📣 España - Sanción para la creación y difusión de imágenes íntimas falsas (deepfakes) de una menor

Sanción para la creación y difusión de imágenes íntimas falsas (deepfakes) de una menor. La generación de "contenido sintético" lesivo constituye un tratamiento de datos personales plenamente sujeto al Reglamento General de Protección de Datos (RGPD).

DERECHOS DIGITALES Temas sociales y culturales


Análisis de la Resolución Pionera de la AEPD sobre Contenido Sintético y Protección de Datos

I. Introducción: El Hito del 6 de Noviembre de 2025 y la Regulación del "Contenido Sintético"

El 6 de noviembre de 2025, la Agencia Española de Protección de Datos (AEPD) emitió una resolución que trasciende la mera sanción administrativa para convertirse en un acto fundacional en la gobernanza de la Inteligencia Artificial (IA) en Europa. Al sancionar la creación y difusión de imágenes íntimas falsas (deepfakes) de una menor, la AEPD establece un precedente crucial: la generación de "contenido sintético" lesivo no opera en un vacío legal, sino que constituye un tratamiento de datos personales plenamente sujeto al Reglamento General de Protección de Datos (RGPD).1

Esta actuación es pionera porque la AEPD utiliza el RGPD como la herramienta legal actual y efectiva para combatir el uso indebido de la IA generativa. Lo hace con independencia de la plena entrada en vigor del Reglamento de IA (AI Act) de la UE.3 La tesis central de la Agencia es clara: la manipulación algorítmica de la imagen de una persona (su rostro) es un "tratamiento" de un "dato personal", independientemente de la "falsedad" del contenido resultante.

Este informe analiza en profundidad los hechos del caso, disecciona los fundamentos jurídicos de las resoluciones, clarifica la dualidad de las actuaciones de la AEPD (que incluyen tanto una multa como un apercibimiento), examina la crucial exención de responsabilidad de los intermediarios tecnológicos en este procedimiento y evalúa el impacto de este precedente en la futura regulación de la IA. La AEPD no solo ha castigado una conducta lesiva, sino que ha redefinido el deepfake como un problema de proceso de datos (Data Processing), y no solo como un problema de contenido (penal o de difamación). Al hacerlo, se centra en la ilicitud del acto de tratamiento por carecer de una base de legitimación (Artículo 6.1 del RGPD), lo que amplía exponencialmente el alcance de la protección más allá del ámbito penal.4

II. Reconstrucción Factual y Contextual: El Caso de Almendralejo

Cronología y Contexto Tecnológico

Los hechos que motivaron la intervención de la AEPD se remontan a septiembre de 2023 en Almendralejo (Badajoz).6 Un grupo de adolescentes, con edades comprendidas entre los 12 y 14 años, utilizó una aplicación de IA para crear y difundir imágenes de falsos desnudos de otras chicas menores de edad de su entorno.6

El vector tecnológico fue una aplicación de consumo denominada 'ClothOff'.1 Esta herramienta, accesible comercialmente, está diseñada explícitamente para "desnudar a cualquiera usando IA".8 Su funcionamiento demuestra la nula barrera de entrada para la generación de contenido lesivo: los usuarios suben una fotografía de una persona vestida y la IA, procesando la imagen en la nube, devuelve una imagen sintética realista de esa misma persona desnuda.8

Las imágenes generadas fueron difundidas masivamente, primero en un grupo de WhatsApp creado por los propios menores 11 y, posteriormente, escalaron a otras redes sociales y portales de internet, incluyendo páginas pornográficas.6

La Doble Vía Judicial y Administrativa

El caso se dirimió en dos fueros paralelos, lo que ilustra la insuficiencia del derecho penal tradicional para abarcar la totalidad del daño producido por la IA.

  1. Vía Penal: En un primer momento, el caso fue tratado como un delito. El Juzgado de Menores de Badajoz declaró a 15 menores responsables de delitos contra la integridad moral y de pornografía infantil.6 La condena, que contó con la conformidad de las familias, consistió en un año de libertad vigilada y la obligación de asistir a medidas educativas sobre uso responsable de tecnologías y formación afectivo-sexual.2 Esta vía se centró en la naturaleza del contenido (pornográfico).

  2. Vía Administrativa (AEPD): Paralelamente, la AEPD inició actuaciones de oficio el 20 de septiembre de 2023, tras conocer los hechos por la prensa, y recibió reclamaciones formales de las víctimas.2 La AEPD no se centró en el contenido pornográfico, sino en la vulneración del derecho fundamental a la protección de datos. La Agencia intervino porque el acto mismo de crear el deepfake (la "manipulación" 4) y su difusión, incluso antes de considerar su carácter penal, ya constituye un tratamiento ilícito de datos personales al carecer de consentimiento.

III. Análisis Exhaustivo de los Fundamentos de Derecho

El núcleo de las resoluciones de la AEPD es una aplicación rigurosa del RGPD a un supuesto de hecho tecnológicamente novedoso. La Agencia construye su caso sobre la base de que la manipulación sintética de una imagen es un tratamiento de datos personales.

La Infracción Central: Artículo 6.1 RGPD

El fundamento jurídico clave de la infracción es la vulneración del Artículo 6.1 del RGPD (Licitud del tratamiento).4 La AEPD establece que el tratamiento (creación y difusión de la imagen) se produjo sin concurrir ninguna de las seis bases de legitimación que la ley exige, principalmente, el consentimiento de las afectadas.4

Para llegar a esta conclusión, la AEPD define el objeto de tratamiento:

  • "Dato Personal" (Art. 4.1 RGPD): La Agencia reitera que la imagen de una persona, y concretamente su rostro, es un dato personal en tanto que la identifica o la hace identificable.2

  • "Tratamiento" (Art. 4.2 RGPD): Se establece que tanto la manipulación de esa imagen mediante IA para generar el deepfake como su posterior difusión son operaciones que constituyen un "tratamiento" de datos.5

El Razonamiento Clave: Cerrando la "Brecha de la Ficción"

Un argumento de defensa habitual en casos de deepfakes podría ser que la imagen resultante es "falsa" o "ficticia" y, por tanto, no es un "dato personal" de la víctima. La AEPD desactiva esta defensa en su razonamiento.

En el Expediente PA-00023-2025, la Agencia considera acreditado que el reclamado "(i) difundió una fotografía... manipulada artificialmente para que pareciera desnuda... [y que la manipulación tuvo como resultado] que se asociara el rostro real de una menor de edad a un cuerpo desnudo ajeno, con la connotación sexual que de ello se deriva... y (ii) que dicho tratamiento se efectuó sin que concurriera ninguna de las causas de legitimación".4

Al centrarse en la "asociación" del "rostro real" con un "cuerpo ajeno", la AEPD establece que mientras el deepfake siga haciendo identificable a la persona (Art. 4.1 RGPD), sigue siendo su dato personal. La "falsedad" del cuerpo es irrelevante; la identificabilidad del rostro lo es todo. El deepfake no es, a ojos de la AEPD, una "creación" nueva, sino una manipulación ilícita del dato personal original.

Tipificación de la Infracción

Basada en la vulneración del Art. 6.1, la infracción se tipifica como "muy grave" según la siguiente concatenación legal 4:

  • Artículo 83.5.a) RGPD: Establece que la vulneración de los "principios básicos para el tratamiento, incluidas las condiciones para el consentimiento" (como el Art. 6) se sancionará con las multas más elevadas.

  • Artículo 72.1.b) LOPDGDD: Tipifica como "muy grave" en el ordenamiento español el "tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6" del RGPD.

Tabla 1: Fundamentos Jurídicos de la Infracción (Basado en Exp. PA-00023-2025)

Norma Aplicable

Artículo Vulnerado

Descripción del Precepto

Razonamiento Específico de la AEPD

RGPD

Art. 6.1

Licitud del tratamiento: El tratamiento solo es lícito si se cumple al menos una base legal (p.ej., consentimiento).

Se creó (manipuló) y difundió la imagen de la menor sin su consentimiento ni ninguna otra base de licitud.

RGPD

Art. 83.5.a)

Condiciones generales para la imposición de multas: Infracción de los principios básicos del tratamiento (Arts. 5, 6, 9).

La vulneración del Art. 6.1 activa la potestad sancionadora para infracciones muy graves.

LOPDGDD

Art. 72.1.b)

Infracciones muy graves: Tratamiento de datos sin las condiciones de licitud del Art. 6 RGPD.

Clasifica la infracción a efectos de prescripción (tres años) y gravedad.

RGPD

Art. 4.1

Definición de "Dato Personal"

El rostro de la menor es un dato personal que la hace identificable.

RGPD

Art. 4.2

Definición de "Tratamiento"

La manipulación con IA y la difusión en redes son "tratamientos" de datos.

IV. La Dualidad de la Actuación: Multa (PS-00132-2025) y Apercibimiento (PA-00023-2025)

Una de las claves del análisis es comprender que la actuación de la AEPD no se compone de una única resolución, sino de múltiples actuaciones que demuestran una calibración precisa de sus poderes. Los informes de prensa y los documentos analizados revelan dos resoluciones distintas vinculadas al mismo caso de Almendralejo:

  1. Procedimiento Sancionador (PS-00132-2025): Esta resolución, ampliamente cubierta por los medios 1, impone una multa de 2.000 euros a uno de los menores infractores (notificada a sus representantes legales). Esta multa fue reducida a 1.200 euros debido al "reconocimiento de responsabilidad y al pago voluntario".6

  2. Procedimiento de Apercibimiento (PA-00023-2025): El análisis directo de este documento 4 muestra una decisión diferente: un APERCIBIMIENTO (una advertencia formal sin multa) contra otro infractor, identificado como A.A.A.

No se trata de una contradicción, sino de dos actuaciones administrativas paralelas contra dos infractores distintos, aplicando un principio de proporcionalidad. La AEPD demuestra así la gama completa de sus poderes correctivos (estipulados en el Art. 58 del RGPD).

En el caso del Apercibimiento (PA-00023-2025), la AEPD justifica explícitamente su decisión de no imponer una multa "teniendo en cuenta que la parte reclamada contaba con 13 años en el momento de los hechos".4 Se opta por el poder correctivo (Art. 58.2.b RGPD: "formular un apercibimiento") para equilibrar la ilicitud de la conducta con la posible falta de plena conciencia del menor.

En el caso de la Multa (PS-00132-2025), se aplicó el poder sancionador (Art. 58.2.i RGPD: "imponer una multa administrativa").13 El "pago voluntario" por parte de los representantes del menor 7 constituye una victoria estratégica para la AEPD, ya que implica el reconocimiento de la infracción y blinda el precedente legal. Al renunciar a la vía de recurso contencioso-administrativo (mencionada como opción en 4), el infractor convierte en firme en vía administrativa la novedosa doctrina de la AEPD.

V. La Cuestión de los Intermediarios: La Exención de Responsabilidad de 'ClothOff'

Un aspecto fundamental de la resolución de la AEPD es la decisión de eximir de responsabilidad a los intermediarios tecnológicos. Múltiples fuentes confirman que "La aplicación usada para realizar el montaje (ClothOff), así como las plataformas con las que se difundió, quedan exentos de responsabilidades en la resolución de la AEPD".1

Esta decisión se basa en una estrategia de responsabilidad diferenciada. La AEPD centró su acción en el usuario (el menor) porque, según el Artículo 4.7 del RGPD, él fue quien actuó como "Responsable del Tratamiento".4 Fue el usuario quien "determinó los fines y medios del tratamiento": él decidió a qué víctima fotografiar (fin) y qué herramienta usar y dónde difundir (medios).

Esta es una elección de eficiencia procesal y máximo impacto social. Iniciar un procedimiento sancionador transfronterizo contra 'ClothOff', una entidad con un rastro que conduce a Bielorrusia y Rusia 8, es legalmente complejo y de difícil ejecución. En cambio, sancionar al usuario en España es rápido y el mensaje pedagógico 5 es inmediato y resuena en la sociedad: "si usas esta tecnología, eres el responsable".

Esta estrategia de la AEPD no absuelve a 'ClothOff' de forma global. De hecho, contrasta con la actuación del Garante (la autoridad de datos italiana), que en octubre de 2025 actuó directamente contra 'ClothOff', ordenando una "limitación inmediata del tratamiento". La autoridad italiana atacó al proveedor por una infracción de la "Privacidad desde el Diseño" (Art. 25 RGPD), al considerar sus salvaguardas (como la verificación de edad) "insuficientes".14 Las dos actuaciones no son contradictorias, sino complementarias: la AEPD ataca el uso (el usuario-controlador), mientras el Garante ataca el diseño (el proveedor-controlador).

La actuación de la AEPD ha sido analizada por numerosos expertos juristas, definiendo un nuevo debate sobre los límites de la protección de datos.

El jurista Miguel Ortego Ruiz califica la resolución como un "hito en la defensa del derecho a la identidad digital".5 Su tesis es que la AEPD establece el principio de que "No hay vacío legal en la IA. Si un algoritmo trata datos personales, rige el RGPD".5 Reconoce que es la primera vez que los deepfakes con contenido sexual se constituyen formalmente como tratamiento ilícito de datos personales en sí mismos.5

En la misma línea, el abogado Samuel Parra considera el pronunciamiento "novedoso" no porque la imagen sea un dato personal (lo cual es doctrina asentada), sino por cómo se ha aplicado al proceso de creación de un deepfake. El uso del rostro para generar contenido sintético es el tratamiento sancionado por violar el Art. 6.1.12

No obstante, existe una visión crítica. El jurista Borja Adsuara, citado en la prensa, considera "inapropiado" que la AEPD intervenga, al verlo como un delito contra la intimidad ya juzgado penalmente.7 Su temor es que, si el fundamento es la falta de consentimiento, esto abra la puerta a que la AEPD tenga que gestionar cualquier difusión de datos personales sin permiso, lo cual considera "inmanejable".7

Este debate define la frontera legal. La AEPD, al actuar, se posiciona con la tesis de que el RGPD es una herramienta precisa para abordar un daño (la vulneración del control sobre la propia identidad) que el derecho penal (centrado en el contenido pornográfico) no cubre por completo.

El carácter pionero de la AEPD se refuerza al comparar este caso con el único precedente similar en Europa: el deepfake del canciller alemán Olaf Scholz. En ese caso, un tribunal de Berlín emitió una prohibición cautelar, pero basándose en la "vulneración de derechos de la personalidad" 2, una vía civil. La vía administrativa del RGPD empleada por la AEPD es, para la víctima, más ágil y potente, ya que la Agencia puede actuar de oficio (como hizo) 2 y sus resoluciones son ejecutivas, creando una nueva forma de "tutela administrativa" de la identidad digital.

VII. Conclusiones y Prospectiva Jurídica

La resolución de la AEPD del 6 de noviembre de 2025 es un punto de inflexión. Confirma que la creación de deepfakes sin consentimiento es un tratamiento ilícito de datos que vulnera el Artículo 6.1 del RGPD. Al hacerlo, establece un "derecho a no ser sintetizado" sin consentimiento, protegiendo no solo la privacidad, sino la autenticidad y el control sobre la propia identidad digital. La AEPD envía un mensaje contundente: "la dignidad humana y la privacidad no son editables".5

La actuación de la Agencia demuestra su capacidad para calibrar su respuesta (multa versus apercibimiento) y define una estrategia de responsabilidad centrada en el usuario-controlador, estableciendo un precedente de disuasión social de gran alcance.

De cara al futuro, este precedente dibuja un escenario de doble vía para la litigación contra los deepfakes en Europa:

  1. Responsabilidad del Usuario (Controlador): Los usuarios que creen o difundan deepfakes serán sancionados por violar el Art. 6.1 del RGPD, siguiendo el modelo de la AEPD.

  2. Responsabilidad del Proveedor (Diseñador): Los desarrolladores de aplicaciones tipo 'ClothOff' serán perseguidos por violar el Art. 25 del RGPD (Privacidad desde el Diseño), como en el modelo del Garante italiano 14, y, eventualmente, por incumplir las obligaciones de transparencia y marcado de agua (watermarking) que impone el Reglamento de IA.15

El supuesto "vacío legal" para la IA generativa, en lo que respecta a la identidad personal, ha sido efectivamente cerrado.

Fuentes citadas

  1. Sentencia pionera en Europa contra las imágenes de falsos desnudos creadas con IA., acceso: noviembre 9, 2025, https://detrinidadyasociados.com/sentencia-pionera-en-europa-contra-las-imagenes-de-falsos-desnudos-creadas-con-ia/

  2. Protección de datos impone la primera sanción en Europa por un ..., acceso: noviembre 9, 2025, https://www.lavanguardia.com/vida/20251106/11236961/proteccion-datos-impone-primera-sancion-europa-desnudo-falso-generado-ia.html

  3. La AEPD recuerda que ya puede actuar ante sistemas de IA prohibidos que traten datos personales, con independencia de la entrada en vigor del Reglamento de IA, acceso: noviembre 9, 2025, https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-recuerda-que-ya-puede-actuar-ante-sistemas-de-ia

  4. Expediente N.º: EXP202506010 RESOLUCIÓN DE PROCEDIMIENTO DE APERCIBIMIENTO Del procedimiento instruido por la Agencia Espa, acceso: noviembre 9, 2025, https://www.aepd.es/documento/pa-00023-2025.pdf

  5. Sanción pionera en Europa: la AEPD multa a un menor por la ..., acceso: noviembre 9, 2025, https://miguelortego.com/sancion-pionera-en-europa-la-aepd-multa-a-un-menor-por-la-creacion-de-un-deepfake-sexual-con-inteligencia-artificial/

  6. 'Deepfakes' como objeto de multa: claves de la sanción de la AEPD a un menor por difundir imágenes manipuladas con IA - Newtral, acceso: noviembre 9, 2025, https://www.newtral.es/deepfakes-sancion-aepd/20251107/

  7. Protección de Datos multa con 2.000 euros al difusor de uno de los desnudos falsos de las chicas de Almendralejo - EL PAÍS, acceso: noviembre 9, 2025, https://elpais.com/tecnologia/2025-11-06/sancion-pionera-en-europa-proteccion-de-datos-multa-con-2000-euros-un-desnudo-falso-generado-con-ia.html

  8. Revealed: the names linked to ClothOff, the deepfake pornography app - The Guardian, acceso: noviembre 9, 2025, https://www.theguardian.com/technology/2024/feb/29/clothoff-deepfake-ai-pornography-app-names-linked-revealed

  9. acceso: noviembre 9, 2025, https://www.elconfidencial.com/tecnologia/2023-09-19/clothoff-app-desnudos-ia-policia_3737728/#:~:text=La%20aplicaci%C3%B3n%20permite%20convertir%20en,podr%C3%ADa%20ser%20constitutivo%20de%20delito&text=La%20inteligencia%20artificial%20ya%20est%C3%A1%20presente%20en%20nuestra%20vida%20cotidiana.

  10. “Solo existe para sacar provecho de la explotación sexual”: una adolescente denuncia a la ‘app’ que la desnudó sin permiso para cerrarla para siempre, acceso: noviembre 9, 2025, https://elpais.com/tecnologia/2025-11-05/solo-existe-para-sacar-provecho-de-la-explotacion-sexual-una-adolescente-denuncia-a-la-app-que-la-desnudo-sin-permiso-para-cerrarla-para-siempre.html

  11. acceso: noviembre 9, 2025, https://www.theguardian.com/technology/2024/feb/29/clothoff-deepfake-ai-pornography-app-names-linked-revealed#:~:text=It%20was%20a%20deepfake%2C%20one,set%20up%20by%20other%20schoolchildren.

  12. 'Deepfakes' como objeto de multa: la sanción de la AEPD - Newtral, acceso: noviembre 9, 2025, https://www.newtral.es/deepfakes-sancion-aepd/20251107/?amp

  13. Resolución de la AEPD por manipulación de datos de menores con ..., acceso: noviembre 9, 2025, https://baylos.com/blog/resolucion-de-la-aepd-por-manipulacion-de-datos-de-menores-con-ia

  14. Impacto de la IA en la protección de datos: el “caso Clothoff”., acceso: noviembre 9, 2025, https://www.cuatrecasas.com/es/spain/propiedad-intelectual/art/impacto-ia-proteccion-datos-el-caso-clothoff

  15. EU AI Act: what obligations will tech companies face in 2025?, acceso: noviembre 9, 2025, https://legalcorelabs.com/en/blog/reglamento-de-ia-ai-act-que-obligaciones-tendran-las-empresas-tecnologicas-en-2025

  16. The Concept of Generated Personal Data - University of Windsor, acceso: noviembre 9, 2025, https://www.uwindsor.ca/law/sites/uwindsor.ca.law/files/the_concept_of_generated_personal_data.pdf