Responsabilidad legal por sistemas de IA en empresas
Cuando un sistema de IA toma una decisión incorrecta que causa daño, ¿quién es responsable? ¿El desarrollador del modelo, la empresa que lo usa, el empleado que lo configuró, o nadie porque "fue la IA"? La respuesta tiene implicaciones prácticas significativas para cualquier empresa que use IA en procesos que afecten a terceros.
Marco de responsabilidad actual
La IA en sí misma no puede ser sujeto de responsabilidad legal: no tiene personalidad jurídica. La responsabilidad recae en personas físicas o jurídicas. Bajo el derecho español y europeo actual, los marcos aplicables son:
Responsabilidad contractual
Si tu empresa usa IA para ejecutar obligaciones contractuales con clientes, los errores de la IA son tus errores. El cliente no puede demandar a OpenAI ni a Anthropic; te demanda a ti. "La IA se equivocó" no es una defensa frente a una reclamación contractual.
Responsabilidad extracontractual (Art. 1902 CC)
Por los daños causados a terceros no vinculados por contrato. Si tu sistema de IA causa un daño a un tercero por acción u omisión, tu empresa puede ser responsable si hay negligencia en la configuración, supervisión o uso del sistema.
Responsabilidad por productos defectuosos
La Directiva 85/374/CEE (transpuesta en España) sobre productos defectuosos aplica a los desarrolladores de IA cuando el sistema de IA es el "producto" defectuoso. Esta directiva está siendo revisada para adaptarse mejor a los sistemas de IA.
La nueva Directiva de Responsabilidad por IA de la UE
La Comisión Europea ha propuesto una Directiva de Responsabilidad por IA (AI Liability Directive) que modifica el régimen de responsabilidad para hacerlo más adecuado a las características específicas de la IA:
Presunción de causalidad
Una de las dificultades actuales es probar que el daño fue causado por el sistema de IA (causalidad). La propuesta de directiva establece una presunción de causalidad cuando el demandante demuestra que el operador del sistema de IA incumplió una obligación de cuidado relevante y el daño es del tipo que la norma pretendía evitar.
Derecho de acceso a evidencias
Los afectados tendrán derecho a solicitar a las empresas que revelen información sobre el funcionamiento de los sistemas de IA de alto riesgo que causaron el daño. Esto facilitará enormemente las reclamaciones en sectores como crédito, seguros y empleo.
Estado de tramitación
A fecha de este artículo, la directiva está en proceso de negociación entre el Parlamento Europeo y el Consejo. Se espera que entre en vigor en los próximos años, con plazos de transposición adicionales.
Escenarios de responsabilidad para empresas
Los casos concretos donde las empresas pueden enfrentar responsabilidad por sistemas de IA:
Decisiones de contratación basadas en IA
Usar IA para filtrar CVs o tomar decisiones de contratación puede generar responsabilidad por discriminación si el sistema muestra sesgos (por ejemplo, discriminación por edad, género, origen). En España, el Estatuto de los Trabajadores y la legislación antidiscriminación aplican independientemente de si la decisión la tomó un humano o un algoritmo.
Sistemas de IA en atención al cliente
Si un chatbot de IA proporciona información incorrecta a un cliente (por ejemplo, información errónea sobre un producto o servicio que lleva al cliente a tomar una decisión perjudicial), la empresa puede ser responsable. La empresa no puede escudarse en que "fue el bot".
Sistemas de diagnóstico o recomendación médica
Alta área de riesgo. Cualquier error de un sistema de IA usado en contexto médico puede generar responsabilidad civil y potencialmente penal. El AI Act clasifica estos sistemas como de alto riesgo con obligaciones muy estrictas.
Sistemas de crédito o seguros automatizados
Las decisiones automatizadas de crédito están sujetas al RGPD (Art. 22) y a normativa sectorial específica. Los errores en estos sistemas pueden generar reclamaciones individuales y sanciones regulatorias.
Contenido generado por IA que causa daño
Si tu empresa publica contenido generado por IA que resulta defamatorio, incorrecto o que viola derechos de terceros, la empresa es responsable del contenido con independencia de que lo generara una IA. No hay diferencia con el contenido generado por humanos desde el punto de vista de la responsabilidad por publicación.
La clave: supervisión humana efectiva
La supervisión humana es el factor más importante para gestionar la responsabilidad legal por IA. No es solo un requisito del AI Act para sistemas de alto riesgo: es una defensa legal crucial frente a reclamaciones de responsabilidad.
Qué significa supervisión humana efectiva
- Un humano revisa y aprueba las decisiones de IA con consecuencias significativas antes de ejecutarlas
- Existe un proceso claro para que los afectados impugnen decisiones automatizadas
- Se documentan los procesos de supervisión y las decisiones tomadas
- Los supervisores humanos tienen la formación y el contexto para supervisar de forma significativa (no rubber-stamping)
Lo que NO es supervisión humana efectiva
- Un humano que aprueba automáticamente todo lo que dice la IA sin revisión real
- Supervisión nominal en papel sin mecanismos reales de intervención
- Supervisores sin formación para entender las limitaciones del sistema de IA que supervisan
Seguros y cobertura de riesgos de IA
El mercado de seguros está adaptándose lentamente a los riesgos de IA. Aspectos a considerar:
Pólizas de responsabilidad civil general
Verifica si tu póliza de responsabilidad civil general cubre daños causados por sistemas de IA. Muchas pólizas antiguas no lo mencionan explícitamente y pueden tener ambigüedades en su cobertura.
Seguro de errores y omisiones (E&O)
Para empresas que proporcionan servicios profesionales con asistencia de IA (consultoría, asesoría legal, médica, financiera), el seguro de E&O debería cubrir los daños causados por el componente de IA de sus servicios.
Ciberseguro
Los incidentes de seguridad relacionados con IA (brechas de datos, ataques a sistemas de IA, manipulación de modelos) pueden quedar cubiertos por el ciberseguro, pero verifica la cobertura específica con tu aseguradora.
Cómo proteger a tu empresa
Medidas preventivas
- Inventario y evaluación de riesgos: Documenta qué sistemas de IA usas y en qué procesos. Evalúa cuáles tienen mayor potencial de impacto negativo en terceros
- Supervisión humana para decisiones con consecuencias: Asegúrate de que ninguna decisión significativa que afecte a clientes, empleados o terceros sea tomada exclusivamente por IA sin revisión humana
- Documentación: Mantén registros de cómo funcionan tus sistemas de IA, qué decisiones tomaron, y cómo se supervisaron
- Formación: Los empleados que trabajen con IA deben entender sus limitaciones y su responsabilidad de supervisión
- Procesos de reclamación: Ten procesos claros para que clientes impugnen decisiones que perciben como incorrectas
Revisión contractual
- Verifica qué responsabilidad asume el proveedor de IA por errores del sistema en sus condiciones de servicio
- Considera si los contratos con clientes deben mencionar el uso de IA en ciertos procesos
- Actualiza los términos y condiciones de tu servicio si usas IA de forma que afecte a los derechos de los clientes