Aviso importante: Sistema de ALERTAS Y AYUDA — NO vinculante. Toda decision debe ser revisada por un abogado. Leer descargo
← Volver a Seguridad de productos (GPSR)
CRITICAL Seguridad de productos (GPSR) ✓ Necesario para tienda online En vigor: 2026-12-09 Aprobada: 2024-10-23

Directiva (UE) 2024/2853 sobre responsabilidad por daños causados por productos defectuosos

ESEU electronicssoftwaretoysmedical_devicesautomotiveiotalltienda de electrónicamarketplacevendedor de softwaretienda de juguetesecommerce de modaplataformas de suscripciónvendedores de productos industrialestiendas de dispositivos para el hogar #responsabilidad civil#software#inteligencia artificial#proteccion consumidor#daños#marketplaces#carga de la prueba#product_types_inferred#company:autonomo#company:micropyme#company:pyme#company:gran_empresa#company:marketplace#company:importador#company:representante_autorizado#company:proveedor_servicios_logistica electrónicajugueteselectrodomésticossoftware saasaplicaciones móvilesdispositivos iotdispositivos médicosvehículosropa inteligentecomponentes digitalesarchivos de fabricación digital (3d)sistemas de ia

Resumen ejecutivo: Nueva normativa que revoluciona la responsabilidad civil al incluir el software y la IA como 'productos'. Establece que si un producto, software o recomendador de IA defectuoso causa daños personales, materiales o pérdida de datos, el fabricante o la tienda online (en ciertos casos) son responsables objetivamente. Introduce la inversión de la carga de la prueba en casos técnicos complejos y elimina el umbral de 500€ para reclamaciones. Aplica a toda venta online (productos, software e infoproductos) con transposición obligatoria antes del 09-12-2026.

Acciones concretas para tu tienda

  1. Revisar pólizas de seguro de responsabilidad civil para cubrir daños por software/IA
  2. Actualizar contratos con proveedores de software integrados en el flujo de venta
  3. Implementar sistemas de registro de versiones y registros técnicos (logs) de productos digitales
  4. Evaluar la seguridad de las actualizaciones de software post-venta
  5. Designar un representante autorizado en la UE si se importa software de fuera de la Unión
⚙ Necesario un modulo adicional

Requiere un sistema avanzado de gestión de trazabilidad de versiones de software y documentación técnica, además de herramientas de registro de incidentes y logs para poder cumplir con el deber de exhibición de pruebas ante tribunales si se alega complejidad técnica.

Fuente oficial:

EUR-Lex

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

La Directiva (UE) 2024/2853 viene a sustituir a la ya vetusta Directiva 85/374/CEE, que ha regido la responsabilidad por productos defectuosos durante casi 40 años. Aquella norma, redactada en 1985, fue diseñada para un mundo de productos analógicos y tangibles. El problema fundamental que resuelve esta nueva regulación es el vacío legal sobre los productos digitales. Bajo el régimen anterior, existían serias dudas sobre si el software se consideraba un 'producto' y cómo aplicar la responsabilidad objetiva cuando un algoritmo causaba un daño físico o patrimonial. La nueva directiva armoniza estos conceptos para la era de la Inteligencia Artificial (IA) y la economía circular.

Esta directiva complementa al Reglamento General de Seguridad de los Productos (GPSR 2023/988) y se alinea con la Ley de Inteligencia Artificial (AI Act). Modifica el concepto de 'defecto' para adaptarlo a la ciberseguridad y las actualizaciones de software. Deroga formalmente la Directiva 85/374/CEE con efectos desde la fecha de transposición total.

2. Origen y proceso legislativo

Publicada en el DOUE el 23 de octubre de 2024, tras un proceso legislativo que comenzó con la propuesta de la Comisión en septiembre de 2022. Los considerandos clave (12, 15 y 21) subrayan la necesidad de proteger a los consumidores frente a los riesgos de las nuevas tecnologías emergentes. El legislador europeo considera que la invisibilidad del software y la complejidad de los sistemas de IA no pueden ser una barrera para que el perjudicado reciba una indemnización. La transposición debe estar completada por los Estados miembros antes del 9 de diciembre de 2026.

3. Ambito subjetivo - A QUIEN aplica

La directiva expande significativamente el abanico de responsables:

  1. Fabricantes: Tanto de productos finales como de componentes (incluyendo componentes de software).
  2. Importadores: Cualquier empresa que introduzca un producto defectuoso en el mercado de la UE.
  3. Representantes autorizados: Si el fabricante es de fuera de la UE.
  4. Proveedores de servicios de logística (fulfillment): Si no hay importador o representante en la UE, ellos asumen la responsabilidad.
  5. Plataformas de comercio electrónico (Marketplaces): Esta es la gran novedad. Si el marketplace ejerce una influencia predominante sobre el producto o si, tras ser requerido, no identifica al responsable real en el plazo de un mes, el propio marketplace es responsable de los daños.
  6. Modificadores sustanciales: Empresas que modifican un producto fuera del control del fabricante original y lo vuelven a poner en el mercado (clave en economía circular y reacondicionamiento).

4. Ambito objetivo - QUE actividades y productos cubre

El cambio es radical en la definición de 'Producto':

  • Software: Se incluye explícitamente el software, ya esté integrado en un dispositivo o sea independiente (SaaS, Apps). Se excluye únicamente el software de código abierto no comercial.
  • Sistemas de IA: Los sistemas que utilizan aprendizaje automático se consideran productos. Si un sistema de IA defectuoso toma una decisión que causa daños, opera la responsabilidad objetiva.
  • Servicios digitales: Aquellos que son necesarios para que el producto funcione (por ejemplo, el servicio de navegación de un coche autónomo).
  • Archivos de fabricación digital: Modelos 3D para impresión de componentes.
  • Tipos de Tiendas: Afecta a tiendas de electrónica (hardware + firmware), software stores, marketplaces de moda (si usan probadores virtuales de IA que causen daños por datos), y tiendas de dispositivos IoT.

5. Obligaciones concretas - exegesis del articulado

  1. Responsabilidad Objetiva (Art. 5): El perjudicado solo debe probar el defecto, el daño y la relación causal. No hace falta probar culpa o negligencia del vendedor/fabricante.
  2. Concepto de Defecto Evolutivo (Art. 6): Un producto es defectuoso si no ofrece la seguridad que cabe esperar, teniendo en cuenta su 'capacidad de seguir aprendiendo' tras la comercialización. Es decir, una IA que se vuelve peligrosa con el uso es responsabilidad del fabricante.
  3. Inversión de la Carga de la Prueba (Art. 10): Si el caso es técnicamente complejo (como un fallo algorítmico), el tribunal puede obligar al fabricante a demostrar que el producto NO era defectuoso, en lugar de que el consumidor lo demuestre.
  4. Exhibición de Pruebas (Art. 9): Los comerciantes deben estar preparados para entregar documentación técnica detallada ante un juez si se alega un daño. No pueden escudarse en el 'secreto comercial' de forma absoluta.
  5. Daños indemnizables (Art. 4): Incluye muerte, lesiones físicas, daños psicológicos diagnosticados, destrucción de bienes y, por primera vez, la corrupción o pérdida de datos que no se utilicen exclusivamente para fines profesionales.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

  • Caso 1: Ecommerce de Domótica: Un usuario compra un termostato inteligente. Una actualización de software defectuosa del fabricante hace que la caldera se sobrecaliente y cause un incendio. La tienda online que lo vendió puede ser responsable si el fabricante no está establecido en la UE.
  • Caso 2: SaaS de Gestión de Salud: Una app de fitness vendida por suscripción da una recomendación errónea basada en IA que causa una lesión grave al usuario. El desarrollador responde por producto defectuoso.
  • Caso 3: Marketplace de Juguetes (Dropshipping): Un marketplace permite la venta de un juguete de un vendedor chino. El juguete tiene un defecto en el firmware que quema al niño. Si el marketplace no identifica al importador rápidamente, el marketplace paga la indemnización íntegra.
  • Caso 4: Reacondicionamiento de Smartphones: Una tienda compra móviles usados, cambia la batería por una no oficial y los revende. Si la batería explota, la tienda de reacondicionados es considerada 'fabricante' por haber realizado una 'modificación sustancial'.
  • Caso 5: Software de Diseño 3D: Un usuario compra un archivo 3D para imprimir una pieza de su bicicleta. El diseño tiene un error de cálculo estructural. El vendedor del archivo digital es responsable del accidente posterior.

7. Plazos clave

| Fecha | Hito | Quien | Consecuencia si no se cumple | | :--- | :--- | :--- | :--- | | 2024-10-23 | Publicación oficial | UE | Inicio del periodo de adaptación | | 2024-11-12 | Entrada en vigor | UE | Marco legal base activado | | 2026-12-09 | Límite transposición | Estados Miembros | Obligación de tener ley nacional (ej: reforma LGDCU en España) | | 2026-12-10 | Aplicación plena | Empresas | Responsabilidad objetiva ante cualquier reclamación judicial | | 2027-01-01 | Auditorías seguros | Tiendas online | Posible pérdida de cobertura si no se actualizan riesgos |

8. Sanciones y regimen sancionador

No establece multas administrativas directas (como el RGPD), sino que regula la Responsabilidad Civil Ilimitada. La 'sanción' es la indemnización por daños:

  • Daños materiales: Sin límite mínimo (se elimina el anterior deducible de 500€).
  • Daños por pérdida de datos: Compensación por el coste de recuperación y daños derivados.
  • Responsabilidad Solidaria: Si hay varios intervinientes (fabricante de hardware y desarrollador de software), el consumidor puede cobrar el 100% de cualquiera de ellos, y luego ellos deben pleitear entre sí.
  • Costas judiciales: El riesgo de perder un litigio aumenta drásticamente con la inversión de la carga de la prueba.

9. Comparativa antes y despues

| Aspecto | Regimen anterior (85/374) | Nuevo regimen (2024/2853) | Impacto practico | | :--- | :--- | :--- | :--- | | Definición de producto | Solo tangible (bienes muebles) | Tangible + Software + IA + Archivos digitales | Las tiendas de software ahora responden como las de hardware | | Daño por datos | No cubierto explícitamente | Cubierto (pérdida/corrupción de datos) | Reclamaciones por fallos en cloud/backups | | Umbral de daños | 500€ mínimos para reclamar | 0€ (se reclama desde el primer euro) | Aumento masivo de pequeñas reclamaciones | | Marketplaces | Generalmente exentos como meros intermediarios | Responsables si no identifican al fabricante o tienen influencia | Mayor control de proveedores fuera de la UE | | Carga de la prueba | Siempre el consumidor | Inversión si hay complejidad técnica | La empresa debe probar que su código es seguro | | Actualizaciones | No regulado | El fabricante responde por actualizaciones defectuosas | Responsabilidad durante toda la vida útil del software | | Ciberseguridad | No mencionado | La falta de ciberseguridad es un defecto del producto | Obligación de parchear vulnerabilidades | | Modificación sustancial | No regulado | Quien modifica sustancialmente es 'nuevo fabricante' | Afecta directamente al sector de segunda mano/reacondicionado |

10. Como cumplir paso a paso - Guia operativa

  1. Inventario de Productos Digitales: Listar todos los software o servicios de IA que vendes o integras en tu tienda.
  2. Revisión de Contratos (SLA): Incluir cláusulas de repetición: si yo (tienda) pago una indemnización por tu software (proveedor), tú me reembolsas.
  3. Seguro de Responsabilidad Civil: Contactar con la aseguradora para confirmar que la póliza cubre 'Product Liability' para activos intangibles/software.
  4. Trazabilidad de Versiones: Guardar un registro histórico de qué versión de software tenía cada cliente en qué fecha (esencial para defensa judicial).
  5. Due Diligence de Importación: Si traes gadgets de China, verifica que tengan Representante Autorizado en la UE. Si no, ¡tú eres el responsable legal!
  6. Protocolo de Retirada de Software: Crear un sistema para 'desactivar' o forzar actualizaciones de emergencia si se detecta un defecto peligroso.
  7. Transparencia en IA: Si usas un recomendador de productos que pueda causar daño (ej: recomendaciones de salud/químicos), documenta su funcionamiento.
  8. Gestión de Datos: Asegurar sistemas de backup para evitar reclamaciones por 'pérdida de datos'.
  9. Identificación de Vendedores (Marketplaces): Optimizar el onboarding de vendedores para tener siempre sus datos fiscales actualizados y localizables en < 30 días.
  10. Revisión de Términos y Condiciones: Aclarar que la responsabilidad se rige por la ley vigente, pero evitar cláusulas de exclusión de responsabilidad objetiva (son nulas).

11. Errores frecuentes

  • Creer que el software no es un producto: Es el error más peligroso; ahora el código tiene el mismo régimen legal que un martillo.
  • No identificar al fabricante en el Marketplace: Si el cliente te demanda a ti y no tienes los datos del fabricante, pagas tú.
  • Ignorar actualizaciones post-venta: Si dejas de actualizar un dispositivo y eso lo vuelve inseguro/defectuoso, eres responsable del daño resultante.
  • Confundir falta de conformidad con defecto: La garantía (2 años) es para que el producto funcione; la responsabilidad por producto defectuoso es para cuando el producto te causa un DAÑO (lesión, incendio, pérdida datos).

12. Jurisprudencia y criterios oficiales

  • Jurisprudencia pendiente: Al ser una directiva de 2024, no hay sentencias bajo el nuevo texto, pero el TJUE ya apuntaba en casos como Viasat (C-261/22) a una interpretación más amplia de la seguridad de productos.
  • Criterio de la Comisión: Se espera que la Comisión publique directrices sobre qué constituye 'complejidad técnica excesiva' para activar la inversión de la carga de la prueba.

13. FAQ extensa

Si vendo solo a España, ¿me afecta esta normativa UE?

Sí, se transpondrá a la ley española (probablemente reformando la LGDCU) y será de obligado cumplimiento para todos los comerciantes en España.

Soy autónomo vendiendo plugins, ¿soy responsable si mi código borra la base de datos de un cliente?

Sí. Si el plugin es defectuoso y causa pérdida de datos no profesionales, respondes objetivamente.

¿Qué pasa si el daño es causado por una IA que 'aprendió' mal?

El fabricante original sigue siendo responsable porque debe prever los límites de seguridad de ese aprendizaje.

¿Hay un límite máximo de indemnización?

La directiva permite a los Estados poner techos para daños personales (mínimo 70 millones €), pero es una cifra tan alta que a efectos prácticos es casi ilimitada para una pyme.

¿Sigue existiendo la franquicia de 500 euros?

No, ha desaparecido. Se puede reclamar judicialmente cualquier daño por pequeño que sea.

14. Normativas relacionadas

  • Reglamento (UE) 2023/988 (GPSR): Sobre seguridad general de productos (CELEX: 32023R0988).
  • Reglamento (UE) 2024/1689 (AI Act): Marco de obligaciones para sistemas de IA (CELEX: 32024R1689).
  • Directiva (UE) 2019/771: Compraventa de bienes y garantías.

15. Recursos oficiales y herramientas recomendadas

  • EUR-Lex: Acceso al texto completo de la Directiva 2024/2853.
  • Safety Gate: Para monitorizar productos defectuosos ya detectados en la UE.
  • Seguros de Ciberriesgo: Herramienta esencial para mitigar la responsabilidad por pérdida de datos.

16. Conclusion practica y valoracion

Esta normativa es un cambio de paradigma. Para una tienda online, el riesgo ya no es solo que el cliente pida la devolución del dinero (garantía), sino que una app o un gadget defectuoso provoque una demanda millonaria por daños personales o pérdida de información. El esfuerzo de adaptación es medio-alto, requiriendo auditoría técnica de proveedores y una revisión profunda de la cadena de suministro, especialmente si se importa de fuera de la UE.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.
Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.