La Directiva UE (2024/2853) de 23 de octubre de 2024 sobre responsabilidad por productos defectuosos, en su versión actualizada (en adelante, “PLD”), entró en vigor el 8 de diciembre de 2024 y moderniza el marco existente para incluir nuevas tecnologías y software, aclarando el alcance de las normas sobre la responsabilidad por productos en la UE.
Las disposiciones relativas a la IA revisten especial interés dado el auge de la IA y los rápidos e importantes avances en la tecnología “machine learning”. El número de empresas que utilizan sistemas de IA está creciendo continuamente, con más del 20 % de las empresas españolas usando la IA en 2025, y con un 55 % de grandes empresas europeas utilizándola actualmente. Basta observar el alcance del uso de IA por los consumidores ordinarios en la UE – ChatGPT por OpenAI, uno de los chatbots emblemáticos de la industria, alcanzó 120,4 millones de usuarios activos mensuales en el bloque entre abril y septiembre de 2025, lo que representa aproximadamente una cuarta parte de la población de 450 millones de la UE. Por tanto, la integración de la IA tanto en la vida empresarial como en la privada está plenamente en marcha, y la legislación trata de ponerse al día con una fuerza económica tan transformadora, al tiempo que intenta compaginar la llamada carrera por la IA frente a China y Estados Unidos. La UE debe encontrar un delicado equilibrio entre la regulación y el impulso a la innovación, con el objeto de fomentar un mercado de IA competitivo sin abrir la caja de Pandora de una tecnología cuyas consecuencias económicas y sociales son tan difíciles de controlar como de transformar.
Esta actualización de la PLD es solo una pieza del rompecabezas en la regulación por la UE de nuevas tecnologías. Complementa el Reglamento UE (2024/1689) de 13 de junio de 2024 sobre la IA (en adelante, “Reglamento de IA”), que es el primer reglamento horizontal de la IA en el bloque, estableciendo un marco basado en el riesgo para los sistemas de IA, graduándolos en una escala de “riesgo mínimo” a “riesgo inaceptable”. Pero, mientras el Reglamento de IA es ante todo preventivo, imponiendo obligaciones para gestionar riesgos antes de que los sistemas de IA causen daño, la PLD es más bien de carácter correctivo. Determina cuándo las personas dañadas por productos de IA pueden obtener una compensación y, para las empresas, eso es particularmente importante. Regula si la responsabilidad por los daños causados por un sistema de IA puede atribuirse y qué participante de la cadena de suministro asume el coste cuando el sistema falle.
El software de IA como “productos” capaces de causar daño
En relación con las disposiciones relativas a las nuevas tecnologías, la primera actualización de la PLD es la confirmación de que los softwares de IA están clasificados como “productos”, cualquiera que sea su modo de utilización. Esto convierte al suministrador de un software de IA en un fabricante y lo sujeta a una regulación estricta de responsabilidad por productos.
La PLD pone énfasis en el control continuado que los fabricantes ejercen sobre sus productos, a diferencia del principio “factory gate”. Se considera que el control sigue siendo ejercitable cuando sea posible instalar actualizaciones o mejoras al producto y, ya que los productos de IA están típicamente actualizados y mejorados periódicamente, es probable que esta disposición se aplique a la mayoría, sino a todos ellos.
La PLD pone especial énfasis en la capacidad de los productos de “seguir aprendiendo o adquirir nuevas características después de su introducción en el mercado” ya que estipula que existe una expectativa legítima de que el programa y los algoritmos estén diseñados para prevenir comportamientos potencialmente peligrosos. Aunque el aprendizaje continuo de la IA todavía no está implementado en el sentido de sistemas de IA que adquieran y recuerden nuevos conocimientos de manera autónoma, los riesgos identificados por la PLD no son meramente hipotéticos. Los productos de IA todavía pueden comportarse de manera inesperada y peligrosa dentro de su entorno, por ejemplo, el caso en el que un agente de IA borró la base de datos de una empresa y sus copias de seguridad a pesar de instrucciones dirigidas a impedir acciones destructivas. Los sistemas de IA actuales no son máquinas totalmente autónomas, autoconservantes o autoaprendientes, pero esto demuestra que pueden ejercitar un grado de autonomía funcional suficiente y producir resultados que se desvían de su uso previsto, especialmente cuando están integrados en infraestructura operativa. Por tanto, la PLD es significativo porque el daño relacionado con la IA puede derivarse de un defecto presente en el momento de su lanzamiento, pero también de la manera en que la IA funciona, se actualiza, o interactúa con su entorno después de su comercialización. Notablemente, la PLD estipula que un fabricante que diseña un producto con la capacidad de adquirir comportamiento inesperado “debe seguir siendo responsable de todo comportamiento que causa daños”. Es probable que se vuelva cada vez más importante la obligación de asegurarse de que existan mecanismos de protección eficaces para impedir el daño, ya que los sistemas de IA se volverán cada vez más autónomos en un futuro próximo.
La misma lógica se aplica cuando la IA se utiliza como parte del proceso de producción o de control de calidad de un fabricante, en lugar de formar parte del producto final en sí. Un fabricante puede, por ejemplo, apoyarse en un sistema de inspección basado en IA para detectar defectos, verificar el cumplimiento de especificaciones técnicas o aprobar productos antes de que salgan de la línea de producción. Esto plantea un riesgo particular cuando el sistema de IA arroja un falso positivo, es decir, cuando indica erróneamente que un producto es conforme o seguro, permitiendo que un defecto no detectado escape en el proceso final de control de calidad. En este escenario, el uso de la IA no desplaza o libera al fabricante de su responsabilidad en relación con la calidad o seguridad del producto final. El hecho de que un sistema de IA haya aprobado el producto difícilmente bastará, por sí solo, para eximir al fabricante de responsabilidad si el producto resulta finalmente defectuoso. Al contrario, el uso de la IA en el proceso de producción puede formar parte de la evaluación fáctica de cómo surgió el defecto, de si el fabricante contaba con las salvaguardias adecuadas y de si existía una supervisión humana suficiente del proceso de control de calidad apoyado por IA. Esto es particularmente importante porque la PLD exige expresamente que la evaluación del carácter defectuoso tenga en cuenta todas las circunstancias relevantes, incluidos el diseño del producto, sus características técnicas, el uso razonablemente previsible y los requisitos de seguridad aplicables. Cuando la IA se utiliza para aprobar productos antes de que salgan de la línea de producción, la falta de detección de un defecto puede ser relevante para valorar si el producto final ofrecía el nivel de seguridad exigido. Si se inicia un litigio, el fabricante también puede verse obligado a divulgar pruebas relativas al proceso de control de calidad basado en IA, incluida la forma en que el sistema fue probado, supervisado y utilizado al aprobar el producto.
La responsabilidad en la cadena de suministro
Este enfoque en la IA como componente insertado en los productos también tiene consecuencias para la responsabilidad en la cadena de suministro. El artículo 12(2) de la PLD estipula que un fabricante que integra un componente de software en un producto no tendrá derecho de repetición contra el fabricante del componente defectuoso cuando este sea una microempresa o una pequeña empresa, y donde el fabricante que integra el producto había acordado renunciar contractualmente a ese derecho. El artículo 12(2) podría ofrecer a los pequeños desarrolladores de software un grado de protección contra productores que lo integran, cuando se haya renunciado a este derecho. Sin embargo, esto no elimina la necesidad de una cuidadosa distribución del riesgo a nivel contractual, ni protege necesariamente a los desarrolladores más pequeños de toda forma de responsabilidad.
Además, en el ámbito de los litigios, el artículo 9 de la PLD estipula que una vez que una persona que solicite una indemnización en un procedimiento haya aportado hechos y pruebas suficientes para fundamentarla, los productores demandados deben divulgar las pruebas pertinentes de que dispongan y podrían verse obligados a aportar dichas pruebas de manera “fácilmente accesible y comprensible”. Crucialmente, conforme al artículo 10 de la PLD, si el productor se niega a divulgar estas pruebas – las cuales pueden incluir información sobre algoritmos y código fuente – el producto se considerará defectuoso.
La importancia práctica de estas disposiciones se ve reforzada por la sentencia del TJUE C-203/22, Dun & Bradstreet Austria GmbH, de 27 de febrero de 2025. Aunque fue resuelto al amparo del RGPD y no de la PLD, evidencia la reticencia del TJUE a permitir que la opacidad algorítmica impida el escrutinio de sistemas autonomizados. El Tribunal sostuvo que la información significativa sobre la toma de decisiones autonomizadas debe explicar, de forma concisa e inteligible, el procedimiento y los principios aplicados a los datos de una persona – no bastan referencias vagas o meramente técnicas a un algoritmo, y los secretos comerciales no pueden justificar una negativa general a divulgar información. La DPL refuerza esta posición en el ámbito de la responsabilidad por productos defectuosos al crear un mecanismo específico de divulgación de pruebas técnicas y atribuir una consecuencia concreta a la falta de divulgación, eso es, la presunción de defectuosidad.
La transposición de la PLD a nivel nacional
En mayo de 2026, los Estados miembros que han presentado proyectos de ley para transponer la PLD son Alemania, los Países Bajos, Dinamarca, Finlandia, la República Checa, Eslovaquia, y Suecia, mientras Hungría ya ha adoptado su ley de transposición. Algunas diferencias clave ya han surgido en los proyectos de ley para transponer la PLD. Por ejemplo, la PLD deja a los Estados miembros decidir si la compensación debe extenderse a daños morales, tales como dolor y sufrimiento, y el proyecto de ley alemán permite la reclamación de daños morales de conformidad con principios generales de derecho civil.
La PLD debe ser transpuesta al ordenamiento nacional por todos los Estados miembros antes del 9 de diciembre de 2026, y queda por ver el nivel de armonización de responsabilidad por daño. La PLD alterará fundamentalmente el escenario de responsabilidad por productos de la UE y será crucial que las empresas observen la divergencia en los Estados miembros a medida que se transponga en los próximos meses.
Amelia Gibbins
Vilá Abogados
Para más información, contacte con:
29 de mayo de 2026