Este capítulo forma parte de la miniguía sobre la Directiva (UE) 2024/2853 relativa a la responsabilidad por los daños causados por productos defectuosos. El enfoque se centra en la definición de producto digital introducida por la directiva: software, SaaS, archivos para la fabricación digital, servicios conectados y el papel de los mercados en línea (marketplace). Para el tratamiento específico del software como producto, consulte el capítulo dedicado Directiva UE 2024/2853 y responsabilidad del software.

La Directiva (UE) 2024/2853, adoptada el 23 de octubre de 2024, sustituye a la directiva 85/374/CEE y actualiza las normas europeas sobre la responsabilidad por daños causados por productos defectuosos. La novedad más relevante para el sector digital es la extensión de la definición de “producto” a categorías anteriormente excluidas, con efectos directos sobre los fabricantes de software, proveedores de SaaS, operadores de mercados en línea y cualquier entidad que distribuya contenidos digitales funcionales.

Qué se entiende por producto digital

El Artículo 4, punto 1, define como “producto” cualquier bien mueble, incluyendo explícitamente:

• Software — independientemente del modo de suministro: instalado localmente, distribuido en la nube o entregado como SaaS.
• Archivos para la fabricación digital — modelos digitales destinados a la producción automatizada, como los archivos para la impresión 3D.
• Servicios digitales conectados — servicios cuya ausencia impide el correcto funcionamiento del producto físico o digital al que están vinculados.
• Electricidad y materias primas — incluidos explícitamente en la definición.

El punto crítico para los proveedores de SaaS y nube es que el modo de distribución no es relevante: una aplicación entregada como servicio entra en la definición de producto y puede generar responsabilidad objetiva en caso de defecto que cause un daño.

Ámbito de aplicación y principales exclusiones

La directiva se aplica a los productos introducidos en el mercado o puestos en servicio después del 9 de diciembre de 2026 (Art. 2). Las exclusiones más relevantes para el ámbito digital son:

• Software libre y de código abierto desarrollado o distribuido fuera de actividades comerciales.
• Código fuente puro, que no entra en el ámbito de la responsabilidad objetiva.
• Daños nucleares ya regulados por convenios internacionales.

Quién responde: operadores económicos y mercados en línea

El Artículo 8 identifica a los sujetos responsables garantizando siempre la presencia de un referente en la Unión Europea:

• Fabricante del producto o de un componente defectuoso.
• Importador para los productos provenientes de fuera de la UE.
• Representante autorizado del fabricante extracomunitario.
• Proveedor de servicios de logística, de forma subsidiaria cuando no sean identificables importadores o representantes en la UE.
• Plataformas en línea (marketplace) — responsables cuando presentan el producto de tal manera que el usuario percibe que es suministrado directamente por la propia plataforma.

Para los mercados en línea, la norma introduce un criterio basado en la percepción del usuario final: si la plataforma crea la impresión de ser el proveedor directo, responde como tal. Esto tiene implicaciones relevantes para los modelos de negocio que agregan productos de terceros.

Daños indemnizables

El Artículo 6 limita la indemnización a las personas físicas por:

• Muerte o lesiones personales, incluidos los daños psicológicos certificados.
• Daños a bienes, excluyendo el producto defectuoso en sí y los bienes utilizados exclusivamente con fines profesionales.
• Destrucción o corrupción de datos no utilizados con fines profesionales, incluidos los costes de recuperación.

Pruebas y presunciones de defectuosidad

Para reducir la brecha informativa entre las partes, la directiva introduce medidas procesales específicas:

• Divulgación de elementos de prueba (Art. 9): el juez puede ordenar al demandado que presente pruebas relevantes, respetando la proporcionalidad y la protección de los secretos comerciales.
• Presunción de defectuosidad (Art. 10): el defecto se presume si el operador no presenta las pruebas solicitadas, si el producto no cumple con los requisitos de seguridad obligatorios (por ejemplo, los del Cyber Resilience Act), o en caso de mal funcionamiento evidente.
• Complejidad técnica: cuando demostrar el defecto es excesivamente difícil por razones científicas, el juez puede presumir el defecto si el daño resulta probablemente causado por el mismo.

Causas de exención de responsabilidad

El Artículo 11 permite al operador excluir su responsabilidad si demuestra, entre otras cosas, que:

• No introdujo el producto en el mercado.
• El defecto se manifestó después de la comercialización, salvo que dependa de actualizaciones de software o modificaciones bajo su control.
• El estado de los conocimientos técnicos en el momento de la comercialización no permitía identificar el defecto (riesgo de desarrollo), sin perjuicio de la posibilidad de que los Estados miembros deroguen esto para productos específicos.

Transposición en Italia

Italia ha iniciado la transposición mediante la Ley de delegación europea 2025. La Directiva 2024/2853 se menciona en el Anexo A, punto 4, de la Ley 17 de marzo de 2026, n. 36. El Gobierno está delegado para adoptar los decretos legislativos necesarios antes del 9 de diciembre de 2026, fecha límite también para la entrada en vigor de las nuevas normas nacionales.

Miniguía relacionada

Este artículo forma parte de una miniguía en varios capítulos sobre la Directiva (UE) 2024/2853:

• Visión general de la directiva — estructura, objetivos y novedades principales respecto a la directiva 85/374/CEE.
• Responsabilidad del software — cómo cambia la posición jurídica de los fabricantes de software, incluidos los casos de actualizaciones y parches.
• Vulnerability assessment y control continuo — cómo documentar el monitoreo, las actualizaciones y la gestión de vulnerabilidades.
• Penetration test y responsabilidad del fabricante — cuándo se requieren evidencias técnicas ofensivas antes del lanzamiento o tras modificaciones sustanciales.

Preguntas frecuentes

• ¿Una aplicación SaaS entra en la definición de producto de la directiva?
• Sí. La directiva incluye explícitamente el software independientemente del modo de suministro. Una aplicación entregada como SaaS se considera producto y puede generar responsabilidad objetiva si, al ser defectuosa, causa un daño a una persona física.
• ¿El software de código abierto está excluido de la directiva?
• Solo si se desarrolla o distribuye fuera de actividades comerciales. El software de código abierto integrado en un producto comercial o distribuido en el marco de una actividad empresarial entra en el ámbito de aplicación.
• ¿Cuándo responde un mercado en línea (marketplace) como fabricante?
• Cuando presenta el producto de tal manera que el usuario final percibe que es la propia plataforma la que lo suministra directamente. En ese caso, la plataforma es equiparada al fabricante a efectos de responsabilidad.
• ¿La corrupción de datos es un daño indemnizable?
• Sí, para las personas físicas y limitado a los datos no utilizados con fines profesionales. La indemnización cubre también los costes de recuperación de los datos destruidos o corrompidos.
• ¿Cuándo deben adaptarse las empresas?
• La directiva se aplica a los productos introducidos en el mercado después del 9 de diciembre de 2026. Las empresas que distribuyen software, SaaS o productos con componentes digitales deben revisar contratos, procesos de actualización y documentación técnica antes de esa fecha.

[Callforaction-VCISO-Footer]