La nueva responsabilidad por productos de la UE desde diciembre de 2026: qué deben saber comercios online y fabricantes
El 9 de diciembre de 2026, una nueva directiva europea de responsabilidad por productos sustituye la ley alemana de responsabilidad por productos de 1989. Es la primera modernización de fondo en más de 35 años – y no afecta solo a los fabricantes clásicos. Quien importa mercancías de fuera de la UE, quien usa u ofrece fulfilment, quien vende software o dispositivos conectados: para muchos comercios online la situación de responsabilidad cambia de forma notable. Este artículo explica qué es nuevo, a quién afecta y qué debe revisar antes de la fecha límite.

Desde cuándo se aplica qué
La directiva (UE) 2024/2853 entró en vigor el 8 de diciembre de 2024. Los Estados miembros deben transponerla al derecho nacional antes del 9 de diciembre de 2026. En Alemania existe un proyecto del Gobierno (BT-Drs. 21/4297) para sustituir la ley actual; los debates parlamentarios están en curso.
Importante en la práctica: las nuevas reglas se aplican a los productos introducidos en el mercado o puestos en servicio después del 9 de diciembre de 2026. Para los productos anteriores sigue rigiendo el derecho previo. Lo decisivo es, por tanto, el momento en que un producto concreto llega por primera vez al mercado.
Qué cambia
El software y la IA cuentan ahora como producto
La novedad más importante es probablemente la ampliación del concepto de producto. Hasta ahora la responsabilidad por productos se vinculaba a los bienes muebles. En el futuro quedan expresamente incluidos también el software y los sistemas de IA – con independencia de si el software está instalado en un dispositivo, se obtiene de la nube o se opera como software-as-a-service. También entran firmware, sistemas operativos, apps y componentes digitales integrados en dispositivos. Los fabricantes pueden así responder sin culpa por daños causados por productos digitales defectuosos.
El concepto de defecto se centra en la seguridad – incluida la ciberseguridad
Si un producto es defectuoso se medirá en el futuro no tanto por su aptitud para el uso, sino por la seguridad que cabe esperar legítimamente. La novedad es que entre ello cuentan expresamente también los requisitos de ciberseguridad. Un producto puede considerarse defectuoso ya por el hecho de que se explote una brecha de seguridad. Los requisitos de marcos como el Cyber Resilience Act pueden volverse así relevantes para la responsabilidad.
Más actores pueden responder – esto afecta a los comercios directamente
Aquí se vuelve concreto para el comercio. Puede responder aún el fabricante. Si el fabricante tiene su sede fuera de la UE, responde el importador. La novedad es que, además, también el representante autorizado del fabricante en la UE y el prestador de fulfilment pueden ser llamados a responder. Se considera prestador de fulfilment ya quien presta al menos dos servicios como almacenamiento, embalaje o envío. Y, bajo ciertas condiciones, pueden responder también los proveedores y los operadores de plataformas en línea.
En la práctica: quien importa mercancía de un país extracomunitario y la revende puede situarse en primera línea como importador – aunque no haya fabricado el producto. Si no se puede localizar al fabricante, avanza el siguiente actor de la cadena. Si de todos modos se abastece de terceros países, conviene mirar en paralelo los cambios aduaneros que describimos en Arancel de 3 euros desde julio de 2026 – ambos temas afectan al mismo grupo de comerciantes.
La responsabilidad es más difícil de excluir
El proyecto restringe las posibilidades de exoneración. En productos digitales, un fabricante no puede alegar que el defecto surgió solo después de la introducción en el mercado, mientras siga teniendo control sobre el producto – por ejemplo porque aún puede facilitar actualizaciones o parches de seguridad. Mientras exista ese control, la exoneración queda en gran medida excluida.
Carga de la prueba: mucho más ligera para los perjudicados
Hasta ahora la persona perjudicada debía probar el defecto, el daño y el nexo causal. En el futuro se aplican considerables facilidades probatorias. Los demandados deben, a solicitud, divulgar la información relevante para la seguridad si se expone una pretensión plausible. Si una empresa no divulga las pruebas requeridas, puede presumirse un defecto del producto. Una presunción se aplica también si el daño surgió en un uso normal por un fallo evidente. En tecnologías especialmente complejas, un tribunal puede incluso apreciar responsabilidad cuando solo se expone una probabilidad suficiente de defecto o causa. Los secretos empresariales deben protegerse y la divulgación limitarse a la medida proporcionada.
Sin límite de responsabilidad, daños a los datos indemnizables
El anterior tope de responsabilidad y la franquicia se suprimen. Las empresas deben, por tanto, contar en principio con una responsabilidad ilimitada. Además, por primera vez se vuelven indemnizables también la destrucción o alteración de datos privados y los costes de su recuperación. Los riesgos digitales – por ejemplo por una ciberseguridad insuficiente – entran así expresamente entre los daños indemnizables.
A tener en cuenta: la responsabilidad objetiva apunta sobre todo al ámbito del consumidor. Tienen derecho a reclamar las personas físicas; los bienes y datos de uso puramente profesional quedan fuera. Para el ámbito B2B siguen aplicándose además las reglas generales de responsabilidad.
¿A quién afecta en concreto?
Tres constelaciones típicas del comercio online:
Primero, el comerciante que se abastece de electrónica o gadgets directamente en el Lejano Oriente y los vende bajo su propio nombre. Puede responder directamente como importador – una razón más para revisar con cuidado proveedores y documentación de producto.
Segundo, el operador que externaliza su logística o asume él mismo el fulfilment para terceros. Los prestadores de fulfilment entran de nuevo en el círculo de posibles responsables.
Tercero, todo aquel que vende o desarrolla software, apps o productos conectados. Con la ampliación del concepto de producto, el software mismo se convierte en un producto relevante para la responsabilidad – incluido el deber de vigilar las brechas de seguridad. Quien emplea IA debería pensar este nuevo tema de responsabilidad junto con las obligaciones de transparencia que explicamos en Etiquetado de IA desde agosto de 2026.
Qué debería hacer ahora
Cuatro pasos que merecen la pena antes de la fecha límite:
- Aclare su papel en la cadena de suministro. Compruebe si se clasifica como fabricante, importador, representante autorizado, prestador de fulfilment o proveedor – de ello depende su riesgo de responsabilidad.
- Refuerce la documentación de proveedores y productos. Las pruebas de conformidad, la información de seguridad y los justificantes de origen deben estar completos y localizables. En un litigio son decisivos.
- Tome en serio la ciberseguridad y las actualizaciones. Precisamente en productos digitales y conectados, el mantenimiento tras la venta se vuelve relevante para la responsabilidad.
- Revise su cobertura de seguro. Con la eliminación del tope y la ampliación de los tipos de daño, conviene mirar las pólizas de responsabilidad por productos existentes.
Hemos tratado obligaciones relacionadas en artículos propios: sobre seguridad de productos en GPSR 2026: así evitan los vendedores de Etsy y eBay el bloqueo de anuncios, sobre envases en PPWR desde agosto de 2026 y sobre la protección de sus cuentas en Ciberseguridad 2026 para autónomos.
La documentación, su mejor aliada
Un hilo conductor de la reforma es la importancia de una documentación limpia. Las nuevas obligaciones de divulgación y las reglas de presunción giran en el fondo en torno a una pregunta: en un litigio, ¿puede usted rastrear y mostrar de dónde procede un producto, a quién fue, qué información de seguridad se entregó y qué actualizaciones se pusieron a disposición? Quien puede probarlo por completo está mucho mejor situado – quien no, se arriesga a que un defecto se presuma sin más.
Justo aquí ayuda una base de datos ordenada. En PepperTools Cloud Office mantiene los datos de clientes, proveedores y documentos en un solo lugar: los documentos de entrada y salida se vinculan de forma rastreable mediante el flujo documental, de modo que el camino del pedido a la factura se reconstruye sin saltos. Los documentos creados se archivan además de forma inalterable y a prueba de auditoría en almacenamiento de objetos S3. Esto no sustituye una precaución jurídica, pero crea la base rastreable que importará más en las cadenas de origen y suministro en el futuro – y que necesita de todos modos para la contabilidad y la obligación de facturación electrónica.
Preguntas frecuentes (FAQ)
¿Desde cuándo se aplica la nueva responsabilidad por productos? A los productos introducidos en el mercado o puestos en servicio después del 9 de diciembre de 2026. Para los productos más antiguos sigue rigiendo el derecho previo.
¿Respondo como comerciante aunque no fabrique nada? Posible. Si importa de un país extracomunitario, puede responder como importador. También los prestadores de fulfilment y, en ciertas circunstancias, proveedores y operadores de plataformas entran en consideración como responsables.
¿Se aplica de verdad también al software? Sí. El software y los sistemas de IA son en el futuro expresamente productos – con independencia de si están instalados, se obtienen de la nube o se operan como SaaS.
¿Sigue existiendo un límite de responsabilidad? No. El tope anterior y la franquicia se suprimen según el proyecto.
¿Qué cambia en la carga de la prueba? Los perjudicados quedan considerablemente aliviados: mediante las obligaciones de divulgación de las empresas y presunciones legales que pueden suponer un defecto del producto cuando no se divulgan las pruebas o existe un fallo evidente.
Conclusión
La nueva responsabilidad por productos de la UE amplía el círculo de responsables, incluye software e IA, endurece los requisitos de ciberseguridad y facilita a los perjudicados ejercer sus reclamaciones – mientras desaparece el tope de responsabilidad. Para los comercios online la pregunta central no es “si”, sino “en qué papel” están afectados. Quien conoce su posición en la cadena, mantiene su documentación en orden y toma en serio la ciberseguridad puede afrontar la fecha límite de diciembre de 2026 bien preparado.
Fuentes
- EUR-Lex – Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos
- Ministerio Federal de Justicia de Alemania – Ley de modernización del derecho de responsabilidad por productos
- EY Law – Panorámica de la reforma de las nuevas reglas de responsabilidad por productos
Estado: junio de 2026. Este artículo sirve de información general y no sustituye el asesoramiento jurídico. La transposición alemana sigue en tramitación legislativa; los detalles pueden cambiar. Para su caso concreto, consulte a un abogado o abogada.
Gestiona facturas con mas facilidad
Easy Invoice combina presupuestos, facturas y gestion de clientes en la nube.
Probar Easy Invoice