España impone la primera sanción en la UE por un deepfake sexual: 2.000 euros

La Agencia Española de Protección de Datos confirma una multa al autor y difusor de una imagen sexual fabricada con inteligencia artificial, un hito regulatorio que marca precedente en la Unión Europea.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros, reducible a 1.200 por pronto pago, a un joven por crear y difundir una imagen sexual falsa generada con inteligencia artificial. La resolución, divulgada entre el 6 y el 7 de noviembre de 2025, se vincula al conocido caso de Almendralejo (Badajoz), donde en 2023 se fabricaron y difundieron desnudos falsos de adolescentes a partir de fotografías reales. Según la autoridad, el tratamiento de los rostros de las víctimas para insertarlos en cuerpos ajenos vulneró su derecho fundamental a la protección de datos.

Se trata de la primera sanción de este tipo en la UE específicamente por la difusión de un deepfake íntimo sin consentimiento, un paso con implicaciones prácticas para España y para el mercado digital europeo. Aunque la cuantía sea modesta si se compara con otras multas del RGPD, los expertos consultados subrayan su valor como precedente: convierte en sancionable, por vía administrativa, la circulación de imágenes sexuales no reales cuando emplean datos personales identificables.

Qué implica esta resolución para usuarios, centros educativos y plataformas

La resolución de la AEPD aterriza en un momento de auge de aplicaciones de "desnudo por IA" y de editores generativos que permiten, con pocos clics, fabricar imágenes verosímiles. En el caso sancionado, el infractor empleó una app de desenmascarado o "undressing" para superponer rostros de menores en cuerpos desnudos y después compartir el montaje por mensajería y redes sociales. La AEPD enmarca la infracción en el tratamiento ilícito de datos personales (rostros) con una finalidad sexual no consentida, lo que activa el régimen sancionador del RGPD y de la Ley Orgánica de Protección de Datos (LOPDGDD).

En la práctica, la decisión sirve de guía para centros educativos, familias y empresas tecnológicas: demuestra que los deepfakes íntimos no solo pueden tener derivadas penales, sino también consecuencias administrativas claras y rápidas. Además, eleva el listón de diligencia esperada a quien reenvía o amplifica contenidos manipulados, puesto que la difusión misma puede constituir tratamiento de datos. Para plataformas y servicios de alojamiento, la resolución refuerza la urgencia de mejorar sistemas de detección, retirada ágil y trazabilidad, alineándose con las obligaciones de diligencia debida del Reglamento de Servicios Digitales (DSA).

Fuentes jurídicas señalan que el expediente abre una vía para que las víctimas de montaje sexual no real reclamen tutela sin necesidad de procesos penales largos. En paralelo, el contexto normativo europeo está evolucionando: la aplicación del Acta de IA y los trabajos de las autoridades de protección de datos perfilan un terreno con obligaciones de transparencia, etiquetado y controles de riesgo para herramientas generativas, especialmente cuando afectan a menores.

• Cuantía y reducción: 2.000 euros, con reducción a 1.200 por reconocimiento y pronto pago.
• Hechos: creación y difusión de imágenes sexuales falsas con IA a partir de fotos reales (caso Almendralejo, 2023).
• Base legal: tratamiento ilícito de datos personales (rostros) según RGPD y LOPDGDD.
• Ámbito: primera sanción de este tipo en la UE por difusión de deepfakes íntimos.
• Impacto: refuerzo de la vía administrativa para tutela rápida de víctimas y obligaciones reforzadas de retirada para plataformas.

"Aunque las imágenes no fueran reales, la inclusión de rostros identificables convierte su difusión en un tratamiento de datos personales sin legitimación ni consentimiento". — Resolución comunicada por la Agencia Española de Protección de Datos.

En España, la coordinación entre autoridades educativas, fuerzas de seguridad y la AEPD se considera clave para atajar la proliferación de montajes íntimos cuando afectan a menores. La sanción llega tras un ciclo de resoluciones y campañas en las que el regulador ha reiterado que las técnicas de manipulación de imágenes pueden lesionar gravemente la intimidad y generar daños psicológicos sostenidos. En paralelo, los juzgados de menores ya habían dictado medidas en el ámbito penal por los hechos de 2023, mientras que el frente administrativo ofrece una respuesta adicional centrada en la protección de datos.

Para el tejido tecnológico, el mensaje es nítido: las herramientas generativas deben incorporar salvaguardas contra usos abusivos, desde limitaciones técnicas hasta señales de autenticidad. En el plano corporativo, se recomienda revisar políticas internas de uso de IA, reforzar canales de denuncia y adoptar procesos de retirada expeditiva cuando aparezcan contenidos sospechosos, en especial aquellos que afecten a menores. Con la primera sanción europea de este tipo ya dictada, el estándar de diligencia evoluciona de la mano de la regulación.

Contexto y fuentes: información difundida por la Agencia Española de Protección de Datos; cobertura de medios generalistas y especializados en tecnología y privacidad sobre la resolución; análisis y cronología del caso de Almendralejo en prensa nacional.