ISGroup Consultoría de Ciberseguridad

Directiva UE 2024/2853 sobre responsabilidad por productos defectuosos: guía para empresas

La Directiva (UE) 2024/2853 reescribe las normas europeas sobre la responsabilidad por daños causados por productos defectuosos, entrando en vigor a finales de 2024 en sustitución de la Directiva 85/374/CEE. La novedad más relevante para el sector tecnológico es la inclusión explícita de software, sistemas de inteligencia artificial y servicios digitales en el perímetro de la responsabilidad civil.

Este artículo es la visión general de la miniguía sobre la directiva. Los capítulos vinculados profundizan en los temas específicos: productos digitales y servicios conectados, software e inteligencia artificial, evaluación de vulnerabilidades como herramienta de cumplimiento y pruebas de penetración y responsabilidad del fabricante.

Por qué esta directiva también afecta a las empresas tecnológicas

Hasta la directiva de 1985, el software estaba generalmente excluido de la responsabilidad objetiva por productos defectuosos. La nueva normativa cierra esta laguna: una aplicación SaaS, un sistema de IA o un firmware que cause un daño indemnizable expone al proveedor a las mismas reglas que se aplican a un producto físico. Para las empresas que desarrollan, distribuyen o integran productos digitales, esto cambia el perfil de riesgo legal de forma sustancial.

Qué entra en el perímetro: productos y sujetos responsables

La directiva amplía la definición de “producto” incluyendo:

  • Software y sistemas de IA — sistemas operativos, firmware, aplicaciones y servicios de inteligencia artificial, independientemente de la modalidad de entrega (dispositivo físico o nube/SaaS).
  • Archivos de fabricación digital — por ejemplo, los modelos para impresión 3D.
  • Servicios digitales conectados — servicios necesarios para el funcionamiento de un producto físico, como la información de tráfico para la navegación.
  • Materias primas y electricidad.

Quedan excluidos el código fuente, los archivos multimedia (como los libros electrónicos) y el software libre y de código abierto desarrollado o distribuido fuera de actividades comerciales. Para un análisis detallado de los productos digitales y los servicios conectados, consulte el capítulo dedicado: Directiva UE 2024/2853 y productos digitales.

Los sujetos que pueden ser considerados responsables incluyen al fabricante, el importador, el representante autorizado, el proveedor de servicios logísticos (en ausencia de un importador en la UE), las plataformas en línea que actúan como distribuidores y cualquiera que modifique sustancialmente el producto asumiendo la calificación de nuevo fabricante.

Daños indemnizables

La directiva cubre tres categorías de daño:

  1. Muerte o lesiones personales, incluidos los daños psicológicos reconocidos y certificados médicamente.
  2. Daños a bienes materiales de uso personal o mixto, siempre que no sean exclusivamente profesionales.
  3. Destrucción o corrupción de datos no utilizados con fines profesionales.

Carga de la prueba y ciberseguridad como requisito obligatorio

La directiva aligera la carga de la prueba a favor de las víctimas a través de tres mecanismos principales:

  • Acceso a las pruebas — los tribunales pueden ordenar al fabricante la divulgación de documentos relevantes, con medidas de protección para los secretos comerciales.
  • Presunción de defecto — el producto se presume defectuoso si el operador no colabora en el acceso a las pruebas, viola normas de seguridad obligatorias o presenta fallos evidentes.
  • Casos técnicos complejos — cuando la complejidad científica o técnica dificulta la prueba, el juez puede presumir el defecto o el nexo causal si la víctima demuestra que el daño está probablemente relacionado con el defecto.

La referencia explícita a la ciberseguridad como requisito de seguridad obligatorio es uno de los elementos más relevantes para las empresas tecnológicas: las vulnerabilidades no gestionadas en un producto de software o en un sistema IoT pueden traducirse en responsabilidad civil directa. Las implicaciones operativas para la evaluación de vulnerabilidades y las pruebas de penetración se profundizan en los capítulos Evaluación de Vulnerabilidades y Directiva UE 2024/2853 y Pruebas de Penetración y responsabilidad del fabricante.

Plazos operativos para las empresas

  • Plazo de transposición: los Estados miembros deben adoptar las medidas nacionales antes del 9 de diciembre de 2026.
  • Aplicación: las nuevas reglas se aplican a los productos introducidos en el mercado a partir del 9 de diciembre de 2026; para los productos anteriores sigue vigente la normativa de 1985.
  • En Italia, la directiva está incluida en la Ley de delegación europea 2025 (Ley 17 de marzo de 2026, n. 36), que delega al Gobierno la emisión de los decretos legislativos de aplicación.

Preguntas frecuentes

  • ¿Cuál es la diferencia principal respecto a la directiva de 1985?
  • La directiva de 1985 excluía generalmente el software del perímetro de la responsabilidad objetiva por productos defectuosos. La nueva normativa incluye explícitamente software, sistemas de IA y servicios digitales conectados, cerrando una laguna que había dificultado la indemnización por daños causados por productos tecnológicos.
  • ¿Una aplicación SaaS entra en el perímetro de la directiva?
  • Sí. La directiva incluye explícitamente el software entregado vía nube, incluidos los servicios SaaS. Si una aplicación causa un daño indemnizable, el proveedor puede ser considerado responsable según las nuevas reglas.
  • ¿La directiva se aplica al software de código abierto?
  • No, el software libre y de código abierto desarrollado o distribuido fuera de actividades comerciales está excluido. Sin embargo, siguen incluidos los productos comerciales que incorporan componentes de código abierto.
  • ¿Qué significa en la práctica la presunción de defecto vinculada a la ciberseguridad?
  • Si un producto viola normas de seguridad obligatorias —incluidas las relativas a la ciberseguridad—, el juez puede presumir que es defectuoso sin que la víctima deba demostrarlo de forma exhaustiva. Para las empresas, esto convierte la gestión de vulnerabilidades en un tema de responsabilidad legal, no solo técnica.
  • ¿Quién es responsable si el producto se vende a través de un mercado en línea?
  • La plataforma en línea puede ser considerada responsable si actúa como distribuidor o si induce al consumidor a creer que el producto proviene directamente de ella. En ausencia de un importador o representante en la UE, también puede verse involucrado el proveedor logístico.
  • ¿Esta directiva se solapa con otras obligaciones normativas como NIS2 o el Cyber Resilience Act?
  • Sí, en parte. NIS2 y el Cyber Resilience Act imponen obligaciones de seguridad activas (medidas técnicas, notificaciones, actualizaciones); la Directiva 2024/2853 actúa en el plano de la responsabilidad civil por los daños ya verificados. Las tres normativas se integran: cumplir con los requisitos de seguridad de NIS2 y CRA reduce el riesgo de incurrir en la presunción de defecto prevista por la directiva sobre responsabilidad.
  • ¿Cómo puede una empresa prepararse antes de diciembre de 2026?
  • El punto de partida es una evaluación de la postura de seguridad de los productos y de los procesos internos, con atención a la gestión de vulnerabilidades y a la documentación de los controles adoptados. Un camino estructurado de gobernanza de la seguridad reduce la exposición al riesgo legal antes de que las nuevas reglas entren en vigor.

Profundizaciones útiles

[Callforaction-VCISO-Footer]

In