Responsabilidad legal por daños causados por IA: claves y marco jurídico

Responsabilidad legal por daños causados por IA

Compartir en:

Los sistemas de inteligencia artificial se han integrado en ámbitos tan sensibles como la sanidad, el transporte, las finanzas, los recursos humanos o la seguridad. Cuando una decisión automatizada niega un crédito, provoca un accidente con un vehículo autónomo o discrimina en un proceso de selección, la pregunta clave es inmediata: ¿quién responde jurídicamente de ese daño? La respuesta no es sencilla, porque la IA actúa con cierto grado de autonomía, intervienen muchos agentes (desarrolladores, fabricantes, empresas usuarias, aseguradoras) y el marco normativo está en plena transformación, especialmente en la Unión Europea y en España.

Comprender cómo funciona hoy la responsabilidad legal por daños causados por IA, y cómo va a configurarse con la nueva regulación europea, es esencial tanto para víctimas que quieran reclamar, como para empresas que utilizan estos sistemas en su actividad diaria.

Qué se entiende por daños causados por sistemas de inteligencia artificial

Para analizar la responsabilidad legal por daños causados por IA es imprescindible partir de qué se considera “daño” en este contexto y qué tipo de sistemas de inteligencia artificial entran en juego.

El Reglamento (UE) 2024/1689 de Inteligencia Artificial (conocido como AI Act) define la IA como un sistema basado en máquina, con distintos niveles de autonomía y capacidad de adaptación, que recibe datos de entrada y genera resultados (predicciones, recomendaciones, decisiones, contenidos) que pueden influir en entornos físicos o virtuales. A partir de ese funcionamiento, los daños derivados pueden ser muy variados: desde un accidente físico hasta un perjuicio económico o un daño reputacional grave.

Tipos de daños que puede generar la inteligencia artificial

En el plano jurídico, los daños provocados por un sistema de IA pueden clasificarse en varias categorías, todas ellas relevantes a efectos de responsabilidad civil y, en determinados casos, incluso penal:

  • Daños personales: lesiones físicas, fallecimiento, secuelas psíquicas. Ejemplo: un coche autónomo provoca un atropello; un robot quirúrgico mal configurado causa una lesión grave al paciente.
  • Daños materiales: desperfectos en bienes muebles o inmuebles. Ejemplo: un sistema automatizado de logística daña mercancías; un dron autónomo impacta contra un edificio.
  • Daños económicos puros: pérdidas financieras sin daño físico previo. Ejemplo: un algoritmo de trading ejecuta operaciones erróneas generando un perjuicio millonario; un scoring automatizado bloquea indebidamente una cuenta bancaria.
  • Daños inmateriales: afectación a derechos fundamentales, reputación, honor, intimidad o datos personales, que pueden traducirse en pérdida económica verificable. Ejemplo: un sistema de IA difunde contenido difamatorio, discrimina por género u origen étnico, o vulnera gravemente la privacidad de un usuario.

Para que exista responsabilidad civil, el daño debe ser real, acreditable y evaluable económicamente. En el ámbito de la IA esto incluye, por ejemplo, la pérdida de empleo causada por una decisión automatizada discriminatoria, la denegación injusta de una prestación, la pérdida de oportunidades educativas o la restricción ilegítima de la libertad de expresión en plataformas moderadas por algoritmos.

Ejemplos prácticos de daños causados por IA

Algunos supuestos ilustran bien la complejidad de la Responsabilidad legal por daños causados por IA:

  • Vehículo autónomo: un coche dotado de sistema de conducción autónoma provoca un accidente en la M-30 (Madrid) o en la AC-11 (A Coruña). La víctima sufre lesiones y daños en su vehículo. ¿Responde el conductor, el propietario, el fabricante del coche, el desarrollador del software, la empresa que presta el servicio de movilidad o la aseguradora? En estos supuestos puede ser determinante contar con asesoría jurídica especializada en siniestros vinculados a vehículos con conducción automatizada.
  • IA de selección de personal: una empresa en A Coruña utiliza un algoritmo para filtrar currículums. El sistema descarta sistemáticamente a mujeres de cierta franja de edad. Se produce una discriminación contraria al derecho laboral y antidiscriminatorio. ¿Quién responde frente a las candidatas excluidas?
  • Sistema de scoring crediticio: un banco con sede en Madrid emplea una IA que, por sesgo en los datos, deniega créditos a un colectivo concreto sin base objetiva. Los afectados sufren pérdida de oportunidades de negocio. Puede nacer una responsabilidad por infracción de normativa financiera, de protección de datos y de igualdad.
  • Algoritmo de recomendación de contenidos: una plataforma genera, mediante IA, campañas de odio o contenido difamatorio dirigido a una persona concreta. Se produce un daño al honor y a la integridad moral que puede dar lugar a reclamación civil e incluso penal.

Marco jurídico europeo aplicable a la responsabilidad por daños de IA

El Derecho español se integra en el marco de la Unión Europea. Por ello, la Responsabilidad legal por daños causados por IA debe analizarse a la luz de varias normas europeas recientes y de proyectos legislativos específicos.

Actualmente, no existe una “ley única” que regule de forma completa la responsabilidad civil de la IA. En su lugar, confluyen:

  • El Reglamento de IA (UE) 2024/1689, que fija obligaciones de seguridad, transparencia y supervisión, especialmente para sistemas de alto riesgo.
  • La Directiva sobre responsabilidad por productos defectuosos, recientemente revisada para adaptarse a productos con componentes de software e IA.
  • La Propuesta de Directiva sobre responsabilidad civil e inteligencia artificial, que pretende armonizar la responsabilidad extracontractual por daños de IA.
  • El Derecho general de daños de cada Estado miembro (en España, el art. 1902 CC y normas especiales como la Ley de responsabilidad civil y seguro en la circulación de vehículos a motor).

El Reglamento de IA (UE) 2024/1689 y sus efectos indirectos en la responsabilidad

El Reglamento de IA, aplicable progresivamente desde agosto de 2024, no establece de forma directa quién indemniza a la víctima de un daño causado por IA. Su enfoque es principalmente de derecho público: fija obligaciones técnicas y organizativas para proveedores y usuarios de sistemas de IA, prevé evaluaciones de conformidad y establece un régimen sancionador administrativo.

Sin embargo, sus obligaciones tienen un impacto decisivo en la responsabilidad civil, porque el incumplimiento de estos deberes de seguridad y transparencia puede ser utilizado como prueba de negligencia en un procedimiento de reclamación de daños. Es decir, aunque el Reglamento no crea directamente un derecho a indemnización, sí condiciona la valoración de la culpa o negligencia de los operadores de IA.

Directiva de productos defectuosos y Propuesta de Directiva IA

La nueva Directiva de responsabilidad por productos defectuosos amplía el concepto de “producto” para incluir software y sistemas de IA, y prevé que se presuma el carácter defectuoso del producto cuando incumpla requisitos obligatorios de seguridad establecidos en el Derecho de la Unión o nacional. Esto será clave en reclamaciones contra fabricantes de soluciones de IA integradas en productos físicos (vehículos, dispositivos médicos, maquinaria industrial).

Por su parte, la Propuesta de Directiva sobre responsabilidad civil e IA introduce mecanismos para facilitar la prueba al perjudicado, como:

  • Presunciones de culpa cuando se infringen obligaciones específicas del Reglamento de IA.
  • Obligaciones de conservación y aportación de datos de funcionamiento de los sistemas de IA, para reconstruir la cadena causal del daño.
  • Reglas sobre responsabilidad del “operador” de sistemas de alto riesgo, diferenciando entre proveedores, desplegadores y usuarios profesionales.

En la práctica, esto significa que en un litigio por daños causados por IA en Madrid o A Coruña, el juez podrá apoyarse en estas normas europeas para determinar si el fabricante, proveedor o usuario del sistema actuó con la diligencia exigible.

Responsabilidad civil en el Derecho español aplicable a daños por IA

En España, mientras no exista una ley específica, la Responsabilidad legal por daños causados por IA se rige fundamentalmente por las normas generales de responsabilidad civil y por algunas regulaciones sectoriales.

Las dos grandes vías son:

  • Responsabilidad por culpa o negligencia (art. 1902 CC): “El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”.
  • Responsabilidad objetiva en actividades de riesgo o supuestos previstos por ley (por ejemplo, circulación de vehículos a motor, ciertos productos o actividades peligrosas).

Responsabilidad basada en la culpa en sistemas de IA de menor riesgo

Cuando el sistema de IA no es considerado de alto riesgo, el esquema predominante sigue siendo el de responsabilidad por culpa. En estos casos, la víctima debe probar:

  • La existencia de un daño cierto y cuantificable.
  • Una conducta negligente (acción u omisión) del demandado: por ejemplo, no supervisar adecuadamente la IA, no corregir un fallo conocido, utilizar el sistema fuera de las condiciones recomendadas.
  • La relación de causalidad entre esa conducta y el daño sufrido.

En la práctica, esto puede plantear dificultades probatorias, especialmente por la opacidad de algunos algoritmos (“caja negra”) y por la complejidad técnica de los sistemas. De ahí la importancia de las presunciones y obligaciones de transparencia que introduce el Derecho europeo, que pueden aliviar la carga de la prueba de la víctima.

Responsabilidad objetiva en IA de alto riesgo y actividades peligrosas

Para sistemas de IA de alto riesgo —aquellos que pueden afectar gravemente a la vida, integridad física, derechos fundamentales o la seguridad de bienes y servicios esenciales— se está consolidando la idea de un régimen de responsabilidad objetiva del operador. Esto significa que:

  • No es necesario probar la culpa, sino solo el daño y el nexo causal con el funcionamiento del sistema de IA.
  • El operador (empresa que explota el sistema, hospital, entidad financiera, etc.) responde por el riesgo creado, aunque haya actuado con diligencia.

Un ejemplo claro es la circulación de vehículos a motor. La Ley 35/2015, que modifica el texto refundido sobre responsabilidad civil y seguro en la circulación de vehículos a motor, establece que el conductor es responsable, por el riesgo creado por la conducción, de los daños causados, sin que pueda exonerarse alegando defectos del vehículo o fallos mecánicos. Cuando el vehículo incorpore conducción autónoma basada en IA, el marco tendrá que adaptarse, pero la lógica de responsabilidad objetiva por riesgo previsiblemente se mantendrá, desplazando parte de la carga hacia fabricantes y aseguradoras.

Quién responde de los daños causados por un sistema de IA

Una de las cuestiones más delicadas es determinar quién es el sujeto responsable cuando un algoritmo o un sistema autónomo causa un perjuicio. En la práctica, suelen concurrir varios potenciales responsables:

  • Fabricante del producto físico (por ejemplo, el vehículo o el dispositivo médico).
  • Desarrollador del software o del modelo de IA.
  • Proveedor o integrador que comercializa el sistema de IA a terceros.
  • Empresa usuaria o “operador” que explota el sistema en su actividad (hospital, banco, empresa de transporte, plataforma digital).
  • Aseguradora que cubre la responsabilidad civil del operador o del producto.

Hoy en día, los sistemas de IA no tienen personalidad jurídica propia, por lo que la responsabilidad recae necesariamente en personas físicas o jurídicas humanas. El debate doctrinal sobre otorgar personalidad a los “robots” no se ha traducido en normas positivas, y a corto plazo la imputación seguirá dirigiéndose a quienes diseñan, fabrican, integran, explotan o aseguran estos sistemas.

Responsabilidad solidaria y concurrencia de responsables

En muchos casos, se plantea una responsabilidad solidaria entre varios intervinientes. Por ejemplo:

  • Un fabricante de vehículo autónomo que integra un software de IA de un tercero.
  • Una empresa de transporte que opera la flota y no mantiene actualizados los sistemas.
  • Una aseguradora que cubre la responsabilidad civil frente a terceros.

En Derecho español, la víctima puede reclamar frente a cualquiera de los responsables solidarios la totalidad de la indemnización, sin perjuicio de que, internamente, estos se repitan entre sí según el grado de culpa o el riesgo asumido contractualmente.

Particularidades cuando interviene la Administración pública

Cuando el sistema de IA es utilizado por una Administración pública (por ejemplo, algoritmos de decisión en servicios sociales, sanidad pública o justicia), pueden entrar en juego las normas de responsabilidad patrimonial de la Administración y la jurisdicción contencioso-administrativa. En estos casos, puede ser necesario demandar conjuntamente a la entidad pública y al proveedor privado del sistema, lo que complica la estrategia procesal y la determinación del fuero competente.

Riesgos específicos para derechos fundamentales y datos personales

La IA tiene un impacto directo en derechos como la igualdad, la no discriminación, la intimidad, la protección de datos o la libertad de expresión. Los daños en este ámbito pueden ser menos visibles que un accidente físico, pero igualmente graves y, a menudo, con dimensión penal.

Algunos riesgos destacados son:

  • Sesgos algorítmicos que discriminan por sexo, raza, edad, discapacidad, ideología, etc.
  • Tratamientos masivos de datos personales sin base legal adecuada o sin respetar los principios del RGPD (minimización, exactitud, limitación de finalidad).
  • Vulneración del derecho al olvido cuando sistemas de búsqueda, recomendación o generación de contenidos perpetúan información obsoleta o perjudicial.
  • Perfiles automatizados que condicionan gravemente la vida de las personas (acceso a empleo, crédito, vivienda) sin suficiente transparencia ni posibilidad de impugnación.

Estos supuestos pueden dar lugar a:

  • Responsabilidad civil por daño moral y patrimonial.
  • Sanciones administrativas de protección de datos (AEPD) o de competencia y consumo.
  • En casos extremos, responsabilidad penal si la conducta encaja en delitos como delitos informáticos, delitos contra la intimidad, delitos de odio o discriminación, o incluso delitos económicos cuando se emplea la IA para fraudes complejos.

Desafíos probatorios y de causalidad en reclamaciones por daños de IA

Uno de los mayores retos de la Responsabilidad legal por daños causados por IA es acreditar la relación de causalidad entre el funcionamiento del sistema y el daño sufrido, así como identificar la conducta negligente concreta.

Entre las dificultades más frecuentes se encuentran:

  • Opacidad técnica de los algoritmos (modelos de aprendizaje profundo difíciles de interpretar).
  • Autonomía y capacidad de adaptación del sistema tras su despliegue, que puede alejarlo de las especificaciones originales del desarrollador.
  • Fragmentación de responsabilidades entre múltiples agentes en distintas jurisdicciones.
  • Falta de registros completos de decisiones, datos de entrenamiento y modificaciones sucesivas del modelo.

Para mitigar estos problemas, la regulación europea impulsa:

  • Obligación de trazabilidad y registro de eventos en sistemas de IA de alto riesgo.
  • Deberes de transparencia y documentación técnica accesibles a autoridades y, en parte, a perjudicados.
  • Presunciones legales de culpa cuando se incumplen requisitos de seguridad o de supervisión humana.

En la práctica será clave contar con peritajes técnicos especializados en IA, capaces de analizar el sistema, su configuración y su comportamiento, y de enlazarlo con el daño concreto sufrido por la víctima.

Seguro obligatorio y fondos de compensación en daños por IA

Dado el potencial de daños masivos y la dificultad de imputación, se está debatiendo a nivel europeo y nacional la introducción de seguros obligatorios de responsabilidad civil para determinadas aplicaciones de IA, siguiendo el modelo ya existente en España para más de 800 actividades de riesgo.

Las posibles soluciones combinan:

  • Seguro obligatorio para sistemas de IA de alto riesgo (por ejemplo, vehículos autónomos, dispositivos médicos críticos, infraestructuras esenciales).
  • Fondos de garantía para cubrir daños cuando no exista seguro o el responsable sea insolvente o desconocido.
  • Mecanismos de reparto del coste entre fabricantes, operadores y aseguradoras, ajustados al nivel de riesgo y al grado de control efectivo sobre el sistema.

Para las empresas esto implica la necesidad de revisar sus pólizas de responsabilidad civil general, profesional y de ciber-riesgos, asegurándose de que cubren específicamente daños derivados del uso de sistemas de IA, tanto frente a terceros como frente a clientes y usuarios.

Medidas preventivas y de cumplimiento para empresas que usan IA

Más allá de reaccionar ante un daño ya producido, la mejor estrategia jurídica es la prevención. Un uso responsable de la IA reduce tanto el riesgo de causar perjuicios como la probabilidad de incurrir en responsabilidad civil, administrativa o penal.

Algunas medidas clave para empresas y organizaciones son:

  • Mapeo de sistemas de IA: identificar qué procesos internos utilizan IA (selección de personal, scoring de clientes, mantenimiento predictivo, chatbots, etc.) y qué riesgos jurídicos conllevan.
  • Evaluaciones de impacto: en protección de datos (DPIA) y, más ampliamente, en derechos fundamentales, seguridad y no discriminación.
  • Gobernanza y supervisión humana: establecer quién es responsable de cada sistema, cómo se supervisan las decisiones automatizadas y qué mecanismos de revisión humana existen.
  • Políticas de datos: garantizar la calidad, licitud y minimización de los datos de entrenamiento y de operación de los modelos.
  • Protocolos de respuesta a incidentes: definir cómo actuar ante un fallo grave de IA, incluyendo notificación a afectados, autoridades y aseguradoras, y conservación de evidencias.
  • Formación de los equipos técnicos, de cumplimiento y de dirección en el marco jurídico aplicable a la IA, para lo que puede ser útil apoyarse en servicios especializados en programas de cumplimiento penal adaptados al uso de inteligencia artificial.

Estas medidas, además de reducir el riesgo real de daño, pueden resultar determinantes para acreditar diligencia y limitar la responsabilidad en caso de reclamación.

Particularidades penales: cuándo un daño por IA puede tener relevancia penal

Aunque el foco de la Responsabilidad legal por daños causados por IA suele situarse en la responsabilidad civil, en determinados supuestos la conducta ligada al uso de IA puede encajar también en tipos penales, especialmente en ámbitos como:

  • Delitos informáticos: uso de IA para ataques a sistemas, fraude informático, acceso ilícito a datos.
  • Delitos contra la intimidad: tratamiento masivo y no autorizado de datos sensibles, difusión de imágenes íntimas generadas o manipuladas por IA.
  • Delitos económicos: estafas sofisticadas apoyadas en deepfakes, bots o algoritmos de inversión manipulados.
  • Delitos contra la libertad: sistemas de vigilancia o control que derivan en coacciones o amenazas automatizadas.
  • Delitos contra el medio ambiente o contra los trabajadores si la automatización mediante IA impulsa decisiones que vulneran normativa ambiental o de seguridad laboral.

En estos escenarios, puede coexistir una responsabilidad penal de personas físicas (directivos, técnicos) y de la propia persona jurídica, junto con la responsabilidad civil derivada del delito. La coordinación entre la jurisdicción penal y la civil será esencial, especialmente cuando el daño se produce en entornos complejos como grandes empresas tecnológicas, entidades financieras o infraestructuras críticas, donde puede ser recomendable acudir a especialistas en responsabilidad penal corporativa vinculada al uso de sistemas de IA.

Preguntas frecuentes

Guarda toda la documentación (correos, pantallazos, contratos, informes), solicita por escrito una explicación de la decisión automatizada, pide acceso a tus datos y al criterio utilizado, formula una reclamación previa ante la entidad responsable y, si no se resuelve, valora acudir a la vía judicial con informe pericial especializado en IA.

Es clave recopilar comparativas: decisiones distintas en casos similares, estadísticas internas si las obtienes, comunicaciones donde se reconozcan criterios dudosos y cualquier rastro de reglas o parámetros usados. A menudo se requiere un peritaje técnico que analice el modelo y los datos para evidenciar sesgos o tratamientos desiguales.

Resulta recomendable pactar reparto claro de responsabilidades, obligaciones de mantenimiento y actualización, niveles mínimos de rendimiento, deber de colaboración en caso de reclamaciones, acceso a registros y documentación técnica, cobertura de seguros y penalizaciones o indemnizaciones en caso de incumplimiento o fallo grave del sistema.

Cumplir la normativa, documentar las evaluaciones de riesgo, supervisar activamente el sistema y conservar evidencias de esa diligencia puede reducir o modular tu responsabilidad, pero no la elimina por completo. La exoneración total es excepcional; lo habitual es un reparto de responsabilidad entre quien diseña, suministra y opera la IA.

Contacta con nosotros

Defensa penal en todo el territorio nacional.
Consultar mi caso

Tabla de contenido

Tabla de contenido

Solicitar presupuesto

Pago completado satisfactoriamente.