Introducción
La creciente integración de sistemas de inteligencia artificial (IA) en los mercados de consumo está transformando las prácticas comerciales a un ritmo vertiginoso. Algoritmos de recomendación, motores de precios dinámicos, plataformas de publicidad personalizada y modelos de scoring crediticio se han vuelto habituales en la interacción entre empresas y consumidores. Si bien estas herramientas ofrecen eficiencias y personalización sin precedentes, también plantean nuevos riesgos de prácticas discriminatorias y publicidad engañosa que desafían los marcos jurídicos tradicionales de protección al consumidor. La opacidad algorítmica, la capacidad de segmentación extrema y el uso masivo de datos personales pueden dar lugar a tratos desiguales injustificados, manipulación del comportamiento de compra o ocultación de información relevante al usuario. En definitiva, el desequilibrio informativo y de poder entre proveedor y consumidor –ya reconocido en la doctrina clásica del Derecho del Consumo– se ve exacerbado por estas técnicas automatizadas.
Ante este panorama, el legislador y los tribunales comienzan a reaccionar. En España, la normativa se ha ido adaptando con medidas puntuales. Ejemplo de ello es la obligación de informar cuando un precio ha sido personalizado mediante algoritmos (tras la Ley 4/2022 y el RDL 8/2024) o la reciente creación de la Agencia Española de Supervisión de la IA para velar por un uso ético de estos sistemas. A nivel de la Unión Europea se han dictado instrumentos como la Directiva (UE) 2019/2161 (Directiva Ómnibus) –que exige transparencia en precios personalizados–, el Reglamento (UE) 2022/2065 (DSA) -que impone a las grandes plataformas obligaciones sobre dark patterns y publicidad dirigida-, y el incipiente Reglamento (UE) 2024/1689 (Ley de IA) -que establecerá un marco horizontal de gestión de riesgos algorítmicos, con registro europeo de sistemas de alto riesgo-. En el derecho comparado iberoamericano, países como Chile, Brasil o Uruguay han comenzado a incorporar exigencias de transparencia algorítmica en sus normativas sectoriales, mientras que la jurisprudencia anglosajona, especialmente en EEUU, recurre a la litigación y a leyes estatales específicas para exigir responsabilidad a las empresas cuando sus algoritmos lesionan derechos de los consumidores.
Principios jurídicos fundamentales ante las decisiones algorítmicas en consumo
Transparencia algorítmica, no discriminación, buena fe y derecho a la información son principios que conforman el núcleo de la protección jurídica del consumidor y adquieren nuevas dimensiones frente al uso de la IA. Tradicionalmente, el Derecho del Consumo ha exigido que el consumidor preste su consentimiento de manera libre e informada, sobre la base de una información completa, veraz y comprensible proporcionada por el empresario. Como señala la doctrina clásica, desde MINERVINI la “transparencia” implica la plena cognoscibilidad de la oferta y de las condiciones contractuales, es decir, equivale a garantizar al consumidor una información adecuada y suficiente sobre el producto o servicio y sus términos En palabras de MIQUEL GONZÁLEZ, la transparencia exige que el consumidor conozca claramente la carga económica y la contraprestación que asume y el magistrado ORDUÑA MORENO ha enfatizado que el control de transparencia se extiende a la comprensión real por parte del adherente de las consecuencias jurídicas y económicas de todo el proceso contractual predispuesto, desde la
publicidad y la oferta hasta las cláusulas finales. En suma, no basta con que las cláusulas sean gramaticalmente legibles; el consumidor debe entender su alcance.
La jurisprudencia europea ha consagrado este principio. El TJUE ha reiterado que la transparencia no es un formalismo vacío, sino una condición esencial para la validez del consentimiento y la efectividad de la protección al consumidor. En materia de cláusulas abusivas, por ejemplo, exige que éstas sean comprensibles en términos reales, de modo que el consumidor pueda prever las consecuencias económicas y jurídicas de su aceptación. Por analogía, las “condiciones algorítmicas” que determinan precios, ofertas personalizadas o decisiones de admisión/rechazo de un servicio deberían someterse a un estándar similar de comprensibilidad y lealtad. Dicho de otro modo, el usuario tendría derecho a saber -al menos en términos generales- que se está utilizando un algoritmo en su interacción de consumo y bajo qué criterios básicos opera ese algoritmo en la determinación de su precio, oferta o trato dispensado. Estamos ante una evolución de los derechos básicos del consumidor (información, protección de intereses económicos, no discriminación, etc.) hacia el terreno tecnológico: el derecho a una información clara y veraz sobre los procesos automatizados que le afectan, y el derecho a no ser discriminado ni perjudicado por decisiones tomadas exclusivamente por máquinas sin transparencia ni control humano.
En este sentido cobra fuerza el concepto de transparencia algorítmica como principio general emergente. La doctrina reciente subraya que la opacidad de los algoritmos es incompatible con el Estado de Derecho y con la buena fe contractual en relaciones de consumo. La buena fe, consagrada en el artículo 7 de nuestro Código Civil y en la normativa de consumo, impone un estándar de conducta leal por parte del empresario, vedando prácticas que, aun sin infringir una norma concreta, supongan un aprovechamiento indebido de la posición de superioridad o de la confianza del consumidor. Es evidente que ocultar deliberadamente el funcionamiento de un sistema automatizado que afecta al consumidor, como pudiera ser a título ilustrativo un algoritmo que siempre ofrece precios más altos a ciertos clientes “menos rentables” podría considerarse contrario a la buena fe, al vulnerar la expectativa legítima de trato equitativo y transparente. Por su parte, el derecho a la información del consumidor, reconocido en el artículo 8 del Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU), refuerza la exigencia de transparencia: obliga al empresario a suministrar al consumidor información veraz, eficaz y suficiente sobre los bienes o servicios, en términos que faciliten su comprensión. Este deber informativo cobra una nueva dimensión si intervienen algoritmos: incluiría, idealmente, advertir al consumidor de la existencia de decisiones automatizadas que afectarán a la oferta que recibe, los criterios generales empleados e incluso, cuando proceda, las opciones de solicitar intervención humana o explicaciones adicionales, como apunta ya el art. 22 del RGPD a nivel de protección de datos.
Otro pilar fundamental es el principio de igualdad y no discriminación. El artículo 14 de la Constitución Española proclama la igualdad ante la ley y prohíbe toda discriminación por razón, entre otras, de sexo, raza, origen, convicciones u otra condición o circunstancia personal o social. Si bien el art. 14 CE vincula principalmente a los poderes públicos, su espíritu impregna también las relaciones entre particulares, habiendo desarrollado el legislador ordinario instrumentos para prevenir y sancionar la discriminación en campos como el empleo, la vivienda o la prestación de servicios privados. Tras la aprobación de la Ley 15/2022, de 12 de julio, integral para l Igualdad de Trato y No Discriminación, de carácter transversal, que garantiza que nadie sea discriminado -directa ni indirectamente- en el acceso a bienes y servicios por razón de sus características protegidas (raza, género, origen étnico, discapacidad, edad, orientación sexual, situación socioeconómica, etc.). Esto adquiere relevancia en contextos algorítmicos: si un sistema de IA trata de modo sistemáticamente desfavorable a un colectivo (por ejemplo, ofreciendo peores condiciones de crédito a personas de cierto barrio, o mostrando publicidad de menor calidad a un grupo étnico), podría constituir una discriminación indirecta prohibida por la ley. La existencia de un sesgo algorítmico no exime de responsabilidad a la empresa, por el contrario, debe considerarse un fallo en el diseño o entrenamiento del algoritmo que tiene consecuencias jurídicas. El derecho fundamental a la protección de datos personales consagrado en el art. 18.4 CE, también enlaza con este punto, pues muchas discriminaciones algorítmicas surgen del uso masivo de datos personales sin las debidas garantías. El Reglamento General de Protección de Datos (RGPD) prohíbe en su artículo 22 decisiones individuales automatizadas que produzcan efectos jurídicos o afecten significativamente al individuo, salvo ciertas excepciones, y reconoce al afectado el derecho a obtener “información significativa sobre la lógica empleada” cuando se produce una decisión automatizada. Este precepto, junto con los principios de licitud, lealtad y transparencia en el tratamiento de datos enunciados en el art. 5 RGPD, busca impedir que las personas sean sometidas a algoritmos “a ciegas” que puedan perpetuar inequidades. Sin embargo, en la práctica esta “información significativa” raramente llega al consumidor de un modo comprensible o completo lo que evidencia la necesidad de desarrollar más el principio de transparencia algorítmica para hacerlo operativo y efectivo.
Finalmente, cabe resaltar el derecho a la tutela judicial establecida en el art. 24 CE y el correlativo principio de responsabilidad. Un consumidor cuyos derechos o intereses económicos hayan sido afectados por una decisión algorítmica opaca difícilmente podrá impugnarla o reclamar si desconoce cómo y por qué se tomó. Desde el punto de vista procesal, la falta de transparencia puede colocar al consumidor en indefensión, obstaculizando la posibilidad de probar un abuso o arbitrariedad. De ahí que la reciente jurisprudencia española abogue por reconocer un verdadero derecho a la transparencia algorítmica como presupuesto para la defensa de derechos. La Sentencia del Tribunal Supremo, Sala III, núm. 1119/2025, de 17 de septiembre (caso “BOSCO”), si bien referida al ámbito de la Administración Pública, constituye un hito en esta materia. En dicho caso, el Tribunal Supremo afirmó que el derecho de acceso a la información pública previsto en el artículo art. 105 b) CE, se extiende al código fuente de los algoritmos administrativos que adoptan decisiones automatizadas con impacto en los ciudadanos, proclamando que el principio de transparencia es inherente al Estado de Derecho incluso cuando las decisiones se instrumentan mediante software. La sentencia rechazó que la propiedad intelectual del programa o genéricas razones de seguridad puedan erigirse en límites absolutos al derecho a saber cómo funciona un algoritmo público, máxime cuando afecta derechos sociales de la ciudadanía. Si bien este precedente se dicta en sede de administración pública, su fundamento – el derecho a conocer las reglas que determinan decisiones automatizadas que nos conciernen- tiene un claro valor transversal. El propio Supremo alude al “carácter constitucional” de ese derecho a la transparencia algorítmica, elevándolo a principio general que irradia también al sector privado y al derecho de consumo. En efecto, si el Estado de Derecho exige controlar los algoritmos públicos por transparencia y responsabilidad o rendición de cuentas, con igual o mayor razón debe velarse porque los algoritmos utilizados por empresas en sus tratos con consumidores no operen en “zonas oscuras” fuera de todo escrutinio.
En síntesis, los principios doctrinales de transparencia, información, buena fe e igualdad proporcionan el armazón conceptual para abordar las prácticas algorítmicas en el consumo. Su desarrollo dogmático lleva a postular un deber de transparencia algorítmica a cargo del proveedor (informar de la existencia y criterios generales del algoritmo), el derecho del consumidor a la explicabilidad de las decisiones automatizadas que le afecten, y la prohibición de discriminaciones arbitrarias derivadas de procesos automatizados opacos.
Riesgos emergentes en las prácticas de consumo basadas en IA
-
Fijación dinámica de precios y discriminación algorítmica
Una de las aplicaciones más extendidas de la IA en el comercio electrónico es la personalización dinámica de precios. Mediante algoritmos de machine learning, los comerciantes ajustan en tiempo real el precio de productos o servicios en función de multitud de datos: nivel de demanda, hora del día, stock disponible, precios de competidores y, de forma más controvertida, características o comportamientos del propio usuario (su perfil de navegación, historial de compras, ubicación geográfica, dispositivo utilizado, etc.). Esta práctica, conocida como discriminación de precios de primer grado o pricing algorítmico, persigue maximizar el beneficio extrayendo del consumidor el máximo que estaría dispuesto a pagar. Si bien la variación de precios según oferta y demanda no es en sí misma nueva, la novedad radica en que ahora son algoritmos los que realizan esos análisis de forma veloz y opaca, incluso incorporando datos personales del consumidor. Así, dos consumidores visitando la misma tienda online podrían recibir precios distintos para un mismo producto, en el mismo momento, en función de que el sistema infiere, por ejemplo, que uno tiene mayor capacidad de pago que el otro. Se ha documentado que esta falta de transparencia puede permitir incrementos significativos en los precios. Por ejemplo, la plataforma Ticketmaster –una de las pocas que reconocen abiertamente usar precios dinámicos– registró un aumento promedio del 37% en el precio de sus entradas en un año tras introducir dicha política. Para el consumidor, resulta prácticamente imposible saber si el precio que se le muestra está personalizado y, de ser así, qué factores de su perfil han motivado ese precio. La ausencia de referencias comparativas dificulta enormemente su capacidad de decisión: no sabe si podría conseguir una oferta mejor modificando su comportamiento (por ejemplo, usando otro dispositivo o comprando en otro momento), ni si el precio es justo o está artificialmente inflado.
El riesgo jurídico evidente es la discriminación económica injustificada. La doctrina ha empezado a calificar este fenómeno como discriminación algorítmica en precios, planteando complejas cuestiones sobre su licitud. En principio, la personalización de precios no está prohibida per se. Ofrecer descuentos personalizados a ciertos clientes (p.ej., habituales de un negocio) puede ser legítimo y parte de la libre estrategia comercial. Sin embargo, cobrar sistemáticamente un precio mayor a un determinado segmento de consumidores con base en datos personales o indicadores encubiertos de su nivel socioeconómico puede suponer una explotación contraria a la equidad. Imagínese un algoritmo que, para fijar precios, tiene en cuenta la zona de residencia del usuario, el dispositivo desde el que accede o su historial de compras; puede inferir así su poder adquisitivo aproximado. Si a los consumidores de “perfil más pudiente” siempre se les muestran precios más altos que a otros, estaríamos ante una discriminación por motivos económicos que, de hacerse de forma oculta, vulnera el principio de trato equitativo. El principio general enunciado en el artículo 82 TRLGDCU prohíbe las cláusulas abusivas que supongan un desequilibrio importante entre los derechos y obligaciones de las partes, contrario a la buena fe, lo que cabe entender, a nuestro criterio, como trato desigual no justificado objetivamente. Por analogía, una segmentación oculta de clientes para cobrar más a unos que a otros podría ser considerada abusiva o desleal. Además, la Constitución Española, en su art. 14, ampara la igualdad “sin que pueda prevalecer discriminación por circunstancias personales o sociales”; si bien no se refiere a precios comerciales, ilustra la sensibilidad de nuestro ordenamiento frente a tratos diferenciados arbitrarios.
Consciente de estos peligros, el Derecho de la UE dio un primer paso con la citada Directiva (UE) 2019/2161 (Ómnibus), que introdujo la obligación de informar al consumidor si el precio que se le ofrece ha sido personalizado mediante técnicas automatizadas. Esta exigencia se trasplantó al ordenamiento español mediante la Ley 4/2022, de 25 de febrero, de protección de los consumidores y usuarios, frente a situaciones de vulnerabilidad social y económica, y, más recientemente por el Real Decreto-ley 8/2024, de 28 de noviembre, que modificó el art. 20 TRLGDCU para incorporar dicha obligación (actual art. 20.1 letra c) TRLGDCU). En virtud de esta norma, en toda contratación a distancia o fuera de establecimiento, el empresario debe facilitar al consumidor, antes de la compra, información clara y comprensible sobre el precio cuando éste haya sido personalizado sobre la base de una decisión automatizada. Además, el RDL 8/2024, de 28 de noviembre, añadió una importante salvaguarda: se prohíbe que la personalización del precio conlleve aumentos del precio final cuando concurra un incremento de la demanda en contextos de urgencia, riesgo o necesidad de la persona consumidora –por ejemplo, en situaciones de emergencia civil–, a fin de evitar prácticas de especulación algorítmica ante catástrofes o crisis. Esta prohibición de price gouging algorítmico refleja un principio de solidaridad y orden público en consumo.
La obligación informativa sobre precios personalizados es bienvenida, pero resulta a todas luces insuficiente para proteger al consumidor de abusos en este terreno. Decirle al comprador “este precio ha sido ajustado mediante algoritmos según sus datos” apenas le alerta, pero no le otorga herramientas efectivas: la mayoría de los consumidores difícilmente podrán evaluar si ese precio personalizado es razonable o si está inflado. La asimetría informativa y de poder subyacente permanece. El empresario digital conoce muchísimos detalles del consumidor gracias a sus datos, mientras que el consumidor ignora los parámetros y estrategias que el algoritmo utiliza en la fijación del precio. En términos prácticos, el consumidor sigue sin poder comparar precios fácilmente (pues quizá otra persona ve otro precio distinto) y tampoco puede negociar. Por ello, diversos autores proponen ir más allá: GROCHOWSKI y otros hablan de la necesidad de equilibrar esta “carrera armamentista digital” mediante herramientas a favor del consumidor y reglas más claras sobre qué conductas de discriminación algorítmica son inadmisibles. Por ejemplo, se podría prohibir expresamente personalizar precios en función de categorías especialmente sensibles o potencialmente discriminatorias (género, etnia, nivel educativo, etc.), o someter a autorización previa ciertos algoritmos de pricing. Hasta ahora, la UE no ha optado por prohibiciones de este tipo, confiando más en la transparencia obligatoria y en la supervisión ex post vía autoridades de consumo o competencia.
Un último riesgo asociado es la colusión algorítmica en perjuicio de los consumidores. Algoritmos de fijación de precios implementados por distintas empresas competidoras podrían, sin mediar acuerdo humano, aprender a coordinar sus estrategias y mantener artificialmente altos los precios (fenómeno de tacit collusion). Se han planteado escenarios donde la propia lógica de maximización de beneficios de algoritmos de empresas diferentes los lleva a resultados cooperativos equivalentes a un cártel, dificultando su persecución legal pues no existe una “concertación” humana tradicional. Si bien esto pertenece más al ámbito del Derecho de la Competencia, sus efectos recaen directamente sobre los consumidores. Las autoridades antitrust están estudiando cómo afrontar estos supuestos, pero alertamos aquí que la fijación dinámica de precios mediante IA desafía la noción clásica de mercado transparente, introduciendo opacidad y discriminación que pueden lesionar el interés colectivo en acceder a bienes en condiciones equitativas. La cooperación entre las agencias de defensa de la competencia y de protección al consumidor será esencial para detectar y frenar estas prácticas si ocurren.
En resumen, la personalización algorítmica de precios, sin adecuados contrapesos, puede derivar en discriminación económica y falta de transparencia contrarias a los principios de nuestro ordenamiento (igualdad, información, buena fe). La respuesta legal inicial ha sido obligar a informar de la personalización, pero es previsible que en el futuro se refuerce la regulación para garantizar que la personalización no degenere en abuso, por ejemplo, mediante auditorías algorítmicas obligatorias que verifiquen la ausencia de sesgos ilícitos en la fijación de precios o límites porcentuales a ciertas subidas personalizadas. Asimismo, herramientas colectivas (acciones de cesación, acciones colectivas de resarcimiento) serán fundamentales: solo a través de litigios colectivos podría llegar a probarse un patrón general de discriminación de precios, dada la invisibilidad de estas prácticas para el consumidor individual.
-
Patrones oscuros y manipulación de la conducta mediante IA
Los “patrones oscuros” (dark patterns) son técnicas de diseño de interfaces orientadas a manipular las decisiones del usuario, induciéndole a realizar acciones no deseadas o a consentir en prácticas que en otras circunstancias no aceptaría. Antes de la era de la IA, ya eran conocidas tácticas como: esconder la opción de darse de baja de un servicio en un menú recóndito, mostrar con preponderancia el botón de “aceptar” pero no el de “rechazar” suscripciones, utilizar contadores de tiempo falsos para generar sensación de urgencia, o formular mensajes confusos para recabar un consentimiento. Estas prácticas distorsionan la voluntad del consumidor y se consideran generalmente prácticas comerciales desleales, por engañosas o agresivas, bajo la Directiva 2005/29/CE de Prácticas Comerciales Desleales y su transposición en la Ley 3/1991, de Competencia Desleal. Pues bien, la irrupción de la IA potencia exponencialmente el alcance de los patrones oscuros, permitiendo que se personalicen dinámicamente según las características de cada consumidor Un algoritmo puede identificar las vulnerabilidades o sesgos cognitivos de un usuario individual -por ejemplo, que tiende a comprar de noche por impulso, o que le cuesta encontrar ciertas opciones en la web- y adaptar la interfaz en consecuencia para lograr el efecto deseado (una venta adicional, una suscripción renovada, etc.). Esto multiplica la eficacia dañina de los patrones oscuros, porque ya no son “una talla única” para todos los usuarios, sino que se optimizan para explotar las debilidades de cada uno.
Imaginemos un sistema de IA que monitorea el comportamiento del usuario en tiempo real: detecta que el consumidor navega indeciso, abandona productos en el carrito, vuelve en horarios extraños… El algoritmo podría decidir mostrarle ofertas “irresistibles” justamente en sus momentos de mayor vulnerabilidad (ej. a altas horas de la noche cuando tiende a compras impulsivas, o tras varios intentos fallidos de encontrar algo). También podría desplegar ventanas emergentes confusas en el momento exacto en que el usuario está por rechazar cookies, para que acabe aceptándolas por cansancio.
Otra faceta es la gamificación adictiva: ciertos sitios emplean IA para introducir elementos de juego o recompensas variables (pensemos en los scrolls infinitos o las notificaciones intermitentes) que buscan prolongar el tiempo de uso o lograr que el usuario facilite más datos personales. Los reguladores han mostrado preocupación porque tales mecanismos explotan sesgos psicológicos y pueden fomentar conductas adictivas, especialmente en usuarios vulnerables como los menores de edad. España, por ejemplo, tramita una ley de protección de los menores en entornos digitales que impondrá restricciones a diseños manipulativos en videojuegos (loot boxes, etc.).
Desde el punto de vista jurídico, los patrones oscuros individualizados suponen un engaño sistemático y masivo. La dificultad probatoria es considerable, pues cada consumidor solo percibe su propia experiencia. Sin embargo, si se logra evidenciar (por investigación de autoridades o por peritaje técnico) que una empresa programó deliberadamente su sistema para entorpecer las cancelaciones o para dirigir a todos los usuarios de cierto perfil hacia compras no deseadas, estaríamos ante una infracción de la normativa de consumo. En la UE, la futura normativa a la que se refiere la doctrina como Digital Fairness Act (DFA) buscaría combatir expresamente estos diseños engañosos. De hecho, se prevé que se consideren prácticas prohibidas los dark patterns como opciones de exclusión ocultas o flujos de consentimiento confusos La Agencia Española de Protección de Datos (AEPD) publicó en 2024 un informe donde analiza cómo ciertos diseños de interfaz y algoritmos manipulan a los usuarios para prolongar el uso de la plataforma o recabar más datos, concluyendo que ello vulnera los principios de lealtad y transparencia del RGPD e incluso invalida el consentimiento obtenido de esa forma. La AEPD advierte que “el consentimiento obtenido mediante un diseño manipulativo no puede considerarse libre”, subrayando la intersección entre protección de datos y protección del consumidor en estos supuestos.
Un ejemplo ilustrativo de práctica desleal automatizada lo ofrece el uso de chatbots o asistentes virtuales en la atención al cliente. Si un chatbot entrenado con IA está diseñado para resaltar solo las ventajas de un producto complejo y omitir sus riesgos o costes, podría inducir a error a multitud de consumidores simultáneamente. Pensemos en un bot bancario que promociona un crédito instantáneo mencionando su rapidez y conveniencia, pero omite deliberadamente informar de las altas comisiones o intereses asociados. Cada consumidor individual tal vez no advierta la manipulación, pero en conjunto la programación centralizada del bot está provocando un engaño masivo sistemático. A diferencia de un agente humano que podría desviarse del guion, aquí la responsabilidad por el mensaje engañoso es directa del proveedor que diseñó el sistema. Es irrelevante que “no fue una persona, sino una IA” quien transmitió la información incompleta: la empresa responde igualmente por las prácticas comerciales desleales cometidas en su nombre. Este principio de responsabilidad del empresario por los actos de sus herramientas de IA debe mantenerse claro, para evitar vacíos de tutela.
En suma, los patrones oscuros potenciados por IA y la manipulación personalizada de la conducta del consumidor constituyen una nueva generación de prácticas comerciales engañosas o agresivas, prohibidas por nuestro Derecho por atentar contra la libertad de elección y la dignidad del consumidor. La protección frente a ellas pasa por varias vías: (i) Prohibiciones explícitas en la legislación de consumo digital (como la anunciada norma europea DFA), que tipifiquen estas tácticas; (ii) Supervisión proactiva por parte de autoridades (consumo, protección de datos, competencia) mediante herramientas de detección de diseños opacos; (iii) Acciones colectivas de consumidores que puedan agrupar reclamaciones de múltiples afectados para revelar el patrón común; (iv) Educación e información para que los usuarios aprendan a reconocer y eludir, en la medida de lo posible, estas trampas digitales. La regulación deberá fomentar este “contra-poder” tecnológico para equilibrar la situación, y lograr un empoderamiento digital simétrico del consumidor.
-
Publicidad dirigida engañosa y desinformación automatizada
La publicidad online dirigida por IA merece un análisis separado por su omnipresencia e influencia sutil. Las plataformas digitales recopilan enormes cantidades de datos de usuarios para segmentar la publicidad: los algoritmos deciden qué anuncio mostrar a quién, en qué momento y formato, optimizando la probabilidad de que el usuario clickee o realice la compra. Esta microsegmentación tiene ventajas en cuanto a relevancia de los anuncios, pero también entraña riesgos de discriminación y engaño. Un primer aspecto es la opacidad en la identificación de la publicidad: en redes sociales o buscadores, los anuncios aparecen integrados en el flujo de contenidos y a veces no están claramente marcados como tales, especialmente cuando provienen de influencers o creadores de contenido que promocionan productos sin aclararlo. Tanto la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual como la conocida Directiva de Servicios de Comunicación Audiovisual exigen que la publicidad sea identificable y que los influencers indiquen cuándo un contenido es pagado. La IA, sin embargo, puede generar contenido publicitario cada vez más indistinguible del contenido “orgánico”, por ejemplo, mediante deepfakes o textos generados que parecen recomendaciones espontáneas. Esto puede calificarse como publicidad encubierta, claramente engañosa y prohibida toda vez que el art. 26.2 LCD prohíbe ocultar la intención comercial de una práctica. La UE, consciente de ello, está reforzando la transparencia en el marketing de influencers en su agenda de Equidad Digital.
Otro frente es la personalización del mensaje publicitario en sí. La IA no solo selecciona qué anuncio mostrar, sino potencialmente adapta el contenido del anuncio a las características del individuo. Por ejemplo, un sistema podría mostrar a un consumidor identificado como más sensible al precio una versión del anuncio destacando descuentos, mientras que a otro enfocado en la calidad le muestra una versión enfatizando prestaciones, y a un tercero le resalta que el producto es popular entre su grupo de edad. En principio, adaptar el mensaje en función del perfil no es ilícito. El problema surge cuando la personalización implica que a ciertos consumidores se les oculta información relevante. Retomando el caso del crédito bancario: un algoritmo publicitario podría decidir que al segmento “jóvenes de bajos ingresos” no les menciona las comisiones para no ahuyentarlos, mientras que a “adultos con mayor formación financiera” sí se les muestra la TAE completa. Esto sería una omisión engañosa hacia el primer segmento, pues se les priva de un dato esencial para tomar una decisión informada (art. 7 de la Directiva 2005/29/CE prohíbe las omisiones de información sustancial que induzcan a error). Detectar estas diferencias de trato es muy difícil para el regulador, pero no imposible: mediante web scraping y perfiles simulados se podrían auditar las distintas versiones de anuncios que un sistema genera.
Asimismo, la IA facilita la difusión automatizada de desinformación comercial a gran escala. Un mismo anunciante, mediante miles de cuentas o bots, puede propagar mensajes falsos o engañosos sobre un producto (por ejemplo, reseñas ficticias, testimonios inventados, calumnias sobre competidores) generados por algoritmos de lenguaje natural. Las opiniones falsas de consumidores en portales (fake reviews) son un problema reconocido. Es por ello que la Directiva Ómnibus añadió como práctica desleal sancionable el fabricar o difundir reseñas falsas o manipular las verdaderas en línea. Plataformas como Amazon o Tripadvisor luchan continuamente contra ejércitos de reseñas generadas artificialmente. La IA incrementa la sofisticación de estas reseñas, haciéndolas más creíbles y difíciles de filtrar. Es crucial dotar a las autoridades de consumo de herramientas para monitorear y penalizar estas prácticas, que vulneran el derecho a la información veraz.
No podemos dejar de mencionar el riesgo de discriminación publicitaria. En 2019, trascendió que ciertas plataformas permitían a los anunciantes segmentar anuncios de vivienda o empleo excluyendo a colectivos protegidos (por ejemplo, mostrar ofertas de empleo solo a varones jóvenes, o anuncios de vivienda solo a usuarios de cierta etnia o código postal). Estas prácticas chocan con leyes antidiscriminatorias (v.gr., en EE.UU. violaban la Fair Housing Act y la Equal Employment Opportunity). Facebook (Meta) fue investigada por ello y debió ajustar sus algoritmos para evitar bias discriminatorio en publicidad sensible. En la UE, la DSA aborda parcialmente esta cuestión al prohibir la publicidad dirigida basada en datos personales sensibles (origen étnico, religión, orientación sexual, salud, etc.) y cualquier publicidad dirigida a menores basada en perfilado (Arts. 26 y 28 DSA). España deberá velar por el cumplimiento de estas prohibiciones, lo cual implica auditar algoritmos publicitarios.
Por último, está la cuestión de la responsabilidad editorial algorítmica: ¿en qué medida plataformas que ordenan y priorizan contenidos (incluida la publicidad) son responsables de que en esos espacios se cuele publicidad ilícita o desinformación? El DSA establece que las plataformas deberán ser más transparentes en cuanto a sus sistemas de recomendación y publicidad, publicando informes de transparencia regulares y permitiendo escrutinio externo (art. 39 DSA). Sin embargo, no crea un régimen de responsabilidad estricta por contenidos de terceros. Para proteger al consumidor, sería deseable fortalecer la corresponsabilidad de las plataformas en los casos de publicidad manifiestamente ilícita difundida mediante sus algoritmos, exigiendo reacción rápida para retirarla.
En conclusión, la publicidad engañosa asistida por IA es un campo en evolución donde deben combinarse las herramientas clásicas (normativa de publicidad, competencia desleal, sanciones administrativas) con nuevas exigencias de transparencia algorítmica y de datos. El consumidor tiene derecho a saber por qué ve ciertos anuncios y a no ser objeto de estrategias comerciales opacas o discriminatorias. A medida que los algoritmos generativos, capaces de producir textos, imágenes o videos persuasivos, se vuelvan moneda corriente en el marketing, habrá que revisar si las definiciones legales de “publicidad ilícita” abarcan adecuadamente estas modalidades y reforzar la cooperación internacional, pues el ecosistema publicitario digital trasciende fronteras.
-
Evaluación crediticia y toma de decisiones automatizadas en servicios financieros
El uso de IA para evaluar la solvencia de consumidores, lo que comúnmente llamamos credit scoring o puntaje crediticio, es cada vez más habitual en banca, fintech, seguros y otros servicios. Mediante algoritmos, las entidades analizan un cúmulo de datos (historial crediticio, ingresos, propiedades, estudios, e incluso comportamiento en redes sociales o smartphone) para decidir si otorgan un préstamo, cuál será el límite de crédito, qué prima de seguro cobrar, etc.
Estas decisiones automatizadas pueden afectar profundamente la vida de las personas: determinan su acceso a financiación, vivienda, emprendimiento, etc. El riesgo principal es que los modelos de IA reproduzcan o profundicen sesgos históricamente arraigados, penalizando a colectivos vulnerables o marginados. Por ejemplo, si un algoritmo considera como variable el código postal del solicitante, puede estar negando créditos sistemáticamente a residentes de barrios humildes, donde quizá predominan minorías étnicas, reproduciendo así la discriminación socioeconómica previa. Algo similar ocurrió con la ya mencionada tarjeta de crédito Apple Card en EE.UU.: varias denuncias (incluida la de un programador famoso, David Heinemeier) reportaron que el algoritmo de Apple/Goldman Sachs asignaba límites de crédito mucho menores a las mujeres que a los hombres con perfiles financieros similares (en un caso, a una mujer le dieron 1/10 del crédito de su marido a pesar de compartir bienes) Aunque la empresa negó discriminar intencionalmente, el caso ejemplificó cómo un scoring opaco podía arrojar resultados sesgados de modo sexista, desencadenando una investigación del regulador financiero neoyorquino.
En España, la concesión de créditos al consumo se rige, entre otras, por la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo, que impone al prestamista evaluar la solvencia del consumidor antes de otorgar el préstamo, basándose en información suficiente. No se detallan los métodos, pero implícitamente se asume que deben ser fiables y no arbitrarios. Si un banco utilizara un algoritmo notoriamente sesgado, podría considerarse que incumple su deber de evaluación responsable e incurre en prácticas discriminatorias. Además, el artículo 17 de la Ley 15/2022, de 12 de julio, de Igualdad de Trato y no discriminación, prohíbe la denegación injustificada de servicios financieros por razones discriminatorias. A nivel europeo, el futuro Reglamento de IA incluye entre los sistemas de “alto riesgo” aquellos destinados a evaluar la solvencia crediticia de personas físicas (Anexo III del AI Act). Esto significa que, una vez aplicable la norma, los algoritmos de scoring crediticio deberán cumplir requisitos estrictos: evaluación de riesgos previos, documentación técnica extensa, medidas para garantizar calidad de datos (evitar sesgos), trazabilidad, supervisión humana, etc., y deberán inscribirse en la base de datos pública de sistemas de alto riesgo de la UE. Esta es una respuesta regulatoria importante, reconociendo el potencial daño social de un scoring injusto.
Otra preocupación es la falta de explicaciones individuales al consumidor afectado. Muchas veces, quien ve rechazada su solicitud de crédito o recibe un precio de seguro muy alto, apenas recibe un mensaje genérico: “su solicitud no cumple los criterios” o “su puntuación crediticia es insuficiente”. Según el RGPD (art. 15 y 22) y la LOPDGDD española, el individuo tiene derecho, cuando se toma una decisión únicamente automatizada que le afecta significativamente, a ser informado de ello y a solicitar la intervención humana y una explicación del resultado. Sin embargo, en la práctica las entidades suelen escudarse en que sus modelos son complejos o en secreto comercial para no dar explicaciones detalladas. Esto deja al consumidor indefenso e incapaz de mejorar o impugnar la decisión, salvo que inicie una acción legal. La AEPD ha enfatizado que en la toma de decisiones sin intervención humana hay que extremar cautelas para no vulnerar el derecho fundamental a la igualdad y no discriminación. Si, por ejemplo, se descubriera que un algoritmo de seguros cobra primas más altas a personas de cierta nacionalidad, la discriminación sería flagrante (y contraria a la Directiva 2004/113/CE, que prohíbe discriminación por género en seguros, y similares). Aun cuando los criterios no sean abiertamente sospechosos, los efectos pueden ser discriminatorios indirectos y ello requiere métodos de auditoría: análisis de impacto algorítmico, pruebas con datos sintéticos, etc.
Además del crédito y seguro, los algoritmos de scoring se usan en procesos de selección de personal (decidiendo qué candidatos filtrar) o en la tarificación de servicios personalizados. Un caso notorio de discriminación algorítmica ocurrió con el algoritmo de reparto de Deliveroo en Italia. En el supuesto resuelto por la Sentencia del Tribunal Ordinario de Bolonia de 31 de diciembre de 2020, se dictaminó que era discriminatorio el sistema que penalizaba a los repartidores que se ausentaban por enfermedad, ya que les asignaba peores franjas horarias luego, perjudicando especialmente a quienes por salud u otras razones no podían siempre estar disponibles. Aunque es un caso laboral, refleja cómo una métrica aparentemente neutral (no entregar pedidos = menos puntuación) acababa discriminando a ciertos trabajadores.
En conclusión, en el ámbito financiero y de servicios esenciales, la IA plantea el riesgo de “perfilamientos” excluyentes que pueden atentar contra el principio de igualdad de oportunidades. La respuesta legal viene por varias vías:
(i) Antidiscriminación: las leyes de igualdad de trato permiten impugnar decisiones discriminatorias, sea que las tome un humano o una máquina (lo difícil es probarlo sin transparencia); (ii) Protección del consumidor: si un criterio algorítmico es abusivo o no justificado, podría argumentarse su nulidad o la responsabilidad de la empresa (p. ej., si un banco deniega sistemáticamente microcréditos en un barrio sin razón objetiva, podría considerarse una denegación de servicio contraria a la buena fe y al 51 CE, dada la importancia social del crédito básico); (iii) Protección de datos: el RGPD ofrece herramientas para cuestionar estas decisiones y exigir explicaciones o intervención humana; (iv) Regulación sectorial (financiera, IA): imponiendo estándares técnicos y registro (como hará el AI Act). Todas ellas deben coordinarse para que el consumidor no se pierda en un laberinto jurídico a la hora de defenderse.
Es interesante destacar el papel de la litigación privada en países como EEUU. Ante la ausencia de regulación previa, han sido las demandas colectivas las que han sacado a la luz sesgos ocultos. Ya mencionamos Apple Card. Otro ejemplo es el caso Facebook/Meta y el reconocimiento facial. Illinois, con su Ley BIPA, permitió a los usuarios demandar a Facebook por usar algoritmos de identificación facial en fotos sin consentimiento, logrando una indemnización histórica y la eliminación de la funcionalidad. Estas acciones obligan a las empresas a rendir cuentas y, durante el proceso de discovery, a revelar información sobre cómo funcionan sus algoritmos. Aunque nuestro sistema continental europeo no tiene discovery amplio ni class actions de estilo estadounidense (si bien la Directiva 2020/1828 de acciones de representación reforzará esto), es posible que veamos litigios estratégicos para poner a prueba la opacidad algorítmica en consumo. Por ejemplo, una asociación podría demandar a una gran tienda online por discriminación de precios a colectivos vulnerables, buscando que el juez ordene desvelar y auditar el algoritmo. Esta sería una vía interesante para asentar principios jurisprudenciales, complementaria a la regulación.
Tras analizar estos riesgos (precios, patrones oscuros, publicidad engañosa y scoring), queda patente que todos comparten un elemento común: la opacidad. El consumidor sufre una posición de inferioridad radical cuando las decisiones las toma una máquina cuyos criterios desconoce. Nos enfrentamos a una “caja negra” en la relación de consumo, que erosiona la autonomía del consumidor, la igualdad en el mercado y la confianza en el sistema. De ahí la insistencia en la transparencia como antídoto principal, aunque no el único.
Marco normativo español: tutela del consumidor ante algoritmos discriminatorios y engañosos
-
Fundamentos constitucionales y principios rectores
La Constitución Española de 1978 sienta las bases de la protección al consumidor, incluso frente a los desafíos tecnológicos actuales. En el artículo 51 CE, inserto en los principios rectores de la política social y económica, se establece que “los poderes públicos garantizarán la defensa de los consumidores y usuarios, protegiendo, mediante procedimientos eficaces, la seguridad, la salud y los legítimos intereses económicos de los mismos. Asimismo, promoverán su información y educación…”. Este mandato impone al legislador y a los poderes ejecutivos un deber de tutela especial de la parte débil en el mercado, que en el contexto digital exige actuar contra nuevos peligros como la discriminación algorítmica o la manipulación de la información. La referencia expresa a la información y educación de los consumidores avala todas aquellas medidas orientadas a la transparencia. Es difícil imaginar hoy un “consumo responsable y transparente” (como dice el art. 51 CE) sin que el consumidor pueda saber cuándo interviene un algoritmo en las ofertas que recibe.
El artículo 14 CE, ya citado, consagra la igualdad y prohíbe la discriminación. Aunque su eficacia directa en relaciones entre particulares es limitada, ha servido de inspiración al desarrollo legislativo, como la Ley 15/2022 de Igualdad de Trato. Algoritmos opacos que tratan de modo desigual a personas en situaciones equivalentes (v.gr. ofrecer sistemáticamente condiciones menos favorables a ciertos colectivos, sin justificación legítima) contrarían este principio de igualdad. Además, ciertas discriminaciones en el ámbito privado pueden vulnerar derechos fundamentales interpuestos: por ejemplo, un servicio online que vetase a usuarios por su ideología o religión podría afectar el art. 16 CE (libertad ideológica) en conexión con el art. 14 CE, lo que no es baladí en tiempos en que la IA podría filtrar clientes en función de perfiles psicológicos o creencias deducidas.
El artículo 18.4 CE reconoce el derecho fundamental a la protección de datos personales, mandando que la ley limite el uso de la informática para garantizar el honor e intimidad de las personas. Esta cláusula, adelantada a su tiempo en 1978, está en la génesis de la normativa de protección de datos (LO 3/2018, RGPD) que hoy brinda derechos específicos frente a las decisiones automatizadas. Cuando un algoritmo utiliza big data personal para tomar decisiones de consumo, se activa esta esfera jurídica: la opacidad en el tratamiento de datos puede implicar violación de la privacidad y de la autodeterminación informativa. Por ejemplo, el caso SyRI en Países Bajos, resuelto por Sentencia Tribunal Distrito de La Haya, de 5 de febrero de 2020, demostró que la mera acumulación masiva de datos de ciudadanos en un sistema opaco para predecir fraude social vulneraba la privacidad y no superaba un test de proporcionalidad En España, la Agencia de Protección de Datos ha publicado la Guía de Adecuación al RGPD de tratamientos que incorporan IA (2020), subrayando la necesidad de transparencia, evaluación de impacto y no discriminación en dichos tratamientos.
El artículo 20 CE, que garantiza el derecho a recibir información veraz por medios de difusión, también podría invocarse en este debate. Aunque pensado para la información pública y el papel de los medios, en un sentido amplio conecta con la expectativa ciudadana de no ser engañado o manipulado en el entorno informativo, lo que hoy incluye las plataformas digitales y la publicidad segmentada. Una publicidad engañosa difundida mediante algoritmos, o una red social cuyo algoritmo promueva sistemáticamente contenidos falsos patrocinados, chocaría con la filosofía del art. 20 CE en cuanto a la veracidad informativa.
Por último, el artículo 24 CE ha cobrado relevancia en la jurisprudencia sobre algoritmos. Como vimos, la STS 1119/2025 lo mencionó. Si las decisiones que afectan a un ciudadano (consumidor, en su caso) son inescrutables, difícilmente podrá este ejercer su derecho de defensa ante los tribunales. La tutela judicial exige no solo jueces y procedimientos accesibles, sino también que el ciudadano conozca los hechos y motivos a impugnar. Un algoritmo secreto socava este derecho, generando indefensión. De ahí se deriva un mandato constitucional implícito de transparencia: garantizar que ninguna decisión significativa que afecte a un consumidor sea adoptada mediante “algoritmos inescrutables o no supervisados”.
En conclusión, el bloque de constitucionalidad español ofrece un respaldo sólido para exigir transparencia y equidad en el uso de IA en consumo. Principios como la protección de intereses económicos del consumidor, la información, la igualdad y la privacidad forman un haz normativo que legitima sobradamente medidas legislativas innovadoras (como un registro de algoritmos, obligaciones de explicación, etc.) y el accionar riguroso de las autoridades en este ámbito.
- Legislación de consumo y civil: TRLGDCU, normas contra prácticas desleales y cláusulas abusivas
El Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU), aprobado por RDL 1/2007, es la norma central de protección al consumidor en España. En sus disposiciones generales (arts. 8-13) reconoce una serie de derechos básicos de los consumidores, varios de los cuales se ven concernidos por el uso de la IA. El artículo 8 TRLGDCU proclama el derecho de los consumidores “a la protección de sus legítimos intereses económicos y sociales; a la reparación de los daños; a la información correcta sobre los diferentes productos o servicios y la educación y divulgación para facilitar el conocimiento sobre su adecuado uso, consumo o disfrute”, así como “a la protección contra las prácticas comerciales desleales y la inclusión de cláusulas abusivas en los contratos”. Esta lista, casi programática, abarca desde la transparencia informativa hasta la equidad contractual, pasando por la seguridad frente a fraudes. Aplicada al contexto digital: intereses económicos del consumidor pueden verse afectados si un algoritmo le cobra de más injustificadamente; la información correcta se vulnera con sistemas que engañan o ocultan datos; las prácticas desleales incluyen los dark patterns y publicidad engañosa algorítmica; y cláusulas abusivas podría englobar condiciones impuestas algorítmicamente sin conocimiento del usuario.
El TRLGDCU, al ser de 2007, que ya es un compendio no innovador que encuentra su génesis en la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios, no menciona expresamente algoritmos, pero sus principios permiten interpretaciones dinámicas. El artículo 20 TRLGDCU y siguientes regulan la información precontractual. Tras las reformas de 2022- 2024, en particular, el art. 20.1, letra c) TRLGDCU obliga a informar, antes de la contratación, “cuando el precio se haya personalizado sobre la base de una decisión automatizada, previa al contrato”. Esta previsión, ya analizada, es de las pocas menciones explícitas a algoritmos en la ley de consumo. Su cumplimiento será esencial: las empresas deben incluir en sus páginas web, ofertas o condiciones generales un aviso claro si aplican precios dinámicos personalizados. Su infracción podría acarrear sanciones como infracción en materia de defensa de consumidores, con multas administrativas (que tras la Directiva Ómnibus pueden llegar hasta el 4% de la facturación anual del infractor en casos de infracciones comunes a varios países). Además, el RDL 8/2024 incorporó al art. 20 TRLGDCU la prohibición de subir precios en contextos de emergencia que mencionamos, reforzando la idea de que el lucro algorítmico no puede sobrepasar ciertos límites de ética y solidaridad.
Respecto a las cláusulas abusivas, la contratación masiva mediante plataformas digitales a menudo implica contratos de adhesión predispuestos por las empresas (terms of service, políticas de uso, etc.). Si bien la fijación de precios algorítmica no es una cláusula contractual en sí misma, cláusulas que permitan variaciones unilaterales de precio o condiciones basadas en “sistemas automatizados” sin transparencia podrían reputarse abusivas por generar un desequilibrio importante en detrimento del consumidor (art. 82 TRLGDCU). La jurisprudencia española sobre cláusulas abusivas -especialmente en contratos financieros- ha acuñado el control de transparencia material: no basta con que la cláusula sea gramaticalmente clara, debe ser comprensible en cuanto a sus efectos económicos y jurídicos para el consumidor medio (STS Pleno 241/2013, caso BBVA, y jurisprudencia subsiguiente. SP/SENT/714489). Es plausible que en el futuro se aplique por analogía un control de transparencia sobre los algoritmos, exigiéndose que el funcionamiento básico de los sistemas que determinan prestaciones contractuales sea cognoscible para el adherente.
La Ley 3/1991, de 10 de enero, de Competencia Desleal, complementa el TRLGDCU en lo referente a prácticas comerciales. Su modificación por Ley 29/2009 adaptó la Directiva 2005/29/CE, introduciendo un elenco de prácticas consideradas desleales por engañosas o agresivas (arts. 5 a 10 LCD). Allí encajan perfectamente supuestos algorítmicos: por ejemplo, el art. 7 LCD tipifica como engañosa por omisión “ocultar información sustancial que el consumidor necesita para tomar una decisión… siempre que tal ocultación provoque o pueda provocar un error en el consumidor”. Un sistema de IA que no informe al usuario de un coste añadido, o que oculte deliberadamente la opción de no contratar algo, cumple esa definición. El art. 5 LCD considera desleal cualquier conducta que contenga información falsa o capaz de inducir a error al consumidor medio sobre elementos clave del producto (precio, características, ventajas), o “cualquier modo de presentación” que induzca a error, incluso por omisión. Los dark patterns en interfaces digitales encajan como “modo de presentación engañoso” que distorsiona el comportamiento económico del consumidor. También el art. 8 LCD declara agresiva la práctica que, mediante acoso, coacción o influencia indebida, merma significativamente la libertad de elección del consumidor. Ciertos algoritmos de recomendación que explotan adicción o vulnerabilidad psicológica podrían interpretarse como una influencia indebida (por ejemplo, un juego online que use IA para enganchar a un menor a compras dentro de la aplicación). En suma, el arsenal normativo en materia de prácticas desleales sí es aplicable a las nuevas tácticas algorítmicas, aunque haga falta actualizar guías y criterios para que las autoridades y jueces identifiquen estos supuestos con claridad.
Por otro lado, la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, regula la publicidad en medios y plataformas para proteger a los usuarios (especialmente menores) de contenidos ilícitos. Aunque esta ley se orienta a servicios audiovisuales, la convergencia digital hace que también influencers de YouTube, Twitch o Instagram, entre otras plataformas, queden bajo su mira cuando tengan una audiencia masiva (“usuarios de especial relevancia”, supervisados por CNMC). En 2025 la CNMC investigó justamente a ciertos influencers por posible publicidad encubierta engañosa en redes sociales. Si bien finalmente no halló infracciones, esto demuestra que se está aplicando la normativa clásica a los nuevos entornos.
En cuanto a la protección de los consumidores vulnerables, concepto introducido por la Ley 4/2022 en la legislación española, es pertinente señalarlo. Esta ley definió al consumidor vulnerable como aquella persona física que, por sus características (edad, situación socio-económica, discapacidad, bajo nivel de digitalización, etc.), se encuentra en una situación de subordinación, indefensión o desprotección especial que requiere una protección reforzada. La inclusión de esta noción en el art. 3.2 TRLGDCU implica que en la aplicación de todas estas normas se debe tener en cuenta si la práctica comercial impacta especialmente a colectivos vulnerables. Por ejemplo, la personalización de técnicas manipulativas para aprovechar la impulsividad de personas con adicción a las compras, o la publicidad engañosa dirigida a ancianos con bajo alfabetismo digital, podrían considerarse agravadas por dirigirse a vulnerables. De hecho, la Ley 4/2022 fue motivada por la Nueva Agenda del Consumidor de la UE que incidía en proteger a consumidores vulnerables en el entorno digital. Por tanto, cualquier algoritmo que explote vulnerabilidades (sesgo cognitivo, adicción, inexperiencia) estaría en el punto de mira de esta protección especial. La ley no trae sanciones nuevas por sí misma, pero instruye a interpretar y aplicar las existentes con mayor severidad en esos casos.
En resumen, la normativa española de consumo, aun sin estar todavía diseñada específicamente para la IA, contiene principios y reglas suficientes para enfrentar muchas de las conductas analizadas: la exigencia de información veraz y completa, la prohibición de engaño y coacción en las prácticas comerciales, la nulidad de condiciones abusivas no transparentes, y la atención particular a colectivos vulnerables constituyen herramientas jurídicas de primer orden. No obstante, su eficacia dependerá de adaptar la interpretación y prueba a las nuevas realidades. Además, se identifican vacíos: no existe aún en España una obligación general de transparencia algorítmica en el sector privado, ni un derecho expreso del consumidor a una explicación sobre decisiones automatizadas de empresas (más allá de lo que provee el RGPD, que tiene su límite). De ahí que surjan propuestas de mejora, como la necesidad de creación registro de algoritmos.
-
Otras normas relevantes: protección de datos, igualdad y administración digital
Además del tronco central de consumo y publicidad, hay normas de otros ámbitos que inciden tangencialmente en nuestro tema. Una fundamental es la normativa de protección de datos personales: el RGPD (Reglamento UE 2016/679) y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD). Muchos algoritmos de IA en consumo se alimentan de datos personales (hábitos, localización, historial de compras, etc.), por lo que deben cumplir con esta normativa. Ello implica varios requisitos:
– Base jurídica y finalidades: La empresa debe tener una base legítima (consentimiento del interesado, o ejecución de un contrato, o interés legítimo ponderado) para tratar datos con fines de personalizar precios o hacer perfilados comerciales. En muchos casos, la base adecuada será el consentimiento (por ejemplo, para perfiles de marketing el RGPD suele exigirlo tras la ePrivacy).
– Deber de información al interesado: Art. 13 RGPD obliga a informar al usuario, al recoger sus datos, de la existencia de tratamientos automatizados, sus finalidades y, cuando proceda, lógica general. Además, si hay decisiones automatizadas individuales significativas (art. 22 RGPD), se debe informar de tal hecho y del derecho a solicitar intervención humana. Esto significa que, por la vía de protección de datos, un consumidor podría reclamar que le informen de la lógica de un algoritmo que, por ejemplo, le denegó un crédito sin interacción humana. Sin embargo, las empresas a veces consideran que su tratamiento no es “decisión automatizada significativa” (interpretando ese concepto restrictivamente) o dan explicaciones vagas. La AEPD, en sus guías, ha instado a mayor transparencia.
– Evaluaciones de impacto: Si un algoritmo de consumo usa datos personales a gran escala y puede afectar derechos (por ej., un sistema que detecta “riesgo de impago” analizando redes sociales), probablemente requiera una Evaluación de Impacto en Protección de Datos (art. 35 RGPD) antes de ponerse en marcha, para identificar y mitigar riesgos de discriminación o vulneración de derechos.
– No discriminación: El RGPD no menciona la palabra “discriminación” salvo en considerandos, pero está implícito en los principios de lealtad, minimización y exactitud. El tratamiento de datos no debe conducir a resultados discriminatorios.
– Derecho de acceso y portabilidad: Los usuarios pueden pedir a la empresa sus datos y la lógica aplicada. Pocos consumidores ejercen este derecho en contexto de IA, pero podría ser útil: por ejemplo, pedir “dígame qué datos míos usó su algoritmo de precios y cómo influyeron”. Si la respuesta es insatisfactoria, queda la reclamación ante la AEPD o la vía judicial.
Otra norma por citar es la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público, que en su artículo 41, regula la “actuación administrativa automatizada”. Esta disposición obliga a que cuando una Administración tome decisiones automatizadas se publique mediante resolución el algoritmo o sistema de IA utilizado, garantizando los derechos de los interesados. Aunque aplica al sector público, establece un principio de transparencia algorítmica en lo público. Comunidades Autónomas como Cataluña han desarrollado instrucciones similares. Esto refleja la tendencia de que, al menos en lo público, los algoritmos deben documentarse e incluso hacerse públicos. En consumo privado no hay equivalente, pero la Agencia Española de Supervisión de la IA (AESIA), creada por RD 729/2023, de 22 de agosto, previsiblemente emitirá guías o recomendaciones para el sector privado también. AESIA tiene entre sus funciones velar por la ética de la IA y podría en el futuro supervisar ciertos sistemas de IA de empresas, coordinada con Consumo o la AEPD.
Por último, es menester recordar la Carta de Derechos Digitales de España publicada en julio 2021. Aunque no es vinculante, este documento programático –impulsado por el Gobierno– reconoce en su art. 11 el “derecho a la inteligibilidad y transparencia de los algoritmos”, afirmando que, tanto en sector público como privado, quienes usan algoritmos con impacto significativo en derechos deben garantizar un nivel adecuado de transparencia, explicabilidad y capacidad de auditoría de los mismos. Se habla incluso del derecho a la no discriminación algorítmica. Si bien, insistimos, no es una norma jurídica, sí orienta la acción legislativa futura y sirve de criterio hermenéutico como puede colegirse de la lectura de la Exposición de Motivos del RDL 8/2024 al introducir la transparencia de precios personalizados aludió a estos principios. Del mismo modo, cualquier juez que deba valorar un caso de IA y consumo podría invocar la Carta Digital como reflejo de los valores constitucionales aplicados a la era digital.
En síntesis, el marco español vigente proporciona varias capas de protección: la constitucional, la general de consumo, la sectorial de datos, y también normas transversales de no discriminación. Sin embargo, la efectividad práctica de esa protección ante las prácticas analizadas sigue siendo un desafío.
El derecho de la unión europea y las iniciativas internacionales: hacia la equidad digital
-
Instrumentos de la UE en protección de consumidores y servicios digitales
La Unión Europea ha actualizado en los últimos años su acervo normativo para adaptarlo a la economía digital, con incidencia directa en las cuestiones aquí tratadas. Un punto de partida es la Directiva 2005/29/CE sobre Prácticas Comerciales Desleales, cuyo espíritu impregna todas las legislaciones nacionales. Esta Directiva, aunque anterior al auge de la IA, es tecnológicamente neutra y prohíbe toda práctica que distorsione de manera significativa el comportamiento económico del consumidor medio mediante engaño o coacción. La Comisión y el CPC Network (red de autoridades de consumo) han interpretado que las técnicas de persuasión online (incluyendo dark patterns) entran en su ámbito. De hecho, en 2022 y 2023 la UE coordinó barridos (sweeps) de sitios web para detectar patrones oscuros, lo que llevó a que varias grandes compañías (incluyendo plataformas de viajes y de e-commerce) se comprometan a simplificar sus mecanismos de cancelación y a no ocultar información de precios. Aunque estas acciones no son legislación, demuestran que la Directiva es flexible para abarcar nuevas triquiñuelas digitales.
La Directiva (UE) 2019/2161 (Ómnibus) reforzó esa protección en varios aspectos clave relacionados con algoritmos. En primer lugar, como ya se analizó, exige informar de la personalización de precios. En segundo lugar, ordena que los mercados online (plataformas que agrupan ofertas de distintos proveedores) informen claramente al consumidor cuando un resultado de búsqueda está potenciado por remuneración (rankings de pago) y sobre la identidad real del proveedor (si es un profesional o un particular). Esto apunta a la transparencia algorítmica en contextos como Amazon, Ebay o comparadores de modo que el usuario debe saber si los primeros resultados se deben a pagos y no a pura relevancia. También obliga a las plataformas a revelar los parámetros principales de su algoritmo de clasificación (art. 7.4 de la Directiva 2011/83/UE modificado). Aunque no se pide el algoritmo en sí, sí informar qué criterios pesan más (precio, popularidad, opiniones, etc.). Todo ello para combatir la opacidad en entornos digitales. La Directiva Ómnibus, además, añadió nuevas prácticas prohibidas al anexo I de la UCPD, entre ellas: (a) Reseñas falsas o manipuladas, (b) Afirmar falsamente que reseñas de producto han sido verificadas, (c) Vender como idéntico un producto en distintos países con composición significativamente diferente (la llamada dualidad de calidad). Aunque esta última no es de IA, las primeras sí atajan parte de la desinformación automatizada (fake reviews). España transpuso estas medidas en la Ley 4/2022 y en el RDL 24/2021. Las sanciones por infracciones de consumo a gran escala también se armonizaron, permitiendo multas hasta el mencionado 4% ingresos anuales, lo cual es un impacto considerable para las big tech si incurren en, por ejemplo, tolerar patrones oscuros en su interfaz de forma generalizada.
Otro pilar es el Reglamento (UE) 2022/2065, de Servicios Digitales (Digital Services Act, DSA). Aunque el DSA se centra sobre todo en la moderación de contenidos ilegales y la protección de derechos en plataformas, contiene disposiciones específicas sobre transparencia de la publicidad digital y los sistemas de recomendación. Así, el art. 26 DSA obliga a todas las plataformas online a que la publicidad dirigida esté claramente identificada como tal, que el usuario pueda discernir “esto es un anuncio” y se le informe de la persona en cuyo nombre se publica y de los parámetros principales utilizados para decidir mostrarle ese anuncio a él (esto último es crucial: una breve explicación tipo “estás viendo este anuncio porque X empresa te ha segmentado como hombre de 30-40 interesado en tecnología”).
Además, el art. 28 DSA prohíbe a las plataformas usar datos personales sensibles (convicciones, salud, orientación sexual, etc.) para publicidad dirigida, y cualquier segmentación a menores basado en perfiles. Las “plataformas en línea de muy gran tamaño” (VLOPs, ej. Facebook, Google) tienen obligaciones aún mayores: ofrecer a los usuarios un sistema de recomendación no basado en perfilado (por ejemplo, permitir ver contenido en orden cronológico puro sin algoritmo), realizar auditorías anuales independientes de sus riesgos sistémicos (incluyendo riesgos de difusión de info engañosa o de impactos en derechos fundamentales), y crear repositorios públicos de todos los anuncios mostrados en su plataforma con información sobre segmentación (targeting). Estas medidas del DSA, que empieza a aplicarse plenamente en 2024, suponen un avance significativo en la transparencia algorítmica en el ecosistema de las grandes plataformas. No cubren, sin embargo, la mayoría de las situaciones B2C fuera de plataformas centralizadas. Es decir, el DSA regula a intermediarios (redes sociales, marketplaces) pero no a la tienda online individual que usa su propio algoritmo de precios. Por eso se considera que la UE ha ido sectorial o por niveles más que ofrecer un régimen integral.
El Reglamento (UE) 2024/1689, Ley de Inteligencia Artificial (AI Act) es la primera norma horizontal de la UE sobre IA. Bajo un enfoque de gestión de riesgos, clasifica los sistemas de IA en prohibidos (los pocos casos intolerables, como sistemas de puntuación social generalizados por gobiernos, o manipulación subliminal que cause daño físico/psicológico, etc.), alto riesgo, riesgo limitado, y mínimo riesgo. Los sistemas de “alto riesgo” incluyen los utilizados en: educación/FP (ej. decidir admisión), empleo (filtrar CVs), servicios esenciales privados o públicos (agua, electricidad, policía), administración de justicia, identificación biométrica en vivo, y determinación de acceso a crédito o servicios financieros esenciales, entre otros (Anexo III). Para estos sistemas se exige una serie de obligaciones ex ante: evaluación de conformidad, requisitos de datos de entrenamiento libres de sesgos en la medida de lo posible, documentación técnica exhaustiva, supervisión humana, robustez, ciberseguridad, etc. El art. 60 AI Act creará un Registro público de la UE para sistemas de IA de alto riesgo. Los proveedores tendrán que inscribir antes de comercializar, aportando información sobre el sistema: descripción, propósito, sector de uso, niveles de precisión, medidas de gestión de riesgos, etc. Parte de esa información será accesible al público. Esta base de datos de la UE busca aportar transparencia a autoridades y ciudadanos sobre qué IA circula en el mercado. Ahora bien, el AI Act no cubre todos los supuestos de impacto algorítmico en consumo. Por ejemplo, un algoritmo de fijación de precios en una tienda de ropa puede no ser “alto riesgo” según el reglamento al no encajar en las áreas listadas, a pesar de su relevancia para consumidores. Los sistemas de recomendación de productos, los chatbots comerciales, los algoritmos de personalización de anuncios online (salvo que afecten derechos fundamentales) quedarían como “riesgo limitado”, sujetos solo a ciertas obligaciones de transparencia básicas: p. ej., el AI Act obligará a etiquetar contenidos generados por IA (para que el consumidor sepa si interactúa con una IA o con un humano, art. 52), y pocas cosas más para esos casos. En definitiva, aunque el AI Act es un hito importante hacia la transparencia, su alcance en consumo es parcial. Deja fuera muchas aplicaciones comerciales cotidianas y, aun en las de alto riesgo, no obliga a revelar elementos esenciales como el código fuente o los datos de entrenamiento, que suelen permanecer secreto empresarial. Así, incluso en su régimen máximo, la transparencia puede ser limitada.
Otro instrumento relevante de la UE es la propuesta de Directiva de responsabilidad civil por IA (AILD) y la paralela Directiva de productos defectuosos revisada. La UE aprobó en octubre 2024 la nueva Directiva 2024/2853 sobre responsabilidad por productos defectuosos. Aunque su foco es responsabilidad objetiva del productor, incluye importantes novedades pensando en IA. Se invierte la carga de la prueba en ciertos casos donde un producto, que puede ser un software o servicio digital integrado, cause daño, y se otorga al perjudicado el derecho a pedir al productor o proveedor que revele información sobre el funcionamiento del algoritmo vinculado al daño. De este modo, a título ilustrativo, si un coche autónomo tiene un accidente, la víctima puede pedir al fabricante del sistema de IA los registros o parámetros relevantes para probar un defecto. Trasladado al consumo: si un consumidor es discriminado por un sistema automatizado causándole un perjuicio económico, estas normas apuntan a facilitarle probarlo obteniendo datos del sistema. La Comisión también propuso una Directiva específica de responsabilidad por IA que crearía una presunción de causalidad a favor del demandante en casos de daño causado por decisiones de IA, si se incumplieron obligaciones de IA Act o de diligencia, y también facilitaría el acceso a pruebas. Todo esto refleja la preocupación europea por la asimetría probatoria que existe con IA y la necesidad de soluciones que aumenten la transparencia ex post para lograr responsabilidad.
Finalmente, cabe mencionar otros esfuerzos propositivos recientes. El Parlamento Europeo en diversas resoluciones (2020 y 2022) ha pedido a la Comisión abordar los procesos automatizados de toma de decisiones para garantizar la protección de los consumidores y la no discriminación, planteando incluso la idea de un marco de derechos digitales del consumidor. Estas ideas se están plasmando en algo llamado provisionalmente “Digital Fairness Act” o “legislación sobre equidad digital”. Parece apuntar a consolidar reglas contra dark patterns, publicidad encubierta en influencers, personalización desleal, protección de colectivos (menores), etc., complementando lo ya hecho. Si se aprueba, sería otro elemento en el puzzle normativo.
En conclusión, en el nivel de la UE tenemos un abanico normativo fragmentado pero creciente. La legislación de consumo (Prácticas Comerciales Desleales, Ómnibus) colma algunas lagunas (precios personalizados, reseñas falsas), la legislación digital (DSA, DMA en menor medida) regula plataformas grandes, la legislación de IA impondrá requisitos a sistemas de riesgo y transparencia general, y la de producto/responsabilidad ajusta la rendición de cuentas. Falta quizás una visión unificadora, un marco específico de “derechos del consumidor frente a algoritmos”. No obstante, la UE deja margen a los Estados miembros para ir más allá en protección del consumidor mientras no obstaculicen el mercado interior. De hecho, se anima a ello en ámbitos no cubiertos. España, puede aprovechar esa habilitación para adelantarse en temas como el Registro de Algoritmos o normas de transparencia más completas.
-
Jurisprudencia del TJUE y garantía judicial de la transparencia
Aunque ya hemos aludido a la jurisprudencia del Tribunal de Justicia de la UE en materia de consumidores, vale la pena recapitular algunos pronunciamientos relevantes a la luz de la IA:
– Transparencia contractual real: En casos como Kásler (C- 26/13), Gutiérrez Naranjo (C-154/15), el TJUE sostuvo que el consumidor debe estar en condiciones de comprender las consecuencias económicas de una cláusula para que esta le vincule. Si extrapolamos, un algoritmo que fija condiciones contractuales equivaldría a una cláusula dinámica, que debería superar un control de transparencia equivalente. Aún no hay pronunciamientos directos del TJUE sobre “transparencia de algoritmos”, pero su doctrina es utilizable por analogía.
– Obligaciones de información en comercio electrónico: En Wildersland (C- 70/20), el TJUE dictaminó que en un marketplace online, si una oferta procedía de un tercero empresario, el consumidor debía ser claramente informado de la identidad empresarial de este para no creer erróneamente que compra al dueño de la plataforma. Este fallo refuerza la idea de transparencia en plataformas que luego codificó la Directiva Ómnibus. Reforzando, el caso Airbnb Ireland (C-390/18) abordó el tema de si Airbnb debía informar mejor su condición de intermediario. Aunque se resolvió más por competencias normativas, apunta a la preocupación de la UE porque los consumidores entiendan “quién les vende qué” en entornos digitales.
– Protección contra prácticas desleales: El TJUE ha dejado claro, en casos como Trento Sviluppo (C-281/12) o Wind Tre (C-54/17), que la noción de práctica engañosa es objetiva y se refiere al consumidor medio. Es decir, para probar una práctica engañosa no se exige dolo o intención. Esto es útil para perseguir engaños algorítmicos, pues sería irrelevante si la empresa alega “el algoritmo lo hizo sin intención humana”, pues basta con demostrar el efecto engañoso en el consumidor medio. En Wind Tre se consideró engañoso no informar claramente de ciertos costes en SMS de activación de servicios. Mutatis mutandis, no informar de la lógica de un precio personalizado podría argumentarse como omisión engañosa si se demuestra que es sustancial para la decisión.
– Discriminación en servicios: Aunque la UE tiene directivas antidiscriminación sectoriales (p.ej., la 2000/43/CE y 2004/113/CE prohíben discriminación racial o de género en bienes y servicios), el TJUE no ha abordado aún casos de algoritmos discriminatorios. Sin embargo, en Test-Achats (C-236/09) invalidó una excepción que permitía a aseguradoras diferenciar por sexo las primas, afirmando la igualdad de género en seguros. Esto sugiere que cualquier intento de justificar algoritmos que discriminan por sexo en precios de consumo sería rechazado de plano. Y en CHEZ (C-83/14), un caso de discriminación indirecta, el TJUE reconoció que prácticas aparentemente neutras (instalar contadores de electricidad inaccesibles en barrios “gitanos”) pueden ser discriminación étnica. En un futuro, podría considerar que un algoritmo con impacto desproporcionado en una minoría constituye discriminación indirecta, salvo justificación objetiva y proporcionada.
En cuanto a tribunales internos de la UE, fuera del TJUE, la sentencia holandesa contra SyRI que es jurisprudencia pionera declarando ilegal un algoritmo por vulnerar derechos humanos (privacidad y principios de buena administración). También hay casos en Francia donde el Conseil d’État ha ordenado revelar los criterios algorítmicos de asignación de estudiantes a universidades (caso del algoritmo APB en 2017) invocando principios de publicidad de reglas. Y en Polonia, el año 2019, su Tribunal Supremo falló a favor de un empleado despedido por un algoritmo de plataforma digital (Glovo) diciendo que tenía derecho a conocer la base de la decisión (caso alineado con art. 22 RGPD). Todo esto va conformando un acervo jurisprudencial europeo pro-transparencia.
-
Perspectivas en Iberoamérica: derechos digitales y casos pioneros
En América Latina, si bien la regulación específica de IA está en fases tempranas, se han dado pasos importantes en la formulación de principios digitales compartidos y en algunos casos jurisprudenciales relevantes. Entre ellos merecen destacarse los siguientes:
– Carta Iberoamericana de Derechos Digitales (2020): Aprobada por la Conferencia Iberoamericana de países, esta carta, no vinculante, incluyó expresamente principios como la transparencia algorítmica, la no discriminación y la promoción de auditorías de algoritmos, reconociendo la necesidad de proteger a los ciudadanos en entornos digitales. Aunque no es ley, ha servido de referencia para planes nacionales de digitalización y carta de derechos en varios países.
– Chile: A nivel de consumo, Chile ofrece un ejemplo notable. El Servicio Nacional del Consumidor (SERNAC) llevó a cabo investigaciones sobre variaciones de precios online y otros potenciales abusos algorítmicos en el comercio electrónico chileno. Según relatan MARTÍNEZ CÁRDENAS Y BOZZO, el SERNAC incluso suscribió acuerdos voluntarios con empresas para corregir conductas y llegó a promover acciones colectivas ante tribunales cuando detectó cláusulas abusivas relativas al uso de datos o discriminación de clientes. Esto evidencia que la preocupación por prácticas desleales automatizadas no es teórica, y que un organismo de consumo puede usar herramientas tradicionales (investigaciones, demandas colectivas) para lidiar con algoritmos empresariales. Además, Chile anunció en 2023 la creación de un registro voluntario de algoritmos usados por agencias públicas, dentro de su política nacional de IA. Es voluntario por ahora, pero marca tendencia en la región.
– Brasil: Brasil promulgó la Ley 14.129/2021 de Gobierno Digital, la cual, entre otras cosas, obliga a las administraciones públicas a publicar información sobre los algoritmos utilizados en sus servicios digitales y a realizar auditorías algorítmicas en ciertos casos. Asimismo, Brasil discute un anteproyecto de ley de IA que probablemente seguirá el modelo de riesgo de la UE, pero incorporando principios de no discriminación que ya están en su regulación de Internet y en la legislación de protección del consumidor y del usuario financiero.
– Uruguay: Modificó su Ley de Protección de Datos Personales para incluir una sección sobre decisiones automatizadas, consagrando el derecho del afectado a solicitar información sobre la lógica del procesamiento que le concierne. Esto es muy parecido al RGPD europeo, pero refleja la adopción regional de estándares similares. Uruguay, al igual que Argentina, ha incorporado en su normativa de datos el derecho a no ser objeto de decisiones automatizadas sin adecuada justificación.
– Colombia: Presenta uno de los casos jurisprudenciales más innovadores. La Sentencia T-323 de 2024 de la Corte Constitucional de Colombia abordó por primera vez el uso de IA en la función judicial, con potencial alcance a otros sectores. En este caso, un juez había usado ChatGPT para ayudar a redactar una sentencia de tutela. La Corte Constitucional, al revisar, estableció cuatro principios rectores para el uso de IA por autoridades:
(1) Complementariedad: la IA puede apoyar al decisor, pero nunca reemplazarlo ni delegarle la decisión final;
(2) Transparencia: la autoridad debe informar a las partes si usó IA y con qué propósito.
(3) Proporcionalidad: la IA solo debe emplearse en lo necesario y no en el núcleo de la justificación jurídica (no delegar valoración de pruebas ni determinación de derechos fundamentales);
(4) Temporalidad o supervisión continua: los usuarios (jueces, en este caso) deben evaluar constantemente los riesgos y resultados de la IA, y estar dispuestos a corregir o abandonar su uso si genera sesgos o errores. La Corte hizo hincapié en que el derecho al debido proceso exige que las partes conozcan cómo se tomó la decisión y con base en qué elementos. También señaló la igualdad de armas: si solo el juez tiene acceso a una IA opaca, la parte podría quedar en desventaja. Este precedente es pionero en el mundo hispano, y aunque se refiere al ámbito judicial, sus principios de transparencia, control humano y no delegación total son aplicables por analogía a decisiones automatizadas en lo privado. De este modo, podría inspirar que una empresa informara a sus clientes si usa IA para resolver reclamaciones o para atención al cliente, y que no deje a un bot la resolución definitiva de una queja sin intervención humana (lo cual sería extrapolar el principio de complementariedad).
En general, Latinoamérica se encuentra en una fase de recepción de estándares internacionales y de experimentación en casos concretos. Pero los valores de protección al consumidor y derechos fundamentales están muy presentes. No olvidemos que la mayoría de las constituciones latinoamericanas, al igual que España, tienen mandatos de protección al consumidor y principios de buena fe que pueden ser usados creativamente por jueces. Por ejemplo, la Constitución de Brasil art. 5 inciso XXXII y la de Colombia art. 78 consagran la defensa del consumidor; la de Chile (reforma de 2022) contempló derechos digitales, aunque luego no prosperó el texto completo. Así que el caldo de cultivo legal existe.
-
Enfoque anglosajón: entre la autorregulación, el litigio y la intervención sectorial
En los Estados Unidos y el Reino Unido, la aproximación ha sido distinta, marcada por menos regulación ex ante y más énfasis en remedios ex post y orientaciones no vinculantes.
Estados Unidos carece de una ley federal integral de protección al consumidor digital o de IA. Sin embargo, la Federal Trade Commission (FTC), con su amplio mandato contra prácticas “injustas o engañosas” (Sección 5 FTC Act), ha emitido orientaciones sobre IA. En 2020 publicó “AI guidelines” advirtiendo que, si una empresa usa algoritmos, debe hacerlo sin incurrir en sesgos ilegales ni engañar a los consumidores, so pena de acciones por la FTC. En 2021-2022 la FTC lanzó mensajes claros: “Algorithmic bias is illegal if it leads to credit discrimination, etc.” incluso publicó un blog titulado “Aiming for truth, fairness, and equity in your company’s use of AI”. Estas guías son soft law, pero anuncian la postura regulatoria. Y, de hecho, la FTC ha actuado: multó a una compañía (Everalbum, 2021) por usar reconocimiento facial sin permiso (violando promesas de privacidad, ergo práctica engañosa), ordenó borrar algoritmos entrenados con datos obtenidos ilegalmente (caso Ever, y caso WW International por espiar a niños). También investiga desde 2022 a empresas de EdTech y HealthTech por posible discriminación algorítmica.
A falta de ley general, varios estados han legislado temas puntuales. La Illinois BIPA (Biometric Information Privacy Act, 2008), requirió consentimiento informado para recolectar datos biométricos y prohibió obtener lucro con ellos, dando derecho a demandar con daños prefijados. Esto permitió las demandas masivas contra Facebook, contra empleadores que tomaban huellas dactilares sin permiso, etc., resultando en indemnizaciones sustanciales. Texas y Washington siguieron con leyes similares. California, a través de la California Consumer Privacy Act (CCPA) enmendada por la CPRA (Consumer Privacy Rights Act), incluyó derechos relativos a perfiles de modo que los californianos pueden saber si sus datos se usan en perfilados automatizados y tienen derecho a optar por no ser objeto de decisiones automatizadas significativas. La CPRA (efectiva 2023) ordenó a la nueva agencia de protección de datos de California desarrollar reglas sobre IA, que están en elaboración. Esto creará un mini régimen al estilo RGPD en California para IA en consumo.
Donde más se ha avanzado sin embargo es en la vía judicial. Ya mencionamos el caso de la Apple Card. Tras la polémica, la oficina de Servicios Financieros de NY investigó si violó la Equal Credit Opportunity Act (ECOA) por discriminación de género. Y, aunque su informe final no halló evidencia de discriminación intencional, criticó la falta de transparencia del modelo y exigió mejoras en explicabilidad para clientes. Otro ejemplo es el acontecido en 2020 Amazon cuando acordó un pago de $2.5 millones con la fiscalía de Washington por no informar adecuadamente de las propinas retenidas a repartidores, revelado por algoritmos.
En Reino Unido, por su parte, existe desde 2010 la Equality Act que prohibe discriminación en provisión de servicios. Que no conste, no se ha aplicado en juicio a algoritmos aún, pero potencialmente una persona puede denunciar si cree que un servicio digital la discriminó por raza, sexo, etc. La Comisión de Igualdad británica incluso emitió en 2020 un reporte sobre IA y discriminación, recomendando vigilancia. El organismo de defensa de la competencia y consumidores, CMA, ha estado muy activo. En en 2019 investigó “loyalty penalties” (algoritmos que cobran más a clientes fieles en ciertos sectores) y logró compromisos para cortarlo. En 2021 inició un estudio de mercado sobre algoritmos, publicando en 2022 un informe extenso con recomendaciones, incluyendo pedir poder auditar algoritmos de empresas para verificar que no hacen dark patterns o collusion. La CMA incluso tiene un equipo Data Unit que analiza códigos de plataformas (lo hizo en el caso Google/Facebook ads). El Reino Unido, tras el Brexit, ha propuesto una estrategia de IA ligera a través de una guía ética no vinculante, sin un AI Act propiamente. Pero su ICO (Information Commissioner’s Office) publicó en 2020 la “AI Auditing Framework”, con buenas prácticas detalladas para transparencia, explicabilidad y gestión de sesgos en IA. Muchas empresas UK siguen esas directrices voluntariamente para evitar sanciones de privacidad. Además, el gobierno UK lanzó en 2021 la mencionada Norma de Transparencia Algorítmica para el sector público con participación voluntaria de agencias. Varias publicaron transparency reports de sus algoritmos. Esto está alineado con la idea de gobernanza ética más que con coerción legal.
En resumen, en el mundo anglosajón prima un enfoque de “responsabilidad ulterior”. Se deja innovar, y si algo sale mal (sesgo flagrante, engaño escandaloso), entonces intervienen agencias o tribunales ex post. La ventaja es flexibilidad, la desventaja es que muchos casos sutiles pueden pasar desapercibidos por años. Europa continental tiende más a la regulación ex ante, imponiendo condiciones desde el diseño (lo que llamamos compliance by design). Una combinación de ambas filosofías sería ideal: prevención ex ante en lo posible, pero sin renunciar a sanciones ejemplares ex post donde ocurra un daño.
Después de este recorrido normativo y jurisprudencial, constatamos que la problemática de la discriminación y engaño por IA en consumo es universalmente reconocida. Donde difieren los sistemas es en las herramientas escogidas para enfrentarlo: registros y obligaciones de transparencia en unos, códigos de conducta y litigios en otros.
Propuesta de lege ferenda: hacia un registro estatal de algoritmos en las relaciones de consumo
A la luz de todo lo expuesto, se considera conveniente y necesario que España dé un paso adicional instaurando un Registro Estatal de Algoritmos con impacto en las relaciones de consumo. Esta idea, busca materializar el principio de transparencia algorítmica en un instrumento jurídico-operativo de alcance general.
El Registro se concibe como una plataforma unificada, de inscripción obligatoria y acceso público (parcial), donde se deban inscribir aquellos sistemas automatizados de decisión, recomendación o fijación de condiciones utilizados en mercados de bienes y servicios de consumo que puedan afectar de manera significativa los derechos e intereses de los consumidores. Esto incluiría, a título enunciativo no limitativo: algoritmos de personalización de precios u ofertas, motores de publicidad segmentada, sistemas de puntuación o rating de clientes (crediticios, reputacionales), asistentes virtuales o chatbots que tomen decisiones automáticas relevantes (p. ej., resolución inicial de una reclamación) y, en general, cualquier modelo de IA que determine aspectos sustanciales de la relación con el consumidor (admisión/exclusión de clientes, cálculo de condiciones contractuales, priorización de servicios, etc.). Quedarían excluidos los algoritmos de mínima relevancia o meramente internos que no impacten apreciablemente al consumidor, a fin de evitar sobrecarga administrativa. El criterio es funcional: abarcar todo sistema cuyo funcionamiento pueda incidir en las condiciones contractuales, el contenido de la oferta, el acceso a bienes/servicios o el trato dispensado al consumidor de forma significativa.
Cada algoritmo o sistema de IA inscrito debería ir acompañado de una “ficha técnica” estandarizada con, al menos, los siguientes campos:
– Identificación del sistema: nombre o denominación del algoritmo (o del producto/servicio que lo incorpora) y, de ser aplicable, número de versión. Si la empresa usa un código interno para el modelo, debe consignarlo para permitir la trazabilidad de actualizaciones.
– Finalidad y ámbito de uso: descripción clara del propósito del algoritmo (ej. “personalización dinámica de precios en comercio electrónico”, “motor de recomendación de productos financieros”, “sistema de evaluación de solvencia crediticia online”) y el ámbito específico donde se aplica (sector, tipo de productos/servicios, canales: web, app, tienda física con dinámica digital, etc.).
– Datos empleados: categorías de datos de entrada que el algoritmo utiliza para tomar decisiones o clasificar. No se pide códigos fuente ni fórmulas detalladas, pero sí categorías de datos: por ejemplo, “datos demográficos (edad, sexo, código postal), historial de compras en nuestra plataforma, datos de navegación (clics, tiempo en página), datos de terceros (puntuación crediticia de buró X)”. Se indicará estas tipologías sin comprometer secretos industriales.
– Criterios principales de decisión o segmentación: una explicación sucinta y comprensible de las variables o factores que más pondera el algoritmo para su resultado. Por ejemplo: “El precio se ajusta principalmente según la demanda agregada del producto y la segmentación del usuario en función de su historial de compras y frecuencia de visitas; a mayor demanda y si el usuario es clasificado como ‘nuevo’, se le pueden ofrecer descuentos menores que a ‘cliente habitual’.” Otro ejemplo: “El sistema de puntuación crediticia valora fundamentalmente ingresos declarados, historial de impagos y estabilidad laboral; si el puntaje no alcanza un umbral, la solicitud es denegada automáticamente.” Se trata de dar al consumidor un entendimiento general de qué decide el algoritmo y en base a qué, similar a lo que el considerando 71 RGPD describe como “información significativa sobre la lógica empleada”. Esto no implica revelar secretos como algoritmos precisos, pero sí los factores decisivos.
– Mecanismos de revisión humana/contestación: sería útil añadir si la empresa dispone de revisión humana a solicitud del consumidor o algún procedimiento para que éste pueda objetar una decisión automatizada adversa. Esto incentivaría a las empresas a habilitar esas vías, sabiendo que se hará público y además se alinea con art. 22 RGPD.
– Fecha de puesta en marcha y últimas modificaciones: para control temporal, registrando desde cuándo opera el algoritmo y si ha tenido actualizaciones significativas (pudiendo adjuntar versionado).
Esta ficha estandarizada dotaría al Registro de uniformidad y facilitaría que pueda ser consultado automáticamente por ejemplo, que investigadores o asociaciones descarguen datos para comparar cómo funcionan los algoritmos en un sector determinado. Es importante destacar que no se busca publicar el código fuente ni secretos comerciales detallados, a diferencia de lo que a veces ocurre en lo público, aquí hay que equilibrar propiedad intelectual. Pero la información divulgada debe ser suficiente para que un tercero razonable entienda la función del algoritmo, sus entradas y sus criterios generales de funcionamiento, permitiendo así cierto escrutinio público.
Lo más lógico sería que lo gestione un organismo público independiente o una colaboración de varios. Podría situarse bajo la órbita de la Agencia Española de Supervisión de la IA (AESIA), dada su vocación, o bien de la Dirección General de Consumo (Ministerio de Consumo), o quizás un esfuerzo conjunto. AESIA, recién creada, aún define sus competencias, pero se espera que actúe como regulador transversal de IA. Un convenio entre AESIA, Ministerio de Consumo y AEPD podría crear un órgano gestor del Registro para aunar perspectivas (consumo, datos personales, no discriminación). El Registro debería ser digital, accesible vía web, con buscador por empresa, sector, algoritmo, etc. Podría inspirarse en el registro de algoritmos holandés, que cuenta incluso con APIs para seguimiento en tiempo real de actualizaciones haciendo la herramienta verdaderamente útil y viva.
La idea es que sea público, consultable por cualquier ciudadano, periodista, investigador, etc. No obstante, podría contemplarse un doble nivel de acceso: una parte totalmente pública (la ficha resumida) y, en caso necesario, un acceso restringido para autoridades a información más técnica o confidencial. Por ejemplo, la AEPD o AESIA podrían requerir a la empresa información más detallada (bajo confidencialidad) si investigan una irregularidad. Esto ya sucede con el RGPD: las empresas no publican sus algoritmos, pero si la AEPD investiga, puede pedir verlos. El Registro haría más fluido ese flujo.
Se tendría que legislar que todo empresario que utilice sistemas automatizados en relaciones de consumo con impacto significativo debe inscribirlos antes de su puesta en funcionamiento o, para los existentes, dentro de un plazo tras la entrada en vigor de la ley. La falta de inscripción o la inscripción falseada/incompleta sería una infracción administrativa grave en materia de consumo, sujeta a multa. Dado que la UE permite medidas nacionales más estrictas, esto no debe chocar con armonización plena. Las sanciones deben ser proporcionadas al tamaño de la empresa y gravedad: por ejemplo, se podría tomar como referencia la facturación, al estilo RGPD (multas de hasta 2% o 4% ingresos, escalonadas). Lo importante es crear incentivos para cumplir.
Un Registro de Algoritmos así tendría múltiples ventajas:
– Transparencia y confianza: Los consumidores podrían consultar si una empresa utiliza algoritmos para ciertos fines y saber, antes de contratar, a qué atenerse. Ej: un usuario evalúa dos plataformas de e-commerce, mira en el Registro y ve que una declara usar personalización de precios según perfil mientras la otra no; esa información podría influir su elección, incentivando la competencia basada en transparencia, lo que a su vez puede desincentivar prácticas abusivas: ninguna empresa quiere la “marca roja” de “nuestro algoritmo sube precios si eres de tal zona”.
– Control académico y social: Investigadores, asociaciones de consumidores y medios podrían monitorear los algoritmos declarados, detectando tendencias. Por ejemplo, universidades podrían estudiar “un 30% de algoritmos de scoring en el Registro usan datos de código postal:
¿implica riesgo de discriminación territorial?” y elevar recomendaciones. La sociedad civil tendría más información para fiscalizar.
– Facilitación de auditorías e inspecciones: Las autoridades competentes sabrían dónde centrar sus procedimientos inspectores o los focos de mayor riesgo. Hoy, perseguir un engaño algorítmico es encontrar aguja en pajar; con el Registro, si se sospecha de irregularidades en sector X, se investiga los algoritmos inscritos ahí. Además, la propia obligación de inscribir forzará a las empresas a documentar internamente sus algoritmos, algo que a veces ni ellas mismas hacen adecuadamente.
– Prevención y autorregulación: El mero hecho de tener que declarar públicamente “mi algoritmo hace A, B, C” actuará como filtro de legalidad (screening). Las empresas reflexionarán: “¿podemos decir abiertamente lo que hace? Si suena mal (ej. ‘segmenta por nivel económico para cobrar más a pobres’), quizás debamos cambiarlo antes de inscribirlo”. Es similar al efecto que tuvo la exigencia de transparencia en condiciones: obligó a eliminar cláusulas claramente abusivas porque, al exponerlas, quedaban en evidencia. En palabras llanas, ninguna empresa querrá figurar como la que te cobra más por usar iPhone, así que evitarán programar eso.
– Coordinación inter-autoridades: El Registro permitiría que autoridades de protección de datos, consumo y competencia trabajen juntas. Por ejemplo, ante un algoritmo inscrito de scoring, la AEPD vigila datos, Consumo vigila equidad, Igualdad detecta sesgos, etc. Este enfoque multidisciplinar es indispensable porque la IA rompe silos clásicos toda vez que un mismo algoritmo puede a la vez violar protección de datos y consumo. El Registro sería un nodo centralizador de información.
Cabe anticipar algunas posibles críticas o desafíos cual es la protección del secreto empresarial. La solución podría ser evitar exigir la revelación de secretos técnicos y desvelar inicialmente únicamente información general. La carga para PYMEs requerirá inicialmente eximir a microempresas y quizás pymes de ciertos sectores y concentrarse en medianas y grandes donde el impacto es mayor. Respecto a la actualización constante deseable habría que comenzar exigiendo la actualización de la ficha cuando haya cambios sustanciales en el funcionamiento o datos usados, pero no por ajustes menores, e idealmente, automatizar notificaciones si la versión del software cambia.
Esta propuesta ubica a España en la vanguardia legislativa mundial en materia de algoritmos y consumo Los antecedentes más cercanos (Holanda, Francia) se centran en algoritmos públicos, no en privados. Sería, por tanto, un movimiento audaz pero alineado con la tendencia europea de reforzar la confianza en la economía digital. España históricamente fue pionera en protección del consumidor y esta iniciativa continuaría esa tradición innovadora.
Vale mencionar que la STS 1119/2025 que citábamos, aunque relativa a transparencia pública, da alas conceptuales a este Registro. Consagra que no hay algoritmos fuera del imperio de la ley y el escrutinio democrático. Un Registro es una materialización de ese escrutinio en el mercado privado, aterrizando el mandato del art. 51 CE a la era digital.
Por último, no se trata de una panacea. El Registro deberá complementarse con mecanismos de cumplimiento (inspecciones, sanciones si un algoritmo no se inscribe o se detecta que hace más de lo declarado), y con la educación digital de consumidores para que sepan aprovechar esta información. También debería armonizarse con un eventual marco europeo futuro; quizás nuestra experiencia sirva de piloto para una iniciativa de la UE en el largo plazo.
Conclusiones
La irrupción de la inteligencia artificial en el ámbito del consumo plantea retos sin precedentes para la tutela de los consumidores frente a prácticas discriminatorias y publicidad engañosa. Hemos analizado cómo algoritmos opacos pueden derivar en precios personalizados abusivos, diseños digitales manipulativos, anuncios dirigidos desleales o sesgos discriminatorios en servicios esenciales, todo lo cual socava derechos básicos del consumidor. Frente a ello, hemos identificado los principios jurídicos cardinales que deben guiar la respuesta: la transparencia algorítmica como nueva exigencia de lealtad y derecho a la información, la prohibición de discriminación injusta, la primacía de la buena fe y el control humano en las decisiones, y la garantía de una tutela judicial efectiva que no puede verse frustrada por cajas negras tecnológicas.
El ordenamiento español, sustentado en la CE (arts. 14, 18.4, 20, 24, 51) y desarrollado por el TRLGDCU, la Ley de Competencia Desleal, la normativa de protección de datos y otras, provee una base sólida para enfrentar estos desafíos. Se han dado ya pasos normativos importantes como la incorporación de la obligación de informar sobre precios algorítmicos personalizados, la elevación de las sanciones por fraudes masivos, la consideración del consumidor vulnerable o la creación de la Agencia de Supervisión de IA. Asimismo, la jurisprudencia empieza a allanar el camino con la STS 1119/2025 reconociendo el derecho a la transparencia algorítmica como principio general y el TJUE enfatizando la comprensibilidad real en contratos. Y puede anticiparse que, los tribunales españoles y europeos, serán receptivos a las reclamaciones de consumidores afectados por algoritmos arbitrarios o engañosos.
No obstante, también hemos constatado lagunas y limitaciones. En la práctica actual, la mayoría de consumidores ignora cuándo una IA interviene y de qué modo. La opacidad es la norma. Las obligaciones de transparencia existentes son aún insuficientes o poco efectivas. La capacidad de los individuos para detectar y probar una discriminación algorítmica aislada es muy reducida, lo que exige potenciar las acciones colectivas, el rol de autoridades proactivas y la cooperación internacional.
En el panorama comparado, pueden extraeres experiencias valiosas. La UE con su Directiva Ómnibus (transparencia en marketplaces y precios), el DSA (control de dark patterns y anuncios en grandes plataformas) y el AI Act (marco de riesgo y registro de IA de alto riesgo) avanza en una protección fragmentaria pero creciente. Países Bajos y Francia ensayaron registros de algoritmos públicos, Chile y Colombia incorporan principios de transparencia y han tenido actuaciones concretas para frenar abusos tecnológicos. EEUU, con un enfoque distinto, demuestra que la amenaza de litigios masivos y daños punitivos obliga a las empresas a corregir el rumbo, complementado por guías de agencias como la FTC.
Tomando lo mejor de cada enfoque, en la propuesta de creación de un Registro Estatal de Algoritmos de consumo encontramos una medida ambiciosa pero factible, que pondría a España en la senda de una transparencia proactiva y preventiva. Este Registro, debidamente implementado, materializaría el principio de transparencia algorítmica, empoderando a consumidores y vigilantes para saber qué algoritmos operan en el mercado y bajo qué lógicas básicas. No sería una carga desmedida para las empresas, pero sí un acicate para autocontrolarse y eliminar sesgos o elementos inconfesables de sus sistemas antes de registrarlos. En conjunción con la labor de la AESIA y las autoridades de consumo y datos, un registro así facilitaría auditorías periódicas, estudios comparativos y, llegado el caso, acciones legales mejor fundamentadas.
Por supuesto, la realización efectiva de estos principios y propuestas requerirá un esfuerzo continuo. Las tecnologías de IA evolucionan rápidamente. El Derecho deberá adaptarse con agilidad, quizá mediante reglamentos técnicos o guías interpretativas, sin perder de vista los fundamentos: la centralidad de la persona-consumidor, su dignidad y autonomía en un mercado justo. La digitalización no debe servir de excusa para diluir derechos; al contrario, obliga a redoblar la guardia y traducir los viejos principios a los nuevos contextos con la misma fuerza.
En síntesis, la protección del consumidor frente a la IA discriminatoria o engañosa es ya uno de los grandes temas del Derecho de Consumo del siglo XXI. España cuenta con herramientas jurídicas y un entorno europeo favorable para liderar soluciones avanzadas, combinando la dogmática jurídica, que clarifica y actualiza conceptos como transparencia y buena fe, con la ingeniería legal, que diseña instrumentos como el Registro, evaluaciones de impacto, auditorías obligatorias, etc. Todo ello orientado a un fin último cual es que la IA, lejos de ser una amenaza, se convierta en un aliado del consumidor, utilizada de forma ética para mejorar la calidad, personalización y precio de los servicios, pero bajo el imperio de la ley y respetando los derechos fundamentales en juego. Solo así podremos aprovechar los enormes beneficios de la inteligencia artificial en el mercado, sin sacrificar los estándares de equidad y confianza que son cimiento de nuestras sociedades democráticas en un Estado social y de Derecho.
Imagen de fancycrave1 en Pixabay
