La inteligencia artificial (IA) se ha consolidado como una infraestructura transversal de la economía contemporánea. Su implantación en ámbitos tan dispares como la investigación farmacéutica, el diagnóstico clínico, la contratación y toma de decisiones administrativas o la movilidad autónoma ha multiplicado la eficiencia y la capacidad analítica de organizaciones públicas y privadas. Sin embargo, la misma tecnología que promete precisión y ahorro de costes plantea dilemas de primer orden para el derecho de daños. Dos rasgos explican esta fricción: por un lado, la autonomía de los sistemas, capaces de generar resultados no previstos ex ante por quienes los diseñan, despliegan u operan; por otro, la opacidad de sus procesos decisionales, ese “efecto caja negra” que dificulta reconstruir por qué el sistema eligió una salida en lugar de otra. Cuando un resultado lesivo emerge en ese entorno, la atribución de responsabilidad se enfrenta a la doble tarea de identificar a quién correspondía el deber de evitar el daño y de acreditar el nexo causal entre conducta, funcionamiento técnico y perjuicio.
El marco europeo reciente ha optado por abordar el problema desde la prevención y la seguridad ex ante, sin renunciar a ajustar piezas del engranaje resarcitorio. El Reglamento de IA no crea un régimen autónomo de responsabilidad civil, pero sí fija obligaciones técnicas y organizativas —gestión de riesgos, gobernanza del dato, registros de eventos, supervisión humana, ciberseguridad— que funcionan como una “lex artis” tecnológica. En la prásocictica, el cumplimiento o incumplimiento de estas obligaciones se convierte en el patrón objetivo frente al que se mide la diligencia de proveedores y usuarios profesionales. Paralelamente, la nueva Directiva de responsabilidad por productos defectuosos ha introducido un giro de enorme calado al considerar el software —y, con él, los sistemas de IA— como “producto” a efectos de un régimen objetivo: el eje ya no es tanto la culpa del agente, sino si el producto ofrecía la seguridad que razonablemente cabía esperar. Esa calificación abre la puerta a que el programador o desarrollador responda por defecto de seguridad, con independencia de su conducta, atendiendo además a realidades propias de la IA como el aprendizaje continuo, la interconexión con otros productos o la necesidad de actualizaciones para mantener la seguridad a lo largo del ciclo de vida. Y contiene, además, herramientas procesales que alivian la asimetría técnica habitual en estos litigios: mecanismos de exhibición de documentación relevante y presunciones sobre el defecto y el nexo cuando concurren ciertos supuestos, por ejemplo, incumplimientos normativos o malfuncionamientos manifiestos durante un uso normal o razonablemente previsible.
Ese régimen especial, potente en términos de tutela, presenta no obstante una limitación decisiva: su ámbito subjetivo se centra en las personas físicas. Cuando la víctima es una persona jurídica, o cuando el daño no encaja en las categorías cubiertas por la directiva, el litigio regresa al terreno general de la responsabilidad extracontractual o contractual. En España, ello significa operar con el artículo 1902 del Código Civil y con las reglas sobre culpa, causalidad y daño, proyectadas sobre un escenario técnico complejo. A pesar de las voces que reclaman objetivar la responsabilidad por razón de la tecnología, lo cierto es que la mayoría de supuestos de daño vinculados a IA se desarrollan dentro del ámbito de control de un operador humano —el responsable del despliegue o la entidad que decide integrar la herramienta en su proceso—, lo que permite mantener un esquema de imputación por negligencia, reforzado por estándares técnicos sectoriales y por las obligaciones del Reglamento de IA cuando el sistema es de alto riesgo. Además, el ordenamiento procesal español ya dispone de válvulas que atenúan la desigualdad informativa: la regla de carga dinámica de la prueba, la exhibición de documentos y las presunciones judiciales permiten a los tribunales modular exigencias probatorias cuando la parte perjudicada afronta dificultades técnicas extraordinarias para acreditar el detalle causal.
Desde esta perspectiva, la cuestión clave en la responsabilidad extracontractual no es tanto si la tecnología exige un estatuto privilegiado, sino cómo se traducen en deberes exigibles las decisiones que se toman alrededor de ella. La diligencia del proveedor se mide frente a su diseño, a su gestión de riesgos, a la calidad y trazabilidad de los datos de entrenamiento y validación, a la fortaleza de su ciberseguridad y a la existencia de supervisión humana allí donde el riesgo lo demanda. La diligencia del usuario profesional se calibra según la forma en que integra el sistema en su actividad, el grado de control que conserva, la pertinencia de confiar —o no— decisiones críticas al algoritmo y la existencia de procedimientos de revisión humana, auditoría y corrección. En la reconstrucción causal, los registros de eventos y la trazabilidad que exige el AI Act son decisivos: cuanto mayor sea la capacidad de explicar el comportamiento del sistema, más nítida será la cadena que une conducta, output y daño.
En el plano contractual, el análisis adopta un lenguaje de reparto de riesgos. Si el objeto del contrato es la propia solución de IA, el texto debe reflejar la realidad técnica y no una versión idealizada: descripciones funcionales honestas, límites de uso, obligaciones de seguridad, políticas de actualización, conservación de logs y niveles de servicio allí donde tenga sentido medir la calidad. Es legítimo reconocer el componente probabilístico del output, pero no lo es pretender exoneraciones generales frente a daños causados por incumplir deberes de diligencia. Cuando la IA es un medio para ejecutar otra prestación, la práctica aconseja positivizar el papel del “human-in-the-loop”: qué tareas requieren revisión, qué datos están permitidos, qué evidencia se conserva, qué ocurre si aparecen vulnerabilidades o degradaciones de rendimiento, con qué tiempos y responsabilidades se corrigen. En ambos escenarios, la coherencia entre ingeniería y contrato es la primera línea de defensa: un acuerdo que proclama controles que no existen —o promete tasas de acierto indemostrables— no sólo erosiona la confianza comercial, sino que debilita la posición jurídica del proveedor.
La gestión operativa del riesgo cierra el círculo normativo. Una organización que mapea casos de uso, delimita el grado de autonomía permitido, gestiona el ciclo de vida del dato, impone parches de seguridad, conserva trazabilidad suficiente, forma a los usuarios y audita el comportamiento post-despliegue no está sólo cumpliendo con una carga regulatoria: está construyendo la prueba de su diligencia. Esa misma lógica exige ajustar el seguro a la nueva exposición tecnológica y revisar las cadenas de suministro digital, desde dependencias de software hasta componentes de terceros, porque la responsabilidad por defecto del conjunto puede activarse por el eslabón más débil. También obliga a diseñar planes de retirada o corrección rápida cuando emerjan riesgos no aceptables, documentando decisiones y tiempos de respuesta.
Todo ello permite extraer una conclusión equilibrada. La IA no exige reinventar el derecho de daños, pero sí precisa nuestras categorías clásicas: quién debía qué, frente a qué riesgo, con qué estándares y con qué evidencia. La reforma europea sobre producto ofrece un cauce objetivo y probatoriamente amigable para determinados supuestos, mientras el Reglamento de IA transforma el “buen hacer” técnico en referencia jurídica tangible. En el resto, el esquema español de culpa y causalidad, apoyado en herramientas procesales flexibles, sigue siendo eficaz si los operadores hacen su parte: diseñar con seguridad, desplegar con control, documentar con rigor y contratar con realismo. En ese terreno, la mejor cláusula siempre será una ingeniería alineada con la norma, una gobernanza capaz de explicar lo que el sistema hace y una cultura de trazabilidad que convierta la técnica en prueba. Quien cumpla esos tres verbos —alinear, explicar, trazar— reducirá su exposición y, sobre todo, ganará la confianza sin la cual ninguna tecnología prospera.
