Propuesta de Directiva sobre responsabilidad por los daños causados por un producto defectuoso
TABLA DE CONTENIDOS
- 1. Introducción
- 2. ¿Cuál es el objetivo de la nueva Directiva? ¿Puede la IA ser un producto defectuoso?
- a) Revisa el significado del significado del término “producto”
- b) Aclara que los daños causados por sistemas defectuosos de IA o por bienes defectuosos basados en IA deber ser también ser indemnizados
- c) Clarifica que debe entenderse por un producto “defectuoso”
- d) Deja claro qué daños quedan excluidos de indemnización
- e) Determina qué operadores económicos son responsables de los productos defectuosos y, por tanto, se les podrá solicitar una indemnización
- f) La nueva Directiva acoge un régimen de responsabilidad civil “objetiva”
- g) Se introduce dos presunciones que aligeran la carga de la prueba en casos complejos, lo que incluye los casos relacionados con sistemas de IA
- 3. Valoración
- Contacta con nosotros
1. Introducción
La normativa europea actual sobre responsabilidad por los daños causados por productos defectuosos (la Directiva 85/374/CEE del Consejo de 25 de julio de 1985) ha devenido en obsoleta por las siguientes tres razones:
- No queda claro cómo aplicar las definiciones de dicha Directiva a los nuevos modelos de negocio de la economía circular, a las nuevas cadenas de suministro mundiales y, particularmente, a los productos de la economía digital moderna, incluida la inteligencia artificial (por ejemplo, los programas informáticos y los productos que necesitan programas o servicios digitales para funcionar, como los teléfonos inteligentes y los vehículos autónomos).
- Los perjudicados se enfrentan a dificultades que limitan la posibilidad de obtener una adecuada indemnización (por ejemplo, los daños materiales por un valor inferior a 500 euros no son recuperables).
- La existencia de dificultades probatorias que afectan a las personas perjudicadas en “casos complejos”, desde un punto de vista técnica y científico, cuando se trata de demostrar que el producto era defectuoso y que este les causó daños. Esto incluye las acciones judiciales por daños y perjuicios relacionados con las nuevas tecnologías, incluida la inteligencia artificial (IA).
Con la finalidad de superar estos problemas, la Comisión Europea publicó el pasado 28.09.2022 la Propuesta de Directiva del Parlamento Europeo y del Consejo sobre responsabilidad por los daños causados por productos defectuosos (en adelante, la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos o simplemente, la nueva Directiva).
2. ¿Cuál es el objetivo de la nueva Directiva? ¿Puede la IA ser un producto defectuoso?
Teniendo en cuenta los problemas antes descritos, la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos pretende:
- Proporcionar un sistema a escala de toda la Unión Europea (UE) para compensar a las personas físicas que sufran lesiones o daños materiales debido a productos defectuosos.
- Garantizar que las normas de responsabilidad reflejen la naturaleza y los riesgos de los productos de la era digital. Esto incluye las nuevas tecnologías, incluida la IA. Por lo tanto, la nueva Directiva persigue garantizar que los perjudicados puedan disfrutar del mismo nivel de protección con independencia de la tecnología de que se trate.
- Lograr un mayor nivel de protección a los consumidores de la UE para lo cual aligera la carga de la prueba en los casos complejos y suaviza las restricciones a la presentación de reclamaciones judiciales.
En lo que respecta a la IA, la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos introduce los siguientes cambios:
a) Revisa el significado del significado del término “producto”
Se define “producto” como cualquier bien mueble donde se incluye a la electricidad, los archivos de fabricación digital (es decir, la versión o plantilla digital de un bien mueble) y los programas informáticos, porque es claro que los productos en la era digital pueden ser no solo tangibles sino también intangibles (artículo 4.1).
Por lo tanto, los programas de ordenador, los sistemas operativos, los microprogramas y las aplicaciones o los sistemas de IA son claramente “productos” para la nueva Directiva. Todos estos programas informáticos pueden introducirse en el mercado como productos autónomos y, posteriormente, pueden integrarse en otros productos como componentes de ellos.
En cualquier caso, los programas informáticos son un “producto”, independientemente de su modo de suministro o uso, y, por tanto, con independencia de si el programa informático está almacenado en un dispositivo o se accede a él a través de tecnologías en la nube. No obstante, la nueva Directiva descarta que el código fuente de los programas informáticos pueda considerarse un producto a efectos de la nueva Directiva ya que se trata de pura información.
Por tanto, los sistemas de IA y los bienes basados en IA deben ser considerados “productos” y, por ello, entran en el ámbito de aplicación de la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos, lo que significa que cuando su ejecución o uso causen daños, puede obtenerse una indemnización sin que la persona perjudicada tenga que demostrar la culpa del fabricante, al igual que cualquier otro producto defectuoso. El desarrollador o productor de programas informáticos (incluidos los proveedores de sistemas de IA) serán tratados como “fabricantes” al amparo de la nueva Directiva.
El Reglamento de IA (o mejor dicho, la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de IA, publicada por la Comisión Europea el 21.04.2021) califica como “proveedor de sistemas de IA” a toda persona física o jurídica, agencia u organismo de otra índole que desarrolle un sistema de IA o para el que se haya desarrollado un sistema de IA con vistas a introducirlo en el mercado o ponerlo en servicio con su propio nombre o marca comercial, ya sea de manera remunerada o gratuita.
Por su parte, los archivos de fabricación digital, que contienen información funcional necesaria para producir un elemento tangible permitiendo el control automatizado de máquinas o herramientas, como taladros, tornos, molinas e impresoras 3D, se consideran productos por la nueva Directiva con el fin de garantizar la protección de los consumidores en los casos en que tales archivos sean defectuosos.
b) Aclara que los daños causados por sistemas defectuosos de IA o por bienes defectuosos basados en IA deber ser también ser indemnizados
Toda persona física que sufra daños personales y materiales causados por un producto defectuoso tiene derecho a una indemnización conforme a la nueva Directiva. Por tanto, los consumidores perjudicados (y sus herederos, cuando sea el caso) tendrán derecho a una indemnización por las pérdidas derivadas no solo de la muerte (como los gastos funerarios) o las lesiones corporales (como los gastos médicos, lo que incluyen también los daños para la salud psicológica) y la pérdida de ingresos, sino también por la pérdida o corrupción de datos y otros daños materiales causados a la propiedad privada de una persona física (artículo 4.6).
La destrucción o la corrupción de datos, como el contenido borrado de un disco duro, así como el coste de recuperar o restaurar los datos, serán compensados. En consecuencia, cuando un sistema de IA o un bien basado en IA pierda, destruya o corrompa datos que pertenezcan al consumidor, éste tendrá derecho a que se le indemnice por dicho perjuicio material.
La nueva Directiva sigue en este caso la definición de “dato” que proporciona el Reglamento de Gobernanza de Datos (Reglamento 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022) por lo que por “dato” debe entenderse en este contexto como “toda representación digital de actos, hechos o información, así como su recopilación, incluso como grabación sonora, visual o audiovisual”.
Recuérdese que la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos solo se aplica a los productos introducidos en el mercado o, en su caso, puestos en servicio en el transcurso de una actividad comercial.
Por “puesta en servicio” debe entenderse la primera utilización de un producto en la UE en el transcurso de una actividad comercial, ya sea a título oneroso o gratuito, en circunstancias en las que el producto no se haya introducido en el mercado antes de su primera utilización (artículo 4.10).
c) Clarifica que debe entenderse por un producto “defectuoso”
Un producto se considerará defectuoso cuando no ofrezca la seguridad que el público en general tiene derecho a esperar, para lo cual deberá evaluarse, entre otras circunstancias, la finalidad prevista, las características objetivas y las propiedades del producto de que se trate (lo que incluye su vulnerabilidad en materia de ciberseguridad), así como las necesidades específicas del grupo de usuarios al que se destina el producto (artículo 6.1).
Piénsese, por ejemplo, en un carro de reanimación cardiopulmonar o en un desfibrilador (o en cualquier otro producto sanitario de soporte vital) que funcione con un asistente de voz basado en IA. Teniendo en cuenta que estos productos conllevan un riesgo elevado para las personas y que las expectativas de seguridad son especialmente elevadas, su defectuosidad podría causar severos daños personales.
En cuanto a la IA, merece especial atención la seguridad de los productos interconectados y de aquellos productos que presentan una capacidad de aprendizaje tras su despliegue después que son introducidos en el mercado. Piénsese, por ejemplo, en una muñeca para acompañar a los ancianos que lleva un sistema de reconocimiento facial. El asunto es que debe exigirse que los algoritmos de IA subyacentes de los programas informáticos de estos productos estén diseñados de manera que se evite un comportamiento peligroso del producto para el consumidor. Mientras estos productos estén bajo el control del fabricante deberán ofrecer la seguridad que se espera de ellos. Si dicha seguridad no se ofreciera, el fabricante será responsable de los daños causados al consumidor.
Sobre esto último, dado que las tecnologías digitales permiten a los fabricantes ejercer control más allá del momento de la introducción del producto en el mercado o de la puesta en servicio, los fabricantes deben seguir siendo responsables de las deficiencias que se produzcan después de ese momento como resultado de programas informáticos o servicios conexos que estén bajo su control, ya sea en forma de mejoras o actualizaciones o de algoritmos de aprendizaje automático. Estos programas informáticos o servicios conexos deben considerarse bajo el control del fabricante cuando sean suministrados por él o cuando este los autorice o influya de otro modo en su suministro por un tercero. Además, los fabricantes también serán responsables de los daños causados por la falta de suministro de actualizaciones o mejoras de la seguridad de los programas informáticos que sean necesarias para abordar las vulnerabilidades del producto en respuesta a los riesgos de ciberseguridad. Evidentemente, esta última responsabilidad no debe aplicarse cuando el propietario del producto no instale una actualización o mejora suministrada para garantizar o mantener el nivel de seguridad del producto.
En cualquier caso, la defectuosidad de un producto no debe determinarse por su falta de aptitud para el uso, sino por no cumplir con las condiciones de seguridad a que tiene derecho el público en general. Por tanto, la defectuosidad de un producto lo que afecta es la salud y/o la propiedad de los consumidores.
Finalmente, y al final de cuentas, la existencia o posterior introducción en el mercado de un producto mejor y el suministro de actualizaciones o mejoras del producto no deben llevar en sí mismo a la conclusión de que una versión anterior del producto es defectuosa (artículo 6.2). La razón de ello reside en la protección del interés de dar una amplia oferta a los consumidores y fomentar la innovación.
d) Deja claro qué daños quedan excluidos de indemnización
Los daños derivados de violaciones de los derechos fundamentales (como las infracciones en materia de protección de datos, las violaciones de la privacidad o la discriminación no pueden ser compensados en el marco de la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos sino con arreglo a otra legislación.
Y es que la nueva Directiva establece un régimen de responsabilidad extracontractual ya que se refiere al carácter defectuoso de un producto y solo prevé una compensación por las pérdidas derivadas o resultantes de la muerte, las lesiones corporales, los daños materiales (destrucción de cualquier propiedad) lo que incluye la pérdida o corrupción de datos. Por tanto, lo que se indemniza aquí son los daños y perjuicios causados por la falta de seguridad.
Existe una la legislación complementaria en la UE en materia de seguridad de los productos cuyo objetivo es garantizar que solo se introduzcan en el mercado interior productos seguros y salubres. Aquí cabe citar la legislación sectorial sobre maquinaria, productos farmacéuticos, juguetes y equipos radioeléctricos. También cabe citar la Directiva relativa a la seguridad general de los productos (que exige que los productos sean seguros) y el Reglamento relativo a la vigilancia del mercado (que garantiza la protección de los consumidores al detener la circulación de productos no conformes a no ser que se adapten para que sean conformes). Si bien todas estas normas no contienen disposiciones específicas sobre la responsabilidad de las empresas sí que hacen mención a la Directiva sobre responsabilidad por productos defectuosos indicando que se aplica cuando un producto defectuoso cause daños.
Esto nos conduce a responder la siguiente pregunta: ¿Qué tipo de indemnizaciones se pueden reclamar hoy en día por los daños causados por una IA y bajo el amparo de qué normas jurídicas?
Actualmente en materia de IA se podría reclamar una indemnización por daños y perjuicios en mérito a:
- Una responsabilidad contractual, cuando los sistemas de IA o los bienes basados en IA que se adquieren no sean conformes con el contrato o no funcionen correctamente. En este caso será de aplicación la Directiva sobre compraventa de bienes (Directiva 2019/771 del Parlamento Europeo y del Consejo de 20 de mayo de 2019) y la Directiva sobre contenidos y servicios digitales (Directiva 2019/770 del Parlamento Europeo y del Consejo de 20 de mayo de 2019), que otorgan a los consumidores el derecho a la reparación, es decir, la sustitución, la reparación o el reembolso, cuando los bienes, incluidos los contenidos o servicios digitales (la IA lo es), no sean conformes con el contrato o no funcionen correctamente.
- Una responsabilidad extracontractual cuando no se refiera al carácter defectuoso de un producto, como los casos de responsabilidad basada en la culpa (por ejemplo, los daños y perjuicios causados por una información de salida o por la no producción de una información de salida imputable a un sistema de IA, cuando medie culpa del proveedor del sistema de IA). En este caso tendremos que recurrir a la Directiva sobre responsabilidad en materia de IA que establece normas sobre la divulgación de información y la carga de la prueba en el contexto de las reclamaciones subjetivas por daños y perjuicios causados por un sistema de IA.
- El régimen de responsabilidad regulado por el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 o Reglamento General de Protección de Datos (RGPD) que se refiere a la responsabilidad de los encargados y los responsables del tratamiento por los daños materiales o inmateriales causados por un tratamiento de datos que infrinja el RGPD, como puede ser los perjuicios causados por la vulneración del artículo 22 referido a las decisiones individuales automatizadas, incluida la elaboración de perfiles.
- El régimen establecido por el Reglamento de Servicios Digitales (Reglamento 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022) que establece en qué condiciones deben quedar exentas de responsabilidad las plataformas en línea que operan como meras intermediarias en la venta de productos entre comerciantes y consumidores.
e) Determina qué operadores económicos son responsables de los productos defectuosos y, por tanto, se les podrá solicitar una indemnización
En principio serán responsables los fabricantes que intervengan en el proceso de producción cuando su producto o componente suministrado sea defectuoso (artículo 7.1).
No solo los fabricantes de equipos informáticos, sino también los proveedores de programas informáticos y los proveedores de servicios digitales que influyen en el funcionamiento del producto (por ejemplo, un sistema de navegación en un vehículo autónomo) podrán ser considerados responsables cuando sus productos sean defectuosos. Por tanto, el proveedor de un sistema defectuoso de IA o cualquier fabricante que integre un sistema de IA defectuoso en otro producto será responsable y deberá indemnizar a la víctima.
Con el fin de garantizar que las personas perjudicadas tengan la posibilidad de reclamar una indemnización legalmente exigible cuando un fabricante se encuentre establecido fuera de la UE, se podrá exigir responsabilidades al importador del producto defectuoso y al represente autorizado del fabricante (artículo 7.2). Cuando ninguno de estos dos últimos operadores económicos esté establecido en la UE, el prestador de servicios de tramitación de pedidos a distancia podrá ser considerado responsable de los daños causados por el producto defectuoso (artículo 7.3). La nueva Directiva califica como “prestador de servicios de tramitación de pedidos a distancia” a quien, al menos, ofrezca dos de los servicios siguientes: almacenamiento, embalaje, dirección y despacho de un producto sin tener la propiedad de este.
Quien realice una modificación sustancial de un producto introducido en el mercado o puesto en servicio fuera del control del fabricante original, se considerará fabricante por lo que responderá como tal (artículo 7.4).
Finalmente, las plataformas en línea que permitan a los consumidores celebrar contratos a distancia induciendo a un consumidor medio a creer que el producto en venta es suministrado por la propia plataforma en línea o por un comerciante que actúa bajo su autoridad o control, deben ser consideradas responsables. También serán responsables estas plataformas cuando no identifiquen con prontitud al operador económico establecido en la UE que está detrás de la venta del producto (artículo 7.5).
¿Existe algún caso en qué los operadores económicos pueden quedar exentos de responsabilidad? Sí, cuando por imposibilidad objetiva de carácter científica y técnica el fabricante no podía conocer los defectos del producto al momento de su introducción al mercado o puesta en servicio. También habrá exención de responsabilidad cuando el defecto se debiera a que el producto se ajusta a normas coercitivas dictadas por los poderes públicos (artículo 10).
No resulta posible limitar o excluir la responsabilidad de un operador económico mediante contrato (artículo 13).
f) La nueva Directiva acoge un régimen de responsabilidad civil “objetiva”
Se ha considerado que la responsabilidad pecuniaria del operador económico correspondiente (el fabricante, importador, representante autorizado del fabricante, distribuidor, etc.) sigue siendo el único medio para resolver adecuadamente el problema de un reparto equitativo y justo de los riesgos inherentes a la producción técnica moderna.
Por tanto, la víctima del daño no tendrá que demostrar la culpa de dicho operador económico más sí tendrá que la carga de probar el daño sufrido, el carácter defectuoso del producto y el nexo de causalidad entre ambos.
g) Se introduce dos presunciones que aligeran la carga de la prueba en casos complejos, lo que incluye los casos relacionados con sistemas de IA
La nueva Directiva facilita el acceso de los demandantes (es decir, a los consumidores perjudicados por los daños causados por un producto defectuoso) a las pruebas que vayan a utilizar en los procedimientos judiciales, garantizando al mismo tiempo que dicho acceso se limite a lo necesario y proporcionado, y que la información confidencial y los secretos empresariales estén protegidos. Para ello se dispone la posibilidad de ordenar la exhibición de pruebas pertinentes al demandado (el correspondiente operador económico responsable) de que disponga (artículo 8).
Con el fin de aligerar la carga de la prueba al demandante, se han establecido en su favor dos presunciones (que admiten prueban en contrario) si se cumplen determinadas condiciones (artículo 9):
-La presunción de defectuosidad, para incentivar el cumplimiento de la obligación de revelar información (de exhibición de pruebas), los tribunales de justicia nacionales presumirán el carácter defectuoso de un producto cuando el demandado incumpla esta obligación.
-La presunción del carácter defectuoso del producto y del nexo causal entre el daño y el defecto cuando a pesar de la revelación de información por parte del demandado, resulte excesivamente difícil para el demandante, habida cuenta de la complejidad técnica o científica del caso, demostrar su carácter defectuoso o el nexo causal, o ambas cosas. Considerando que los fabricantes tienen conocimientos especializados y están mejor informados que la persona perjudicada, deberán ser ellos quienes refuten la presunción.
¿Cuándo se entiende que existe complejidad técnica o científica? La determina el juez en base a diferentes factores:
- La naturaleza compleja del producto (por ejemplo, un producto sanitario innovador).
- La naturaleza compleja de la tecnología utilizada (por ejemplo, el aprendizaje automático o cualquier otro sistema de IA).
- La naturaleza compleja de la información y los datos que debe analizar el perjudicado-demandante.
- La naturaleza compleja del nexo causal (por ejemplo, cuando se trate de probar la relación entre un producto farmacéutico o alimenticio y la aparición de una enfermedad; cuando se exija al demandante explicar el funcionamiento interno de un sistema de IA).
3. Valoración
La nueva Directiva complementa y refuerza las normas de seguridad de los productos de la UE por lo que se podría decir que garantiza un mejor nivel de protección de los consumidores.
No obstante, el sistema de responsabilidad sigue siendo complejo ya que según cual sea la causa del daño provocado por un sistema de IA o de un bien basado en IA, la norma aplicable para solicitar una reclamación por daños y perjuicios podrá ser la Directiva de Contenidos Digitales, el RGPD, la Directiva sobre responsabilidad en materia de IA o la nueva Directiva sobre responsabilidad por los daños causados por productos defectuosos.
Al igual que el caso de la Directiva sobre responsabilidad en materia de IA, nos surge la duda de por qué no establecer el régimen de responsabilidad para los daños causados por productos defectuosos vía un Reglamento y no a través de una Directiva, si lo que se persigue es la máxima armonización a nivel de toda la UE.
El autor de este artículo es Ricardo Oliva León.