con pensiones de jubilación o viudedad?
7. En el caso de las personas con pensiones de jubilación o viudedad, ¿es cierto que la
aplicación Bosco les respondía que era imposible calcular su renta?
5. En su informe afirma que existen aplicaciones informáticas “mediante las que se ejercen
potestades de las administraciones públicas” (página 1, párrafo 2). ¿A qué potestades se
refiere?
6. Mediante esas aplicaciones, ¿se automatiza la toma de decisiones?
7. Mediante esas aplicaciones, ¿se ejercen actividades de control?
8. Mediante esas aplicaciones, ¿se ejercen actividades de gestión?
9. De su informe se deduce que esas aplicaciones no deben tener un código accesible, ¿es esto
así?
10. Si no se puede conocer cómo toman las decisiones esas aplicaciones, ¿cómo pueden
entonces los órganos de lo contencioso-administrativo verificar que la toma de decisiones de
esas aplicaciones es correcta?
11. Si no se puede conocer cómo toman las decisiones esas aplicaciones, ¿cómo pueden
entonces los órganos de lo contencioso-administrativo verificar que la Administración
cumple con sus obligaciones con respecto al Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales (RGPD)?
12. En fecha 16 de abril de 2020, la Comisión Europea ha emitido una Comunicación 1 en
relación a la protección de datos en las aplicaciones contra la COVID 19, cuyo contenido
precisamente señala en su apartado 3.2 (página 5) que el individuo debe ser capaz de
mantener el control de sus datos personales. ¿Mantiene las conclusiones de su informe de
seguridad por oscuridad a la vista de la normativa de la Unión Europea sobre los datos
personales?
13. ¿De qué manera garantiza la aplicación Bosco que el individuo pueda mantener el control
de sus datos personales?
14. Sin acceso al código fuente, ¿cómo podrán los tribunales comprobar que el algoritmo de la
aplicación Bosco es lo suficientemente claro y verificable conforme los principios de
transparencia, limitación de la finalidad y minimización de datos contenidos en el RGPD?
15. Sin acceso al código fuente, ¿cómo podría un ciudadano comprobar que las
Administraciones Públicas cumplen con los principios de transparencia, limitación de la
finalidad y minimización de datos contenidos en el RGPD?

1

Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection. Accesible en
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020XC0417%2808%29

 16. En la página 3, párrafo 3 de su informe hace usted referencia en la nota 10 de pie de página
a un informe de NIST. El título de dicho informe es “Developing Cyber Resilient Systems:
A Systems Security Engineering Approach” (Desarrollando sistemas ciberresilientes: una
aproximación desde la ingeniería de los sistemas de seguridad). Afirma usted en dicha
página 3, párrafo 3, que es preciso mencionar que la restricción al conocimiento público e
indiscriminado del código fuente de las aplicaciones informáticas está avalada por la
mayoría de profesionales y organizaciones especializadas en seguridad.
¿Podría indicarnos en dónde exactamente figura esa afirmación en el informe del NIST que
señala como referencia?
17. ¿No es más cierto que precisamente la misma institución que usted cita, el NIST, en su
informe “Guide to General Server Security Recommendations of the National Institute of
Standards and Technology” (Guía de recomendaciones generales para la seguridad de
servidores, del Instituto Nacional de Estándares y Tecnología) señala explícitamente en su
página 2-4, literalmente lo siguiente: “System security should not depend on the secrecy of
the implementation or its components” (la seguridad del sistema no debería depender del
secreto de la implementación o de sus componentes)?2
18. Si no se dispone del código fuente de un programa, ¿se puede conocer si dicho programa
tiene puertas traseras?
19. Por lo tanto, ¿se puede afirmar que el análisis del código fuente de un programa aumenta las
garantías de seguridad del usuario de dicho programa?
20. En su informe (página 2, párrafo 2) afirma que existen otras circunstancias en donde la
revelación indiscriminada del código fuente… puede afectar gravemente a la seguridad del
sistema de información. ¿Es éste el caso de la presente aplicación?
21. ¿Puede revelarse el árbol de decisiones del programa Bosco sin que afecte gravemente a la
seguridad del sistema de información?
22. Para la emisión de su informe, ¿ha tenido en cuenta alguna normativa de la Unión Europea
sobre algoritmia o Inteligencia artificial?
23. En concreto, para la emisión de su informe ha tenido en cuenta el contenido de la
Comunicación de la Comisión Europea al Parlamento, al Consejo, al Comité Europeo
económico y social y al Comité de las Regiones, Com(2019)168/F1, sobre desarrollos de
inteligencia artificial, en cuya página 5, apartado 4, sobre Transparencia, se afirma que “The
traceability of AI systems should be ensured; it is important to log and document both the
decisions made by the systems, as well as the entire process (including a description of data
gathering and labelling, and a description of the algorithm used) that yielded the decisions”
[Debe asegurarse la trazabilidad de los sistemas de Inteligencia Artificial; es importante
registrar y documentar ambos las decisiones tomadas por los sistemas como el completo
proceso (incluyendo una descripción de la recopilación de datos y su etiquetado, y una
descripción del algoritmo utilizado) de los que emanaron las decisiones]?
24. ¿Es posible escribir aplicaciones informáticas en los que los algoritmos de toma de decisión
no sean secretos?
2

Documento accesible en https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf