Cuando un sistema de inteligencia artificial toma una decisión errónea y causa un daño —un diagnóstico clínico incorrecto, un accidente protagonizado por un vehículo autónomo, una recomendación financiera ruinosa—, el Código Civil español ofrece respuestas insuficientes. Analizamos el vacío normativo, la propuesta de Directiva europea y las soluciones que propone la doctrina.
La inteligencia artificial ya no es un fenómeno de laboratorio. Los sistemas de IA toman decisiones con consecuencias patrimoniales y personales de enorme relevancia: un algoritmo de triaje médico clasifica a un paciente como de bajo riesgo y este sufre un infarto que podría haberse prevenido; un vehículo autónomo de nivel 4 colisiona con un peatón al interpretar erróneamente las condiciones del entorno; un sistema automatizado de análisis crediticio deniega un préstamo hipotecario a un solicitante solvente sobre la base de variables correlacionadas con origen étnico. En cada uno de estos supuestos, una persona ha sufrido un daño real. ¿Quién responde?
La pregunta no es retórica. El sistema de responsabilidad civil español, forjado sobre categorías jurídicas del siglo XIX, enfrenta una tecnología radicalmente nueva: sistemas que aprenden, se adaptan y producen resultados imprevisibles incluso para sus propios creadores. La opacidad algorítmica —la incapacidad de explicar por qué un sistema de aprendizaje profundo adoptó una decisión concreta— disuelve los presupuestos tradicionales de la responsabilidad: la acción u omisión imputable, el nexo causal verificable y la culpa o negligencia atribuible a un sujeto.
Este artículo examina el estado del derecho vigente en España, la respuesta que está construyendo el legislador europeo y las propuestas doctrinales para cerrar un vacío normativo que genera inseguridad jurídica creciente.
El régimen general de responsabilidad civil extracontractual en España descansa sobre el art. 1902 del Código Civil, que dispone: «El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado». Este precepto exige la concurrencia de cuatro elementos: una acción u omisión, la producción de un daño, el nexo de causalidad entre ambos, y la culpa o negligencia del agente.
Ante un daño causado por un sistema de IA, todos estos elementos presentan dificultades severas:
El régimen de productos defectuosos: ¿una alternativa suficiente?
El Real Decreto Legislativo 1/2007 (TRLGDCU), que transpone la Directiva 85/374/CEE sobre responsabilidad por productos defectuosos, ofrece una responsabilidad objetiva del fabricante por los daños causados por productos defectuosos. Sin embargo, su aplicabilidad a los sistemas de IA es controvertida: la norma fue concebida para productos físicos; el software puro, y en especial el software que aprende y evoluciona tras su comercialización, presenta dificultades de encaje en la categoría de "producto" y en la noción estática de "defecto" que contempla la directiva. La Comisión Europea reconoció expresamente esta insuficiencia en su evaluación de 2021.
La jurisprudencia española carece aún de pronunciamientos relevantes sobre responsabilidad civil directa por daños de sistemas de IA autónomos. Los tribunales han abordado, de forma tangencial, supuestos de decisiones automatizadas en el ámbito de la contratación bancaria y la valoración de daños en seguros, pero sin construir una doctrina sistemática aplicable al nuevo paradigma tecnológico.
El 28 de septiembre de 2022, la Comisión Europea presentó simultáneamente dos instrumentos normativos destinados a reformar el marco de responsabilidad civil en el contexto de la IA: la propuesta de Directiva sobre responsabilidad en materia de IA (COM 2022/0303) y la propuesta de revisión de la Directiva sobre responsabilidad por productos defectuosos (COM 2022/0302). Ambas están diseñadas para operar de forma complementaria con el AI Act (Reglamento UE 2024/1689).
La propuesta de Directiva de responsabilidad por IA —cuya tramitación parlamentaria continúa a la fecha de este análisis, con enmiendas sustanciales introducidas por el Parlamento Europeo en su posición de enero de 2024— establece dos mecanismos esenciales:
El art. 4 de la propuesta introduce una presunción iuris tantum de nexo causal entre el incumplimiento de una obligación de diligencia debida por parte del operador de un sistema de IA de alto riesgo y el daño producido por dicho sistema. Esta presunción opera cuando el perjudicado demuestra que: (i) el operador incumplió una obligación de diligencia prevista en el AI Act u otra normativa aplicable, (ii) el daño se materializó, y (iii) es razonablemente probable que el incumplimiento haya contribuido al daño. El operador puede destruir la presunción aportando prueba en contrario.
El art. 3 establece que los órganos jurisdiccionales nacionales podrán ordenar la divulgación de evidencias sobre sistemas de IA de alto riesgo cuando el perjudicado haya presentado indicios suficientes de que el sistema puede haber causado el daño. El incumplimiento injustificado de esta orden generará una presunción favorable al perjudicado respecto a los hechos que las pruebas habrían podido acreditar.
El debate doctrinal más intenso gira en torno a si los sistemas de IA de alto riesgo deben someterse a un régimen de responsabilidad objetiva (sin culpa) o si basta con mantener el régimen subjetivo con una facilitación probatoria para el perjudicado.
Los partidarios de la responsabilidad objetiva argumentan que quien introduce en el mercado un sistema capaz de causar daños de forma autónoma debe asumir el riesgo de los daños que este produzca, con independencia de la diligencia empleada en su desarrollo o despliegue. Este modelo —análogo al de la responsabilidad por daños nucleares o por actividades peligrosas— traslada el coste del daño a quien lo genera y tiene mayor capacidad de internalizarlo mediante el precio del producto o un seguro.
Los detractores señalan que la responsabilidad objetiva generalizada desincentiva la innovación, especialmente para las empresas más pequeñas, y puede resultar desproporcionada para sistemas cuyo comportamiento dañoso era genuinamente imprevisible con el estado del arte en el momento del diseño.
| Tipo de sistema | Régimen propuesto | Fundamento |
|---|---|---|
| IA de alto riesgo (Anexo III AI Act) | Responsabilidad objetiva del fabricante; responsabilidad subjetiva con presunción de causalidad para el desplegador | Riesgo creado, analogía con productos defectuosos |
| IA de riesgo limitado o mínimo | Responsabilidad subjetiva ordinaria (art. 1902 CC) | Proporcionalidad, no agravación innecesaria del régimen general |
| IA autónoma con capacidad de causar daños físicos graves | Responsabilidad objetiva con seguro obligatorio | Protección de las víctimas, analogía con vehículos a motor |
Uno de los desafíos más complejos de la responsabilidad civil por IA es la pluralidad de intervinientes en el ciclo de vida de un sistema. A diferencia del producto industrial tradicional, donde fabricante y vendedor son los actores principales, los sistemas de IA involucran una cadena extensa:
Es el sujeto que diseña, entrena y pone en el mercado el sistema de IA. Su responsabilidad puede surgir por defectos en el diseño (elección de la arquitectura del modelo, sesgos en los datos de entrenamiento, ausencia de medidas de seguridad), que presentan paralelismos con el régimen de productos defectuosos. La Directiva revisada sobre productos defectuosos (COM 2022/0302) extiende expresamente la responsabilidad a los daños causados por software —incluyendo los actualizados tras la comercialización—, cerrando una laguna que la directiva de 1985 dejaba abierta.
Es quien integra el sistema de IA en su actividad profesional o empresarial —el hospital que instala un software de diagnóstico, la entidad financiera que implementa un sistema de scoring crediticio, el fabricante de vehículos que incorpora un módulo de conducción autónoma. El desplegador responde por los daños derivados de un uso inadecuado del sistema, de la ausencia de supervisión humana efectiva, o del incumplimiento de las instrucciones del fabricante. En el esquema del AI Act, el desplegador tiene obligaciones autónomas que pueden generar responsabilidad con independencia del comportamiento del fabricante.
El usuario que actúa en un contexto profesional —el médico que acepta sin contraste la recomendación del sistema de diagnóstico, el asesor financiero que suscribe un plan de inversión generado por IA sin revisión crítica— puede incurrir en responsabilidad civil por negligencia profesional cuando su confianza ciega en el sistema supone una infracción del estándar de diligencia exigible a su profesión. Esta cuestión está íntimamente ligada a los deberes deontológicos de cada profesión regulada y a la doctrina de la supervisión humana del AI Act.
Los sistemas de IA en el ámbito sanitario —análisis de imágenes diagnósticas, sistemas de apoyo a la decisión clínica, algoritmos de triaje— son clasificados como sistemas de alto riesgo en el Anexo III del AI Act (punto 5). Cuando un sistema de diagnóstico por imagen omite una lesión maligna y el paciente sufre un agravamiento de su enfermedad por diagnóstico tardío, la cadena de responsabilidad potencial incluye al fabricante del software (responsabilidad por defecto del producto o del sistema), al hospital desplegador (por haber seleccionado e implementado el sistema sin la validación clínica adecuada, o por haber suprimido la supervisión médica efectiva), y al médico responsable del caso (si delegó la decisión diagnóstica en el sistema sin el juicio clínico propio exigible a su especialidad). El consentimiento informado del paciente sobre el uso de IA en su diagnóstico emerge como un requisito adicional cuya ausencia puede agravar la posición del centro sanitario.
Los vehículos de conducción autónoma de nivel 3 en adelante presentan el supuesto de responsabilidad por IA más debatido en la doctrina comparada. En España, el Real Decreto-ley 9/2021, de 11 de mayo, modificó la LRCSCVM para permitir la circulación de vehículos de conducción automatizada, estableciendo que en caso de accidente con el sistema de conducción activo, la responsabilidad recae sobre el titular del vehículo (cubierta por el seguro obligatorio), que puede repetir contra el fabricante del sistema si el accidente fue causado por un defecto del mismo. Este modelo anticipó en buena medida el esquema que la normativa europea está configurando para la IA en general.
Los sistemas de robo-advisory, scoring crediticio y detección de fraude plantean supuestos de responsabilidad con peculiaridades propias. Cuando un sistema de scoring discrimina sistemáticamente a un colectivo por variables correlacionadas con características protegidas, pueden concurrir la responsabilidad civil por daño patrimonial con infracciones del derecho antidiscriminatorio (LO 3/2007, Directiva 2000/43/CE) y del RGPD (art. 22 sobre decisiones automatizadas). El daño puede ser difuso y afectar a colectivos amplios, lo que abre la puerta a mecanismos de tutela colectiva cuyo encaje en el ordenamiento español es aún incipiente.
Ante la insuficiencia del régimen de responsabilidad civil para garantizar la indemnización efectiva de las víctimas de daños por IA —especialmente cuando el causante carece de patrimonio suficiente o cuando el daño es atribuible a una cadena de responsables que se imputan mutuamente la causa—, la doctrina ha convergido en señalar el seguro obligatorio como instrumento complementario indispensable.
El modelo del seguro obligatorio de vehículos a motor (regulado en España por el Real Decreto Legislativo 8/2004 y la LRCSCVM) ofrece la referencia más directa: el fabricante o el desplegador —según el nivel y tipo de sistema— estaría obligado a suscribir una póliza de responsabilidad civil con cobertura mínima definida por reglamento, garantizando que las víctimas accedan a indemnización con independencia de la solvencia del responsable y del resultado del debate sobre la imputación causal.
La propuesta de Directiva de responsabilidad por IA no contempla expresamente el seguro obligatorio, pero el considerando 14 señala que los Estados miembros pueden establecer requisitos de seguro o garantías financieras adicionales para operadores de sistemas de alto riesgo. Varios Estados —entre ellos Alemania y los Países Bajos— han incluido el seguro obligatorio en sus propuestas legislativas nacionales de desarrollo.
La dimensión procesal de la responsabilidad civil por IA es, quizá, la más inmediatamente práctica para el abogado litigante. El perjudicado que pretende una indemnización por daños causados por un sistema de IA se enfrenta a una asimetría probatoria estructural: toda la información relevante —código fuente, datos de entrenamiento, registros de funcionamiento, evaluaciones de riesgo— está en poder del demandado.
El art. 256.1.7.º LEC permite al futuro demandante solicitar judicialmente, con carácter previo al proceso, la exhibición de documentos o registros que obren en poder del demandado y sean necesarios para valorar la viabilidad de una acción. Esta vía, aunque teóricamente aplicable a la documentación técnica de sistemas de IA, ha sido utilizada con escasa eficacia en la práctica, dado que los tribunales han mostrado reticencia a conceder acceso a documentos que el demandado invoca como secreto empresarial.
La Ley 1/2019, de 20 de febrero, de Secretos Empresariales, transpone la Directiva 2016/943/UE y establece que la información técnica relativa a sistemas, algoritmos y modelos puede constituir un secreto empresarial protegido. La tensión con el derecho a la prueba del perjudicado es evidente. La propuesta de Directiva de responsabilidad por IA resuelve este conflicto estableciendo que los órganos jurisdiccionales pueden acceder a los registros del sistema bajo protocolos de confidencialidad, ordenando su entrega al tribunal para valoración restringida, y generando presunciones favorables al perjudicado cuando el demandado se niegue injustificadamente a facilitar el acceso.
El AI Act (arts. 12 y 19) obliga a los sistemas de alto riesgo a generar y conservar registros automáticos de los eventos relevantes durante su funcionamiento. Estos log files constituirán, en la práctica, la prueba documental central en los litigios sobre daños por IA: permiten reconstruir qué inputs recibió el sistema, qué outputs generó y en qué condiciones operó en el momento del incidente. Los abogados litigantes deben conocer esta obligación y solicitar su aseguramiento como medida cautelar desde el primer momento procesal posible, dada la facilidad con que dichos registros pueden alterarse o destruirse.
Medidas cautelares y aseguramiento de la prueba
Ante la posibilidad de destrucción o alteración de los registros del sistema de IA tras un incidente, el abogado del perjudicado debe valorar la solicitud urgente de medidas cautelares de aseguramiento de la prueba (art. 297 LEC) o la adopción de medidas provisionales de conservación de datos bajo el art. 17 RGPD, especialmente cuando los registros contienen datos personales del perjudicado. La combinación de ambas vías ofrece mayor cobertura que cualquiera de ellas por separado.
Doctrina, jurisprudencia y práctica forense sobre IA y Derecho en su bandeja de entrada, cada lunes.
Suscribirse al boletín