1. Introducción
Las distintas actividades profesionales evolucionan, en su gran mayoría, en la misma dirección: la inteligencia artificial se ha convertido en herramienta fundamental para automatizar procesos y ampliar el alcance de los servicios. El objetivo es cubrir mejor la demanda del consumidor final.
Su presencia en el mercado implica que, para competir, no baste con contar con ella: hay que optimizarla, personalizarla y ajustarla a cada actividad y negocio.
Existiendo, por tanto, una nueva herramienta que ejecuta servicios, tal y como hace un trabajador, también surgen defectos en los resultados. Pero en este caso, ¿a quién corresponde la responsabilidad, al proveedor de la inteligencia artificial que contrata una sociedad, o a quien la utiliza y ejecuta el trabajo mediante ella?
Para delimitar quién respondería de un daño concreto frente al consumidor final, es necesario tener en cuenta las disposiciones reguladoras en lo que aquí interesa, incluyendo también las que fueron retiradas.
2. Normativa reguladora sobre responsabilidad
El marco aplicable no es una norma única, sino un mosaico de instrumentos que conviene deslindar, porque cada uno responde a una lógica distinta:
1. La Directiva sobre responsabilidad en materia de IA (Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial), que finalmente fue retirada por la Comisión, retirada publicada en el DOUE el 6 de octubre de 2025.
Esta propuesta pretendía armonizar la responsabilidad por culpa. Su retirada es decisiva para lo que aquí interesa, pues, al no existir esa armonización, la responsabilidad subjetiva por daños de la IA vuelve al Derecho nacional de cada Estado miembro.
2. El Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial). No es una norma de responsabilidad civil, sino de seguridad y gobernanza, pero resulta esencial porque define los dos sujetos en torno a los que gira la cuestión. Su artículo 3 entiende por proveedor a quien “desarrolle un sistema de IA […] y lo introduzca en el mercado o ponga
en servicio el sistema de IA con su propio nombre o marca”, y por “responsable del despliegue” a quien “utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional”. Es decir, el proveedor lo crea y comercializa, el responsable del despliegue lo emplea profesionalmente para prestar su servicio.
3. La Directiva (UE) 2024/2853, sobre responsabilidad por los daños causados por productos defectuosos. Establece un régimen de responsabilidad objetiva, sin culpa, y, como ya analizamos en su momento, considera producto también a los programas informáticos y a la propia IA.
Es la vía que, con carácter general, se dirige frente al proveedor o fabricante. Su trasposición debe completarse antes de diciembre de 2026, lo que en España exigirá adaptar el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU).
4. El Derecho español. A falta de un régimen europeo armonizado de responsabilidad subjetiva, opera la responsabilidad extracontractual del artículo 1902 del Código Civil y, en su caso, la responsabilidad por dependientes del artículo 1903 o la contractual del artículo 1101que exige acreditar culpa o negligencia.
3. Responsabilidad del proveedor y de quien utiliza la IA
Con este mapa, la respuesta a la pregunta inicial no es excluyente: el proveedor y el usuario profesional responden por vías distintas y, en ocasiones, de forma concurrente.
La responsabilidad del proveedor se canaliza, fundamentalmente, por la vía objetiva de la Directiva 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre responsabilidad por los daños causados por productos defectuosos.
Si el daño al consumidor final deriva de un defecto del propio sistema de IA, responde quien lo introdujo en el mercado. El perjudicado no tiene que demostrar negligencia alguna: le basta acreditar el defecto, el daño y el nexo causal entre ambos.
La Directiva, además, aligera esa prueba con presunciones. Por ejemplo, cuando el demandado no exhibe las pruebas pertinentes o cuando el mal funcionamiento del producto es manifiesto. La discusión, por tanto, no gira sobre la diligencia del proveedor, sino sobre si su producto era o no defectuoso.
La responsabilidad de quien utiliza la IA en su actividad, es decir, el responsable del despliegue, sigue, en cambio, un camino subjetivo. Retirada la Directiva sobre responsabilidad en materia de IA, su responsabilidad frente al consumidor se construye sobre la culpa del artículo 1902 del Código Civil. Y esa culpa se mide, precisamente, por el incumplimiento de los deberes que el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial impone a quien despliega el sistema:
A. Utilizarlo con arreglo a las instrucciones de uso que lo acompañen (artículo 26.1).
B. Encomendar la supervisión humana a personas que tengan la competencia, la formación y la autoridad necesarias (artículo 26.2).
C. Vigilar su funcionamiento, suspendiendo el uso e informando al proveedor cuando se detecte un riesgo (artículo 26.5).
Quien emplea la herramienta fuera de esas instrucciones, desatiende la supervisión humana o ignora un mal funcionamiento evidente responde por su propia negligencia.
La línea divisoria puede resumirse así: el proveedor responde de que el sistema sea seguro y no defectuoso, mientras que quien lo utiliza responde del que lo emplee correctamente y bajo control.
Ahora bien, esa frontera no es estanca. Tanto el Reglamento de IA como la propia Directiva 2024/2853 prevén que quien introduce una modificación sustancial en el sistema, o lo comercializa bajo su propio nombre o marca, asume las obligaciones y responsabilidad del proveedor.
De modo que la sociedad que adquiere una IA y la optimice, personalice y ajustase a su negocio hasta alterarla sustancialmente puede dejar de ser un mero usuario para responder como si fuera su proveedor.
En definitiva, no existe una respuesta única. Frente al consumidor final, el proveedor responde, con carácter general, por la vía objetiva del producto defectuoso, mientras que quien utiliza la IA lo hace por la vía de la culpa, sin perjuicio de que ambos puedan responder concurrentemente por los mismos daños y ejercitar posteriormente las correspondientes acciones de repetición. Mientras la Unión Europea no apruebe un régimen armonizado de responsabilidad civil específico para la inteligencia artificial y se completa la transposición de la Directiva (UE) 2024/2853, la delimitación de responsabilidades seguirá dependiendo del Derecho nacional y de la contribución causal de cada interviniente.
Por ello, resulta esencial anticipar el reparto de riesgos mediante una adecuada planificación jurídica, contratos bien estructurados, protocolos de supervisión y, cuando proceda, seguros de responsabilidad específicos. En Navas&Cusí asesoramos a empresas, desarrolladores y organizaciones en la implantación, uso y adaptación de soluciones basadas en inteligencia artificial, ayudándoles a cumplir con el Reglamento de IA y a minimizar los riesgos legales asociados. Si necesitas asesoramiento especializado, nuestro equipo de abogados especialistas en inteligencia artificial está preparado para ayudarte a implantar la IA con las máximas garantías jurídicas y de cumplimiento normativo.
