Corte Constitucional ordena entregar el código fuente de la aplicación CoronApp: detalles de un fallo crucial

La Corte Constitucional tomó una determinación clave: ordenó entregar a un particular el código fuente de la aplicación CoronApp, la que fue creada por el Gobierno Nacional durante la pandemia de Covid-19, que se usó para que los ciudadanos reportaran su estado de salud y así, que las autoridades monitorearan en qué lugares se estaba proliferando el virus.

El uso de CoronApp, por un momento, fue obligatorio como requisito para ingresar a aeropuertos. En su momento se presentaron varios reclamos sobre el acceso a la información pública y el derecho de habeas data y organizaciones sociales y respetados juristas pidieron que la Agencia Nacional Digital hiciera público el código fuente de la aplicación.

¿Qué es un código fuente? Según explica Dejusticia, es “un conjunto de líneas en un lenguaje de programación que hace funcionar un programa”. Todas las aplicaciones digitales tienen uno y esa organización fue una de las que pidió su publicidad para saber cómo funcionaba CoronaApp y tener evidencia técnica sobre la misma.

Lo mismo hizo el doctor en derecho Juan Carlos Upegui Mejía quien presentó una tutela que estaba en estudio en la Corte Constitucional en 2021 y es la que se acaba de resolver.

La decisión de la Corte

Con ponencia de la magistrada Natalia Ángel Cabo, la Sala Novena de Revisión de la Corte Constitucional concluyó que sí se había vulnerado el derecho fundamental al acceso a la información pública al negarse a entregar el código fuente, cuya titularidad inicialmente estaba en la Agencia y el Instituto Nacional de Salud y que luego fue cedida al Ministerio de Salud. Esa cartera le dijo a la Corte que decidió darle un nuevo alcance a la aplicación y la modificó para crear una aplicación llamada Minsalud Digital que ya no está vigente.

“La falta de transparencia y acceso al código fuente de la aplicación CoronApp privó tanto al ciudadano accionante como a la sociedad en general de la posibilidad de ejercer un control adecuado y oportuno sobre esa herramienta. Esta deficiencia no solo disminuyó la extensión, obligatoriedad y funcionalidad del derecho fundamental al acceso a la información pública, sino que también impidió que los ciudadanos pudieran verificar la precisión, seguridad y uso correcto de sus datos personales, limitando así su capacidad para proteger sus derechos a la privacidad, a la protección de datos y a la participación informada en los procesos de toma de decisiones públicas”, dice el fallo.

Por un lado, la Corte dijo que ninguna de las entidades estatales pudo realmente argumentar por qué revelar esa información generaba un daño o ponía en riesgo la información sensible de las personas que usaron la aplicación.

“De hecho, la entidad no explicó por qué, a la luz del interés público que supone la publicidad de la información, la reserva era la única medida idónea y necesaria para evitar el supuesto daño, ni tuvo en cuenta otras medidas menos lesivas del derecho de acceso a la información pública que hubieran podido minimizar su gravedad”, dice el fallo.

En cambio, la Corte constató que era posible tomar medidas de seguridad sobre las bases de datos en las que reposaba la información de los usuarios, como separar la información, generar credenciales de acceso, contraseñas de seguridad, medios de autenticación, entre otros, “de tal forma que la publicación del código no comprometiera la información y los datos de las personas”.

Además, la Corte cuestionó a los jueces que inicialmente conocieron este caso porque aceptaron, sin la debida ponderación, que frente a aspectos técnicos o especializados y en circunstancias de duda o vacío legal, proceda la negación del derecho al acceso a la información.

La Sala le dio 15 días al Ministerio para entregar el código fuente de la aplicación CoronApp, con todo el historial y control de versiones y actualizaciones.

“La Sala ordenará al Ministerio que, antes de conceder acceso al código fuente, su historial y versiones, tome, con el acompañamiento de la Agencia Nacional Digital y el Instituto Nacional de Salud, todas las medidas de seguridad necesarias para garantizar la seguridad de los datos personales de los usuarios de la aplicación. Dichas medidas pueden consistir en la creación o el fortalecimiento de contraseñas de acceso a las bases de datos, o la elaboración de una versión del código fuente en donde las credenciales o información de acceso estén editadas, borradas o anonimizadas, de tal forma que se evite cualquier acceso a esa información”, insistió la Corte.

Además, la Corte le dio seis meses a las entidades mencionadas para que “emita lineamientos en relación con la transparencia algorítmica en los sistemas algorítmicos utilizados por el Estado”.

“Dichos lineamientos deberán propender por la maximización de los estándares de transparencia, confianza y acceso a la información pública y señalar, como mínimo, lo siguiente: las garantías de protección de la transparencia algorítmica en su faceta pasiva; y las obligaciones del Estado para asegurar que en los próximos desarrollos de herramientas digitales se garantice la faceta activa de este principio, al disponer de forma abierta y periódica de información que permita comprender el diseño y funcionamiento de los algoritmos”.