Hoy en día, gracias a la Inteligencia Artificial, modelos como Claude de Anthropic no solo se limitan a responder preguntas, sino que también gestionan archivos, rellenan formularios y automatizan tareas casi por completo. Para cualquier empresa esto puede ser una gran oportunidad, menos tiempo en tareas repetitivas, más eficiencia y ahorro de costes. Pero junto a estas ventajas también aparece una preocupación, ya que cuando el sistema actúa por su cuenta, comete un error grave o causa un perjuicio, no es tan claro quién debería hacerse cargo o asumir la responsabilidad.
En este punto aparece lo que la doctrina conoce como responsibility gap, lo que significa que, cuando la máquina actúa de forma inesperada, nadie encaja del todo como responsable. Al final, la responsabilidad no es clara y parece repartirse entre quien creó el sistema, la empresa que lo usa y la persona que lo puso en marcha, o incluso entre todos.
Para responder a esta brecha, el Derecho recurre a varios criterios que le permiten fijar la responsabilidad. Como por ejemplo qué puede hacer la IA dentro de la organización, con qué datos trabaja, cuánta autonomía tiene y a cuantos controles humanos está sometida. También se tiene en cuenta cómo está diseñado el propio sistema. Por ejemplo, si tiene vulnerabilidades técnicas evidentes, carece de medidas de seguridad razonables o funciona de manera imprevisible en contextos que el desarrollador debería haber previsto, el foco de la responsabilidad se centra hacia quien lo ha creado y puesto en el mercado.
En muchos casos, el responsable no será “solo la empresa que lo desarrolla” o “solo el usuario”, sino que la responsabilidad se repartirá según el papel de cada parte y las medidas que haya adoptado, o dejado de adoptar, para prevenir daños. Para dar respuesta a estos supuestos, hay que remitirse a la regulación europea, el RGPD establece qué puede hacerse con los datos personales y bajo qué garantías, la Directiva de responsabilidad por productos incorpora el software y la IA al régimen clásico de producto defectuoso. Y, el AI Act introduce obligaciones de seguridad, transparencia y supervisión humana, especialmente en los sistemas que afectan a derechos fundamentales.
En ese contexto, por ejemplo, Anthropic, como desarrollador de Claude, puede llegar a responder como fabricante si un fallo en el diseño, el desarrollo o el funcionamiento del sistema causa daños. La Directiva (UE) 2024/2853 permite reclamar cuando el perjuicio está relacionado con un defecto del sistema. Además, cuando se tratan datos personales,
Anthropic debe cumplir con el RGPD, garantizar la seguridad del tratamiento, limitar los datos a los estrictamente necesarios, controlar los accesos y poder demostrar el cumplimiento. Un incidente derivado de deficiencias de seguridad o de un uso de los datos contrario a la normativa puede generar responsabilidad para el desarrollador.
La empresa usuaria, por su parte, responde cuando utiliza Claude para fines ilícitos, cuando le concede acceso a datos o sistemas que no deberían estar a su alcance o cuando prescinde de políticas internas de control y supervisión. Entonces, permitir que un sistema actúe sin límites claros, sin formación al personal y sin revisión humana, especialmente en contextos sensibles, es una decisión que los tribunales pueden considerar negligente.
Todo ello se aplica también a desarrolladores extracomunitarios que, como Anthropic, ofrecen servicios a usuarios de la UE y tratan datos de residentes en Europa. La extraterritorialidad de estas normas impide que la tecnología se escape simplemente porque el proveedor tenga su sede fuera.
La cuestión esencial ya no es si usar o no IA, sino cómo usarla. Integrar herramientas de automatización exige definir para qué se van a utilizar, con qué datos van a trabajar, qué grado de autonomía se les va a conceder y quién supervisa sus decisiones. La IA puede ser una herramienta de productividad y competitividad, pero solo si se combina con una gestión adecuada de los riesgos jurídicos y tecnológicos.
Por lo tanto, cuando la IA realiza tareas que no se le han pedido, la responsabilidad no recae en el sistema. Se analizará la conducta del desarrollador, de la empresa usuaria y de quien haya integrado la herramienta, y se repartirá la responsabilidad en función de la diligencia mostrada por cada uno.
Si desea analizar cómo encaja el uso de IA conforme a la regulación europea, o necesita diseñar políticas internas que reduzcan la exposición a riesgos y reclamaciones, en Navas&Cusí contamos con un equipo de abogados especializados en nuevas tecnologías preparado para ayudarle a implantar los sistemas con seguridad jurídica y sin perder competitividad.


