La proliferación de herramientas capaces de generar imágenes falsas altamente verosímiles —los denominados deepfakes— ha introducido un riesgo emergente en la protección de datos, la integridad digital y la seguridad de menores. La Agencia Española de Protección de Datos (AEPD) ha impuesto la primera sanción administrativa en Europa por la generación y difusión de un “desnudo falso por IA”.
La resolución sanciona a un individuo con 2.000 euros, reducidos a 1.200 euros por pronto pago, en un expediente relacionado con menores que crearon y difundieron imágenes manipuladas de compañeras menores utilizando una aplicación de IA capaz de superponer rostros reales sobre cuerpos desnudos ajenos. Circulando por redes sociales y plataformas pornográficas.
Este caso presenta un punto de inflexión: la AEPD reconoce de forma expresa que la elaboración de un deepfake constituye un tratamiento de datos personales y, requiere una base jurídica válida. La ausencia de consentimiento es tratamiento en ilícito conforme al art. 6 del RGPD.
1. ¿Por qué esta sanción es tan relevante desde el punto de vista jurídico?
1.1. La imagen como dato personal
La imagen es, de acuerdo con el art. 4.1 RGPD, un dato personal identificable. Incluso cuando el cuerpo es ficticio, la manipulación digital mantiene la identificación del rostro, lo que hace aplicable la normativa de protección de datos. El RGPD y la LOPDGDD son taxativos:
- El tratamiento de datos de menores requiere especial protección (considerando 38 RGPD).
- El consentimiento debe ser expreso y verificable; en el caso de menores, otorgado por quien ostente la patria potestad (art. 7 LOPDGDD).
En el caso sancionado, no existió consentimiento, ni se invocó ninguna base jurídica alternativa.
1.2. La “verosimilitud” del deepfake agrava el daño
El hecho de que el desnudo no sea real no reduce la gravedad del tratamiento. La AEPD subraya que el perjuicio reside en:
- La representación explícita de una menor.
- La apariencia de realidad.
- La pérdida de control sobre su identidad digital.
- La capacidad de difusión masiva e irreversible en entornos digitales.
1.3. Tratamiento ilícito e infracción
La creación y difusión de un deepfake con fines sexuales constituye:
- Tratamiento ilícito de datos personales (art. 6 RGPD).
- Posible vulneración del principio de minimización, proporcionalidad y lealtad (art. 5 RGPD).
- Tratamiento sin consentimiento de datos de menores (art. 7 LOPDGDD).
A nivel penal, podría además constituir: Delito contra la integridad moral, Pornografía infantil simulada en función del caso (art. 189 CP), y Descubrimiento y revelación de secretos (art. 197 CP).
2. Menores, deepfakes y responsabilidad: un triángulo crítico
Cuando los implicados son menores, el análisis jurídico debe ampliarse al régimen de responsabilidad penal, civil y administrativa.
2.1. Responsabilidad penal
- Entre 14 y 17 años, el menor puede responder penalmente conforme a la Ley Orgánica 5/2000 (LORPM).
- Entre 0 y 13 años, no hay responsabilidad penal, pero sí civil para los padres.
2.2. Responsabilidad civil de los padres
El Código Civil establece que padres y tutores responden por los daños causados por los menores bajo su guarda. Esto incluye:
- Afectación al derecho a la propia imagen.
- Daños morales.
- Perjuicios derivados de la difusión del contenido.
Los tribunales españoles vienen cuantificando el daño moral por difusión de contenidos sexuales de menores de forma especialmente severa.
2.3. Responsabilidad administrativa
En materia de protección de datos:
- La AEPD puede sancionar directamente al menor si tiene capacidad suficiente (normalmente a partir de 14 años).
- Los padres pueden ser responsables por falta de supervisión, especialmente cuando hay infracción del deber de diligencia digital.