ISGroup Consultoría de Ciberseguridad

Directiva (UE) 2024/2853: responsabilidad por software e inteligencia artificial

La Directiva (UE) 2024/2853 extiende la responsabilidad objetiva por productos defectuosos al software y a la inteligencia artificial. Este artículo profundiza en las implicaciones específicas para quienes desarrollan, distribuyen o integran software —incluidos sistemas de IA— en el marco de su actividad. Para obtener una visión general de la directiva, incluidas las definiciones, los sujetos obligados y el régimen transitorio, consulte la guía introductoria a la Directiva (UE) 2024/2853.

El software es un producto: qué significa en la práctica

La directiva equipara formalmente el software a un producto físico a efectos de la responsabilidad objetiva. En esta definición se incluyen sistemas operativos, firmware, aplicaciones, programas informáticos y sistemas de inteligencia artificial, independientemente del canal de distribución: instalación local, nube, SaaS o integración en un dispositivo físico.

Quedan excluidos el software libre y de código abierto desarrollado o distribuido fuera de una actividad comercial, el mero código fuente y los archivos multimedia como los libros electrónicos. Para un análisis detallado de los productos digitales cubiertos, consulte productos digitales y Directiva (UE) 2024/2853.

La consecuencia práctica es que el perjudicado no tiene que probar la culpa del productor: basta con demostrar el defecto, el daño y el nexo causal.

Responsabilidad posventa y actualizaciones de seguridad

La responsabilidad del productor de software no termina con la distribución del producto. Mientras el fabricante mantenga la capacidad de proporcionar actualizaciones —directa o indirectamente a través de terceros—, el producto permanece bajo su control.

Esto significa que omitir actualizaciones de seguridad necesarias puede convertir el producto en defectuoso, incluso si en el momento de la distribución era conforme. La responsabilidad se extiende, además, a los defectos introducidos por actualizaciones o modificaciones posteriores autorizadas por el propio fabricante.

Para las organizaciones que deseen verificar su exposición, un Vulnerability Assessment periódico permite identificar vulnerabilidades conocidas antes de que se conviertan en una fuente de responsabilidad.

Inteligencia artificial: aprendizaje automático y presunción de defecto

La evaluación de seguridad de un sistema de IA tiene en cuenta su capacidad para aprender y adquirir nuevas funcionalidades tras su puesta en servicio. El fabricante sigue siendo responsable incluso si el daño deriva de un comportamiento inesperado producido por el aprendizaje automático.

En los casos en que la complejidad técnica o científica haga excesivamente difícil para la víctima probar el defecto o el nexo causal, el juez puede presumir el defecto o la causalidad si la víctima demuestra que es probable una u otra condición. Esto reduce significativamente el umbral de acceso a la indemnización por daños causados por sistemas de IA opacos o complejos.

Divulgación de pruebas y secretos comerciales

En caso de litigio, los tribunales pueden ordenar a las empresas de software que divulguen elementos de prueba pertinentes: documentación técnica, registros (logs) del sistema, especificaciones de diseño. Existen medidas de protección para los secretos comerciales, pero la negativa a presentar las pruebas solicitadas expone al riesgo de que el juez presuma automáticamente el defecto del producto.

Esto convierte la gestión documental y la trazabilidad del ciclo de desarrollo en un elemento relevante no solo para la calidad del software, sino también para la capacidad de defensa en sede judicial.

Daños a los datos: qué es indemnizable

La directiva reconoce el derecho a la indemnización por la destrucción o corrupción de datos causada por un producto defectuoso. La indemnización cubre los costes materiales de recuperación o restauración, pero se aplica solo a los datos no utilizados exclusivamente con fines profesionales y solo para personas físicas.

Las sociedades como personas jurídicas y los daños a bienes o datos utilizados exclusivamente con fines profesionales quedan excluidos del régimen de la directiva: para estos casos siguen aplicándose los regímenes de responsabilidad contractual y extracontractual ordinarios.

Impacto en las micro y pequeñas empresas de software

Si un defecto es atribuible a un componente de software suministrado por una micro o pequeña empresa, el fabricante del producto final puede renunciar contractualmente al derecho de repetición frente a la pequeña empresa de software. Esta cláusula protege a las PYME de litigios insostenibles entre operadores profesionales, manteniendo intacto el derecho del consumidor final a la indemnización por parte del fabricante del producto.

Preguntas frecuentes

  • ¿Una aplicación móvil distribuida a través de una tienda está sujeta a la directiva?
  • Sí. Las aplicaciones móviles entran en la definición de software-producto independientemente del canal de distribución. Si la aplicación se distribuye en el marco de una actividad comercial y causa un daño por un defecto, el fabricante puede ser considerado responsable de forma objetiva.
  • ¿Un sistema SaaS se considera un producto o un servicio?
  • El software suministrado mediante SaaS entra en el perímetro de la directiva como producto. Los servicios digitales necesarios para el funcionamiento del producto se tratan como componentes del mismo, por lo que la distinción entre producto y servicio no excluye la aplicabilidad del régimen.
  • ¿La responsabilidad se aplica también al software de código abierto?
  • El software libre y de código abierto desarrollado o distribuido fuera de una actividad comercial está excluido. Si, por el contrario, el software de código abierto está integrado en un producto comercial o se distribuye en el marco de una actividad económica, el fabricante del producto final responde por los defectos, incluidos los derivados de componentes de código abierto.
  • ¿Cuándo se activa la presunción de defecto para los sistemas de IA?
  • La presunción se aplica cuando la víctima demuestra que es probable el defecto o el nexo causal, pero la complejidad técnica o científica hace excesivamente difícil la prueba plena. En estos casos, el juez puede presumir el defecto o la causalidad, invirtiendo de hecho la carga de la prueba a cargo del fabricante.
  • ¿Qué arriesga una empresa que no proporciona actualizaciones de seguridad?
  • Mientras el fabricante mantenga la capacidad de actualizar el producto, la omisión de actualizaciones necesarias para corregir vulnerabilidades conocidas puede hacer que el producto sea defectuoso según la directiva. El daño causado por esa vulnerabilidad no corregida puede, por tanto, dar lugar a responsabilidad objetiva.
  • ¿Pueden las empresas clientes actuar conforme a la directiva?
  • Las personas jurídicas (sociedades) no se encuentran entre los sujetos protegidos por la directiva. Los daños a bienes o datos utilizados exclusivamente con fines profesionales están excluidos. No obstante, las empresas pueden actuar conforme a los regímenes de responsabilidad contractual o extracontractual ordinarios, que permanecen sin perjuicio.

Información adicional de interés

[Callforaction-VCISO-Footer]

In