Es evidente que los productos que se comercializan en el mercado interior han ganado en complejidad al comprender elementos digitales que van cambiando, actualizándose, mejorándose, que se confunden en ocasiones con los servicios, también prestados digitalmente; productos que se comunican e interactúan con otros productos y servicios mediante diferentes sistemas, que generan un importante flujo de datos, los cuales constituyen un bien en sí mismos, que emplean sistemas de IA autónomos para tomar decisiones tras el procesado veloz de cantidades ingentes de datos. Estas nuevas realidades hacen que se tengan que clarificar determinados conceptos que, en la norma comunitaria, corresponden a un mundo analógico y no digital. De ahí la revisión que hace la Propuesta de Directiva que comento. Antes, no obstante, quiero indicar que esta Propuesta se inspira en diferentes fuentes: la primera de ellas son los trabajos que el ELI (European Law Institute) ha venido elaborando, especialmente, el último publicado (ELI Draft of a Revised Product Liability Directive, Online: https://www.europeanlawinstitute.eu/fileadmin/user_upload/p_eli/Publications/ELI_Draft_of_a_Revised_Product_Liability_Directive.pdf), la segunda es el Reglamento (UE) 2019/1020 del Parlamento europeo y del Consejo de 20 de junio de 2019 relativo a la vigilancia del mercado y la conformidad de los productos (DOUE L169/1, 25.06.2019), del cual se toman prestadas alguna norma y sobre todo terminología y, en tercer lugar, y de forma un tanto más remota el Informe del grupo de expertos en responsabilidad civil y nuevas tecnologías (NTF), “Responsabilidad por inteligencia artificial y otras tecnologías emergentes”, de 28 de noviembre de 2019 (LiabilityforAIandotheremergingtechnologies.pdf).
El producto analógico y digital
El elemento fundamental del sistema de IA es el programa informático o software. Además, aquel puede concebirse como contenido digital y como servicio digital separadamente o de forma híbrida. En estos casos, la línea divisoria entre productos y servicios es difusa.
El concepto de producto en la Directiva 85/374/CEE se centraba en los bienes tangibles con la excepción de la electricidad (art. 2) excluyendo claramente a los servicios. Si bien no existía problema en comprender en su ámbito de aplicación aquel bien tangible que incorpora un elemento digital como puede ser un software, sí que es cierto que éste era concebido como un elemento estático, esto es, un elemento digital que es estándar y producido en masa (v. gr. un electrodoméstico inteligente). Más problemático resultaba, para poder comprenderlo en el concepto de producto, aquel contenido digital incorporado en el bien tangible que es dinámico, que se actualiza con mucha frecuencia y que puede llegar a ser mucho más importante que el propio bien tangible en el cual aparece integrado o, aunque no aparezca integrado, interactúa con él de tal manera que su ausencia afecta a la operatividad del bien.
Ahora, la Propuesta de Directiva menciona expresamente el “software” en el concepto de “producto” (art. 4.1) entendiendo que comprende también al “sistema de IA”, lo cual me resulta cuestionable, puesto que la complejidad de estos sistemas transciende la de un software por lo que quizá hubiera merecido una mención específica. Pero ese entendimiento lo hace la Propuesta en el considerando núm. 12: “Software, such as operating system, firmware, computer programs, applications or AI systems is increasingly common on the market and plays an increasingly important role for product safety”. Admite, además, que pueda introducirse en el mercado como “stand-alone-product” o bien estar integrado en otro producto como su componente, es decir, que se trate de un “bien con elementos digitales”. El concepto como tal de “bien con elementos digitales” lo ofrece la Directiva 2019/770, del Parlamento europeo y del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (DOUE L 136, 22.05.2019), en el art. 2.3: “todo objeto mueble tangible que incorpore contenidos o servicios digitales o esté interconectado con ellos de tal modo que la ausencia de dichos contenidos o servicios digitales impediría que los bienes realizasen sus funciones”. Este “elemento digital” puede consistir en lo que la Propuesta de Directiva denomina “digital manufacturing files”, es decir, la información electrónica necesaria para que un bien tangible (por ejemplo, una máquina, una impresora 3D) puede actuar de forma autónoma (art. 4.2).
El stand-alone-software (en nuestro caso, el stand-alone-AI system) podría merecer la consideración de “producto”, si bien si está hecho a medida, quizá se trate más bien de un servicio que conlleva un resultado. También cabe considerarlo directamente un servicio digital como es el supuesto del SaaS (software as a service) que, en el caso que me ocupa es AIaaS (artificial intelligence as a service). La Propuesta de Directiva reconoce como producto a lo que denomina “servicios relacionados” que son servicios digitales esenciales para que un producto (bien tangible) funcione correctamente, es decir, se trata de servicios interconectados con el bien (v. gr. el suministro de datos de tráfico para que un navegador funcione de forma adecuada) siempre que se encuentren dentro del ámbito de control del productor, es decir, son suministrados por éste o por alguien recomendado por él o influencia el suministro por parte de un tercero (art. 4.4). Por tanto, aquellos servicios en los que hay intervención humana, esto es, son prestados por personas quedarían fuera de la noción de producto que propone la futura Directiva en la línea de la regulación contenida en la Directiva 2019/770 antes citada.
Por otro lado, se comprenden los productos “renovados”, claves en la economía circular, pues, desde la perspectiva del consumidor, pueden no cumplirse sus legítimas expectativas de seguridad. Pero ello debe ir acompañado de la ampliación del concepto de productor a estos empresarios que hacen el trabajo de renovación y luego introducen el producto renovado en el mercado mediante una cadena de distribución. En el considerando núm. 29 se advierte que los productos permiten cambios, modificaciones que también se pueden producir debido a una actualización o mejora del software que los integra. En cualquier caso, cuando un producto es modificado sustancialmente fuera del control de su productor originario, se considera un nuevo producto y debe ser posible que la persona que lo ha modificado sea responsable por los defectos que, en su caso, tuviera siempre que hubieran ocasionado el daño. En este sentido, este nuevo responsable entraría de lleno en la definición que de “productor” establecen los arts. 4.11 y 7.4.
En la línea expuesta ya se ha sustituido el concepto de producto del art. 2 letra c de la Directiva 2005/29/CE, relativa a las prácticas comerciales desleales(DOUE L 149/22, de 11.06.2005), por un tenor más propio del mercado digital: “cualquier bien o servicio, incluidos los bienes inmuebles, los servicios digitales y el contenido digital, así como los derechos y obligaciones”. En esta misma línea, se expresa el art. 3 (1) de la Propuesta de reglamento de seguridad general de los productos [Brussels, 30.6.2021 COM(2021) 346 final].
Para acoger a los nuevos bienes, contenidos y servicios digitales relacionados, entre los cuales se encontrarían los sistemas de IA, así como nuevas tecnologías que se creen en el futuro (las referidas “tecnologías emergentes”), las definiciones dadas por la Propuesta de Directiva se basan en el principio de neutralidad tecnológica. Quizá por ello no se diferencia entre los sistemas de IA de alto riesgo y los que no son de alto riesgo. En el concepto de “producto” caben todos.
Finalmente, podría plantearse si los datos digitales pudieran merecer la consideración de “producto” a los efectos de aplicar el régimen de responsabilidad que trato, sobre todo porque los sistemas de IA y, en general, los productos digitales precisan de datos, los emiten y los recogen de diferentes fuentes. Parece, no obstante, que deberían excluirse sobre la base de que los datos se suelen proporcionar en un marco contractual y porque el TJUE ha considerado que la información no puede considerarse un producto defectuoso (STJUE 10de julio de 2021 C-65/20, VI v Krone). Aunque no se consideren en sí mismos productos, sí que, en cambio, se reconoce la importancia de estos bienes inmateriales a efectos de “daños”, es decir, se compensa la pérdida o corrupción de los datos si no se usan exclusivamente para fines profesionales (art. 4.8 letra c).
El concepto de defecto y sus circunstancias
El art. 6.1 de la Directiva 85/374/CEE introducía una noción de defecto del producto como un defecto de seguridad, seguridad que al perjudicado cabría legítimamente esperar. Esta noción abstracta y objetiva, también conocida como “consumer expectation test” interpretada por el TJUE (STJUE Joined Cases C-503/14 y C-504/14 Boston Scientific Medizintechnik, GmbH v. AOK Sachsen-Anhalt – die Gesundheitskasse, 5.03.2015) como las “razonables expectativas del público en sentido amplio” (reasonable expectations of the public at large), se adaptaba a las circunstancias concretas, teniendo en cuenta el grupo de consumidores al que el producto va dirigido (v. gr. consumidores vulnerables), del caso a partir de tres criterios: la presentación del producto, el uso razonablemente previsible del mismo y el momento de su puesta en circulación. Se trata de una noción cuyo supuesto de hecho está pensado esencialmente para el mundo analógico en el que los productos (bienes tangibles, principalmente) son estáticos.
La Propuesta de Directiva positiviza la doctrina del TJUE en el concepto de defecto cuando advierte que: “un producto se considera defectuoso cuando no proporciona la seguridad que al público at large le cabe legítimamente esperar…” (art. 6.1).
La cuestión que se planteaba era si esta noción de defecto seguía siendo válida para la era digital en la que la pérdida de conectividad o de datos y los ciberataques originan daños que no siempre se correspondían con los tipos de daños previstos por la Directiva 85/374/CEE. Debe tenerse en cuenta que, en los bienes digitales, los defectos se refieren a otras circunstancias más allá de las previstas en el originario art. 6.1. En este sentido, para delimitar la noción abstracta de defecto, se amplían las circunstancias que la norma tiene en cuenta, incluyendo, por ejemplo, la habilidad del producto para aprender continuamente después de su desarrollo, es decir, emplea machine learning, el efecto que pueda producir el producto en otros productos con los que esté interconectado o que se usen conjuntamente, ciberseguridad, otros requisitos de seguridad, cualquier intervención en el producto por parte de una autoridad pública o por los operadores económicos y, por supuesto, el momento en que se puso en circulación o en servicio, el momento en que salió el producto de la esfera de control del productor o se hizo accesible por primera vez el producto en el mercado por el distribuidor (nuevo art. 6.1).
Otras circunstancias tales como la fortaleza de un sistema de IA, el flujo de datos, la privacidad desde el diseño y por defecto (arts. 25 RGPD), la funcionalidad, interoperatividad y compatibilidad del sistema de IA, o bien se encuentran embedidas en las circunstancias previstas en el nuevo art. 6.1 o bien simplemente no se han tenido en cuenta por la Propuesta.
De otra parte, el hecho de que un producto digital y, en particular, un sistema de IA no sea estático, sino dinámico al irse actualizando (updates) o incluso mejorando (upgrades) pone en cuestión, de un lado, el momento de su puesta en circulación y, de otro, la condición de que un producto mejor o mejorado puesto en circulación después no suponga que el anterior sea defectuoso. Al primero me refiero seguidamente. Respecto del segundo, el nuevo art. 6.2 deja asentado que el hecho de que se introduzca en el mercado o se ponga en uso un producto mejorado no implica que el anterior se considere defectuoso.
El “momento de puesta en circulación” se diversifica en un mercado con productos digitales
El momento de puesta en circulación del producto es una de las circunstancias que establecía el art. 6.1 Directiva 85/374/CEE modulando el concepto de defecto. De hecho, el momento de la puesta en circulación ha representado la clave de bóveda del régimen jurídico previsto en la norma comunitaria pues en torno a él pivotaban y siguen pivotando, por ejemplo, las causas de exoneración de la responsabilidad del fabricante (art. 10 Propuesta de Directiva), si bien de forma “diversificada”.
En un mercado analógico en el que se fabrican bienes tangibles que, si bien tienen incorporado algún elemento digital, éste es estático, es decir, no sufre ningún cambio, el momento de su puesta en circulación en el mercado es igualmente un momento temporal estático. Ahora bien, en un mercado digital donde el bien que se fabrica puede ser no sólo tangible sino, sobre todo, intangible y, además, éste se halla incorporado al primero de suerte que sin él deja de funcionar o que, incluso se comprenden servicios digitales, el momento de puesta en circulación del sistema de IA o más ampliamente del “producto digital” deja de ser un momento temporal estático. En efecto, los productos digitales van configurándose constantemente a partir de actualizaciones (updates) y mejoras (upgrades) o se rehabilitan o renuevan los bienes tangibles que hacen difícil determinar cuándo el bien se considera puesto en circulación. ¿Debe considerarse que una actualización del producto forma parte de éste en el momento en que se puso en circulación o en servicio, aunque sea de forma retroactiva? ¿Deben considerarse momentos de puesta en circulación o en servicio diferentes, una para el producto, otra para cada actualización y mejora?
La Propuesta de Directiva ha abordado este aspecto fundamental distinguiendo el momento de ponerlo en el mercado (“placing on the market”), el momento de puesta en uso (“putting into service”), el momento en que un producto está disponible (“making available on the market”) y el momento en que éste sale de la esfera de control del productor (“manufacturer’s control”). Me detengo en ellos.
- La “puesta en el mercado” implica la primera vez en que el producto está disponible en el mercado. Así, se ha abandonado el “momento de puesta en circulación” propio de la Directiva 85/374/CE que se pretende derogar para acoger la terminología del Reglamento 2019 relativo a la vigilancia del mercado (arts. 3.1 y 3.2, conceptos de “introducción en el mercado” y “comercialización”).
- “Poner en servicio” tiene en cuenta los productos que se “usan”, como puede ser un sistema de IA, que puede usarse en el curso de una actividad determinada siempre y cuando el producto todavía no se haya puesto en el mercado. Por tanto, su primer uso es la “puesta en servicio”. La definición de “puesta en servicio” se corresponde con la establecida en el art. 3 (11) [Proposal for a Regulation of the European Parliament and of the Council laying down harmonized rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union legislative Acts, COM(2021) 206 final. La propuesta se puede consultar en: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF], a tenor del cual, se considera que un sistema de IA se ha puesto en servicio cuando consiste en: “el suministro de un sistema de IA para su primer uso directamente al usuario o para uso propio en la Unión de acuerdo con su finalidad prevista”.
- Cualquier suministro de un producto para su distribución, uso o consumo en el mercado interior en el curso de una actividad comercial implica “poner a disposición un producto en el mercado”. Este suministro es propio de los “distribuidores”. Por eso la Propuesta de Directiva se refiere a “making available on the market” en relación con los “distribuidores”. También se trata de una terminología que se toma prestada del Reglamento 2019/1020, relativo a la vigilancia del mercado (art. 3.10).
- Que el productor tenga el control supone que éste autoriza: 1. La integración, interconexión o suministro por un tercero de un elemento componente incluyendo actualizaciones y mejoras de un software o, 2. La modificación del producto. El momento en que el producto sale de la esfera de control del productor es ciertamente relevante para ver sí éste es responsable por los updates y upgrades del sistema de IA e igualmente en el caso de productos tangibles renovados o rehabilitados. Aquí debe tenerse en cuenta si la modificación es sustancial o no, lo cual se determina en función de lo que advierte la legislación europea o nacional acerca de la seguridad del producto como, por ejemplo, cuando las modificaciones cambian las funciones iniciales para las cuales estaba pensado el producto o afectan al cumplimiento de requisitos de seguridad establecidos por la legislación (considerando núm. 29).
Por tanto, un operador económico que introduce modificaciones sustanciales en un producto fuera del control del fabricante originario de éste debe ser considerado responsable de un producto nuevo. Luego, si las modificaciones se hacen bajo el control de éste, será éste el que será considerado responsable. Así, el operador económico que introduce modificaciones sustanciales en el producto fabricado por otro, sin que éste tenga el control, puede exonerarse de responsabilidad si prueba que el daño se ocasionó por aquel componente del producto que no se vio afectado por la modificación que él introdujo. Por consiguiente, será responsable el fabricante del producto que se modifica. Cambios no sustanciales de los productos no están sujetos a las reglas de la Propuesta de Directiva por lo que se deben dirimir por las normas generales de la responsabilidad civil que, como regla general, estarán basadas en la culpa si bien siempre la víctima podrá acudir a las normas acerca de la carga de la prueba y de puesta a disposición de los medios de prueba que prevé la otra Propuesta de Directiva que se ha publicado junto a la que se comenta [Proposal for a Directive of the European Parliament and of the Council an adapting non-contractual civil liability rules to artificial intelligence – AI Liability Directive, COM(2022) 496 final] puesto que están concebidas como un “paquete”.
Sea lo que fuere, me parece que, aunque estos diversos momentos de puesta en circulación del producto son relevantes, existe otro que posee la misma importancia y que es nuevo en el contexto de esta Directiva. Me refiero al momento en que el producto “sale de la esfera de control” del operador económico. En este sentido, puede suceder que el producto se haya puesto en servicio en el mercado y, sin embargo, siga bajo el control de aquél. Consecuencia de ello es que será responsable por los defectos que éste o las sucesivas modificaciones que haya realizado o se hayan realizado bajo sus indicaciones, presenten.
Conceptos de productor y de operador económico
Otro concepto que se ha revisado es el del “productor”. Según las normas de responsabilidad civil del fabricante, éste, de acuerdo con el concepto legal de productor establecido en el art. 3 Directiva 85/374/EEC era el que respondía por los daños que ocasione un producto defectuoso frente a terceros. En concreto, se consideraba fabricante a la persona que fabricaba un producto acabado, que producía una materia prima o que fabricaba una parte integrante, y toda aquella persona que se presentaba como productor poniendo su nombre, marca o cualquier otro signo distintivo en el producto (art. 3.1). Junto a éste merecían la consideración de fabricante el importador (art. 3.2) y el suministrador a no ser que informara al perjudicado de la identidad del productor o de la persona que le suministró el producto dentro de un plazo de tiempo razonable (art. 3.3).
Por otro lado, este concepto amplio de productor recogido en la norma comunitaria era un concepto que había sido calificado de estático, lineal relativo a la cadena de producción de productos tangibles, alejado de la realidad del mercado digital, en el que intervienen otros operadores, tales como las plataformas intermediarias o, en la economía circular, los empresarios que reparan, rehabilitan o recomponen los productos, los cuales pueden ser los mismos que los fabricaron como otros autorizados por éstos. Y en el que hay un constante flujo de datos desde el consumidor al fabricante o a otros intervinientes y viceversa en la cadena de producción.
Por mi parte, sostenía que, si se consideraba que gran parte de los defectos, en caso de sistemas de IA y productos digitales en general, pueden provenir de defectos de diseño o de concepción podría ampliarse el concepto de “productor” incorporando al “ingeniero diseñador”, siempre que fuera un tercero ajeno a la esfera del primero (“Daños ocasionados por sistemas de inteligencia artificial. Especial atención a su futura regulación”, Comares, Granada, 2022). Pues bien, la Propuesta de Directiva define al “productor” (“manufacturer”) como cualquier persona física o jurídica que desarrolla, manufactura o produce un producto o ha diseñado o fabricado el producto o quien pone en él un signo distintivo o quien desarrolla, manufactura o produce un producto para su propio uso (art. 4.11). Se trata de que cualquier productor implicado en el proceso de producción pueda ser considerado responsable. Por tanto, se incluye también al fabricante de un elemento componente que puede ser defectuoso, aunque no lo diga de forma expresa en la definición referida. La víctima podrá dirigirse contra el fabricante del producto acabado como contra el del elemento componente que resulta defectuoso. Según la Directiva 85/374/CE, en la medida en que, por ejemplo, un software se considerara una parte integrante del “producto”, y, además, esencial, el fabricante del producto final podía verse exonerado de responsabilidad si el defecto se debía al diseño de un elemento componente. Así, el diseñador de éste podía responder directamente en cuanto “fabricante de un elemento integrante” del sistema de IA por los daños ocasionados (art. 7 letra f Directiva 85/374/CEE). Ahora con la Propuesta esto no será posible puesto que, como decía, la víctima se puede dirigir a cualquiera de ellos indistintamente.
Como una gran cantidad de productos, sobre todo, en lo que se refiere a alta tecnología, se fabrica fuera de la UE, debe ser posible que el importador o el representante autorizado del fabricante sean considerados responsables. Igualmente, los “fulfilment service providers” que llevan a cabo funciones similares a los importadores también deben ser tenidos en cuenta a efectos de resultar responsables (art. 4.14). Hay muchos modelos de negocio para las plataformas con un mayor o menor grado de involucración en el suministro de bienes y servicios. Algunas son puras intermediarias [art. 2 (3) Reglamento 2019/1020, de vigilancia del mercado, art. 3 (14) del futuro reglamento de seguridad general de los productos]; mientras otras participan activamente prestando algunos servicios. En esta dirección, se propone que aquellas plataformas que desempeñan un papel activo considerándose “fulfilment service provider” (prestador de servicios logísticos) deben comprenderse en la categoría amplia de “productor” a efectos de la Propuesta de Directiva cuando el productor no se puede identificar o no se encuentra establecido en la UE ni existe un importador o representante autorizado del fabricante conocido.
En relación con las plataformas de intermediación, debe tenerse presente que éstas deben cooperar con las autoridades en la vigilancia del mercado. Así, lo establece el art. 7 del Reglamento 2019/1020, de vigilancia del mercado y, en el mismo sentido, el art. 20 del futuro reglamento general de seguridad de los productos, el cual establece un conjunto de obligaciones para aquellas y, en el mismo sentido la Digital Services Act (arts. 5.3 y 22), sobre todo en relación con contenido ilegal, incluidos los productos. No obstante, estas plataformas también pueden jugar el rol de productor, importador o distribuidos en relación con productos defectuosos. Por tanto, deben ser considerados responsables como los otros operadores económicos. Si actúan como simples intermediarias en la venta de productos, ya quedarán cubiertas por la exoneración de responsabilidad condicional establecida en la Digital Services Act. De todos modos, de acuerdo con esta última norma, si la plataforma actúa de tal manera que un consumidor medio puede confiar en que el producto es suministrado por la plataforma misma o por un comerciante que actúa bajo su autoridad o control no podrán exonerarse de responsabilidad conforme a las normas de protección de los consumidores. Por eso, pueden equipararse a los distribuidores y responder como éstos lo hacen en caso de suministro de producto defectuoso conforme a la Propuesta de Directiva que trato. De todos modos, si la plataforma identifica al operador económico que está detrás de la transacción podrá verse exonerada de responsabilidad como sucede con el distribuidor (art. 7.5).
Aparecen pues dos conceptos más: el de distribuidor y el de operador económico. Al primero ya me he referido como aquella persona física o jurídica diferente del fabricante y del importador que suministra productos en la cadena de distribución y que, por ende, pone a disposición de los consumidores el producto (art. 4.15). Por su parte, el “operador económico”, terminología tomada del Reglamento 2019/1020, de vigilancia del mercado (art. 3.13), comprende a todos los anteriores, salvo las plataformas intermediarias a excepción de que estas actúen como distribuidoras o como proveedoras de servicios logísticos (art. 4.16). Así, como decía, cuando la Propuesta de Directiva quiere aludir a todos ellos conjuntamente, emplea la locución mencionada; en caso contrario, se refiere a cada sujeto de forma individualizada. Véase a título de ejemplo, el art. 7. No me parece que la introducción de este nuevo término genere la claridad que es deseable, sino todo lo contrario, esto es, más confusión.
Desde luego que el fabricante que renueva un producto que, con posterioridad, introduce en el mercado, se comprende también en el concepto de productor pues es pensable que la víctima tenga legítimas expectativas de que esté usando un producto seguro. Ello, además, es coherente con el énfasis que la UE está poniendo en la economía circular (Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of Regions, A new Circular Economy Action Plan for a cleaner and more competitive Europe, COM/2020/98 final).
Finalmente, cuando existen varios responsables, la solidaridad es la norma acogida por la Directiva 85/374/CEE y que se mantendrá en el futuro a tenor del art. 11.
La carga de la prueba y la puesta a disposición de información relevante
El Informe del Expert Group on Liability and New Technologies (NTF), acerca de un régimen de responsabilidad especial para la IA, aunque parte de la regla general consistente en que la víctima debe probar la causa del daño, admite que la complejidad de la tecnología que interviene puede derivar en una asimetría informativa entre el operador responsable y la víctima que conlleve la imposibilidad de probar el nexo causal o que la prueba resulte excesivamente onerosa para aquélla.
Por ello, enumera, en la recomendación núm. 26, una serie de circunstancias que justificarían que el legislador europeo o, incluso, el nacional, incluyeran una regla general de inversión de la prueba del nexo causal. Estas circunstancias serían las siguientes: la probabilidad de que la tecnología haya contribuido a ocasionar el daño, la probabilidad de que el daño se hubiera ocasionado o por la intervención de la tecnología o por otra causa que se encuentre dentro de la misma esfera de control, el riesgo de que exista un defecto conocido en la tecnología, aunque su impacto en el nexo causal no sea evidente, el grado de trazabilidad ex post y de inteligibilidad de los procesos gobernados por IA que pueden haber contribuido a causar el daño, el grado de acceso posterior y comprensión de los datos recogidos y generados por la tecnología y el tipo y nivel de daño potencial y actual ocasionado.
Adicionalmente, se sugiere, en su recomendación núm. 24, presumir la causalidad -además de la
culpa y de la propia existencia del defecto- siempre que se detecte el incumplimiento de normas de seguridad, cuya observancia hubiera evitado el daño. La nueva Propuesta de Directiva por defectos en los productos se inspira en parte en estas recomendaciones.
La nueva Propuesta de Directiva parte de la misma regla general (art. 9.1), si bien admite que el “defecto” del producto se presuma cuando se den una serie de requisitos (art. 9.2):
a) el demandado no ha cumplido con el deber de aportar la información relevante que le ha solicitado la víctima (art. 8.1). Este deber es coherente con el establecido en la Propuesta de Directiva acerca de la responsabilidad extracontractual en caso de IA (art. 3), si bien lo restringe a víctima demandante, es decir, no incluye al “posible demandante” como sí hace ésta.
b) el demandado prueba que el producto no cumple con los requisitos de seguridad determinados en la legislación nacional o de la Unión cuya finalidad es proteger frente al riesgo de daño. Como, por ejemplo, cuando debe llevar el registro de los movimientos del producto o sistema y en cambio no está equipado con este sistema de registro.
c) el malfuncionamiento del producto es “obvio” siempre que se haya usado normalmente y en circunstancias adecuadas a ese uso. En este caso, no sería necesario que probara el defecto pues resulta de los hechos. Recuerda a la regla “res ipsa loquitur”.
El nexo causal entre el defecto y el daño también puede presumirse cuando se ha probado o establecido el defecto del producto y el daño es de los típicos que provocaría ese defecto (art. 9.3). De nuevo, la regla res ipsa loquitur se hace presente.
La complejidad técnica y científica de los productos digitales y de los sistemas de IA hace que para el demandante resulte muy dificultoso probar el defecto o/y el nexo causal y eso, a pesar de que se le haya facilitado por el demandado la información relevante, se presumen siempre que el demandante demuestre, con indicios suficientes, que el producto contribuyó a causar el daño y que es probable que el producto fuera defectuoso o que el defecto es probable que causara el daño o ambos. De todas maneras, el demandado puede probar lo contrario o, incluso, contestar la existencia de las dificultades denunciadas por el demandante (arts. 9.4 y 9.5).
Causas de exoneración de la responsabilidad
Un operador económico puede exonerarse de responsabilidad si concurre alguna de las causas que el art. 10.1 de la Propuesta indica. Algunas de ellas son las que ya aparecían en la Directiva 85/374/CE. Sin embargo, hay algunas diferencias. Así, se diferencia entre fabricante e importador que no han puesto en el mercado o puesto en uso el producto del distribuidor que no haya puesto a disponibilidad el producto en el mercado. En el caso de la causa de exoneración consistente en que era probable que el defecto no existiera en esos momentos, hay que tener en cuenta la norma del art. 10.2 que establece una excepción a esa causa de exoneración, en virtud de la cual, no se exonerará el operador económico, si el defecto del producto es debido a un servicio relacionado con el producto, al software incluidas actualizaciones o mejoras o a la falta de éstas cuando fueran necesarias en orden a mantener la seguridad del producto. Todo ello mientras el producto se encuentra en la esfera de control de ese operador puesto que en caso contrario la causa de exoneración operará normalmente.
Además, se ha mantenido la exoneración por los riesgos del desarrollo, aunque se había puesto en cuestión su continuidad. En mi opinión, es razonable que se mantenga para no desincentivar la innovación e inversión en ésta y porque ya se contempla, de modo específico, en la Propuesta de Directiva sobre responsabilidad civil extracontractual en caso de IA que acompaña a ésta, el incumplimiento de deberes pre y post-comercialización, aunque sea a efectos de carga de la prueba. El state-of-the-art tiene que reflejar el nivel de conocimientos más avanzado en una materia determinada y no los que posee un operador económico en particular, mientras el producto estaba todavía en su esfera de control (considerando núm. 39).
Se añade la exoneración de responsabilidad del fabricante de un elemento componente cuando demuestre que el defecto se debe al diseño del producto en el que el componente se iba a integrar o a las instrucciones que dio el fabricante del producto acabado.
Finalmente, se introduce la posibilidad de que aquella persona que haya modificado el producto se exonere alegando que el daño fue ocasionado por una parte del producto no afectada por la modificación introducida (arts. 7.4, art. 10.1 letra g).
Otras novedades introducidas en la Propuesta de Directiva
En materia de daños resarcibles a los conceptos ya existentes se ha añadido el daño psicológico y la pérdida o corrupción de los datos cuando éstos no se usen para fines exclusivamente profesionales. Debe destacarse que la Propuesta de Directiva tiene en cuenta las finalidades mixtas de los productos, esto es, que se usen para fines privados y profesionales a un tiempo. De ahí que especifique que el bien no se use “exclusivamente” para estos últimos fines, puesto que la Propuesta excluye de su ámbito de aplicación a los profesionales que hayan sufrido daños por defectos en los productos. Se trata, en cualquier caso, de daños materiales de manera que los morales se deberán resarcir conforme a la normativa nacional (art. 4.6).
En cuanto a los plazos, la acción de daños tiene un plazo de prescripción de 3 años y el período dentro del cual puede aparecer el defecto es de 10 años desde que el producto se puso en el mercado, en servicio o se hizo accesible por primera vez en el mercado. Excepcionalmente, se admiten 15 años en caso de que la víctima presente daños personales que duren a lo largo del tiempo (“Latency of a personal injury”, art. 14).
Finalmente, se elimina la franquicia de 500 euros pues en la práctica por debajo de la misma no se ejercitaban acciones de daños.
Dra. Susana Navas Navarro