· Jonathan Izquierdo · Legal  ·

12 min de lectura

AEPD impone primera multa en la UE por deepfake íntimo con IA

La resolución PS-00132-2025 marca un precedente europeo. 2.000€ de sanción y reforma del Código Penal con penas de 1-2 años de prisión por deepfakes sexuales.

La resolución PS-00132-2025 marca un precedente europeo. 2.000€ de sanción y reforma del Código Penal con penas de 1-2 años de prisión por deepfakes sexuales.

En noviembre de 2025, la Agencia Española de Protección de Datos (AEPD) impuso la primera sanción en la Unión Europea por la creación y distribución de imágenes íntimas generadas con inteligencia artificial [1]. La resolución PS-00132-2025 establece un precedente que cambia las reglas del juego: las imágenes manipuladas con IA son datos personales y su difusión sin consentimiento viola el RGPD.

La multa fue de 2.000 euros (reducida a 1.200 euros por pago voluntario). Puede parecer una cantidad simbólica, pero lo relevante no es la cifra sino el razonamiento jurídico: la AEPD ha abierto una vía para perseguir los deepfakes íntimos cuando el Código Penal no alcanza. Como perito informático forense, analizo las implicaciones técnicas y legales de esta resolución y lo que significa para víctimas, abogados y profesionales de la seguridad digital.

TL;DR: lo que necesitas saber en 60 segundos

AspectoDetalle
ResoluciónAEPD PS-00132-2025 (6-7 noviembre 2025)
Sanción2.000 euros (1.200 euros con pago voluntario)
InfracciónArt. 6.1 RGPD: tratamiento de datos sin base legal
PrecedentePrimera sanción de una DPA europea por deepfakes íntimos con IA
Razonamiento claveLas imágenes generadas por IA son datos personales si permiten identificar a la persona
Reforma penalNuevo art. 173 bis CP: 1-2 años de prisión por deepfakes sexuales (aprobado marzo 2025)
Caso referenciaAlmendralejo (Badajoz): 15 menores condenados por generar desnudos IA de compañeras

La resolución PS-00132-2025: qué dice y por qué importa

El 6 y 7 de noviembre de 2025, la AEPD publicó la resolución que marca un antes y un después en la regulación de los deepfakes en Europa [1][6]. El caso involucra la creación y distribución de imágenes íntimas generadas mediante inteligencia artificial, utilizando fotografías reales de la víctima obtenidas de redes sociales.

El razonamiento jurídico clave

La AEPD fundamenta su sanción en un argumento que hasta ahora no se había aplicado a deepfakes: las imágenes manipuladas con IA constituyen datos personales en el sentido del art. 4.1 del RGPD, siempre que permitan identificar directa o indirectamente a la persona representada [5][6].

Precedente jurídico

La AEPD establece que generar imágenes íntimas con IA a partir de fotos reales es un «tratamiento de datos personales» que requiere base legal conforme al art. 6.1 del RGPD. Sin consentimiento explícito de la persona retratada, el tratamiento es ilícito y sancionable.

Esto es significativo porque abre una puerta que el derecho penal español tenía cerrada. La infracción se califica como vulneración del art. 6.1 del RGPD (tratamiento sin base de licitud), con una sanción de 2.000 euros que se redujo a 1.200 euros mediante el mecanismo de pago voluntario con reducción del 20% previsto en la LOPDGDD [1][5].

Por qué la sanción es baja pero el precedente es enorme

Los 2.000 euros pueden parecer insuficientes. Pero hay que entender el contexto: la AEPD ha establecido que cualquier autoridad de protección de datos de la UE puede actuar contra los deepfakes íntimos utilizando el RGPD como herramienta. Hasta esta resolución, las víctimas de deepfakes íntimos en Europa se encontraban en un limbo legal que ahora tiene una salida concreta.

El caso Almendralejo: 15 menores, 20 víctimas y una sentencia pionera

En septiembre de 2023, en Almendralejo (Badajoz), 15 menores de entre 12 y 14 años utilizaron aplicaciones de inteligencia artificial para generar imágenes de desnudos a partir de fotografías reales de aproximadamente 20 compañeras de colegio, obtenidas de sus perfiles de redes sociales [3][10].

Las imágenes fueron distribuidas a través de grupos de WhatsApp y, en algunos casos, publicadas en sitios web pornográficos. El caso generó alarma social en toda España y puso sobre la mesa la vulnerabilidad de los menores ante las herramientas de IA generativa.

La sentencia del Juzgado de Menores de Badajoz

El 20 de junio de 2024, el Juzgado de Menores de Badajoz dictó sentencia condenando a los 15 menores por [3][10]:

  • 20 delitos de elaboración de pornografía infantil (art. 189.1 CP)
  • 20 delitos contra la integridad moral (art. 173.1 CP)

La pena impuesta fue de un año de libertad vigilada con obligación de participar en programas formativos sobre uso responsable de tecnologías y respeto a la intimidad [3].

Sentencia pionera en Europa

Es la primera sentencia en Europa que condena la creación de desnudos generados por IA de menores. El tribunal aplicó los tipos de pornografía infantil e integridad moral al considerar que, aunque las imágenes no eran reales, representaban a menores identificables en contextos sexuales explícitos.

La conexión entre Almendralejo y la resolución AEPD

El caso Almendralejo se resolvió por vía penal porque las víctimas eran menores, lo que permitía aplicar los delitos de pornografía infantil. Pero cuando las víctimas son adultas, el encaje penal es mucho más complejo. Aquí es donde la resolución de la AEPD cobra especial importancia: ofrece una vía administrativa cuando la penal no es viable [1][9].

El art. 197.7 del Código Penal castiga a quien, sin autorización, difunda imágenes o grabaciones íntimas de otra persona que hubieran sido obtenidas con el consentimiento de la víctima [7]. Este es el llamado «delito de sexting no consentido» o «revenge porn».

El problema con los deepfakes íntimos es doble:

Requisito del art. 197.7 CPCumplimiento en deepfakes
La imagen debe ser realLas imágenes generadas por IA no son reales: nunca existió ese desnudo
La imagen debe haberse obtenido con consentimientoLa foto original (vestida) se obtuvo de redes sociales, pero la imagen íntima nunca fue consentida porque nunca fue creada por la víctima
Debe haber difusiónSí se cumple en la mayoría de casos
Laguna legal crítica

El art. 197.7 CP fue redactado para el «revenge porn» clásico: difusión de imágenes íntimas reales. Los deepfakes íntimos generados con IA no encajan técnicamente en este tipo penal porque la imagen íntima nunca existió como tal. Esta laguna es la que la AEPD ha cubierto con su resolución vía RGPD y la que el nuevo art. 173 bis CP pretende cerrar definitivamente.

Esta laguna explica por qué la AEPD tuvo que recurrir al RGPD para sancionar: el derecho penal no ofrecía un tipo específico para esta conducta en el caso de víctimas adultas [7][9].

La reforma penal: nuevo art. 173 bis del Código Penal

El 25 de marzo de 2025, el Consejo de Ministros aprobó una reforma que introduce el art. 173 bis en el Código Penal, dentro de la Ley Orgánica para la Protección de Personas Menores de Edad en los Entornos Digitales [4][8].

Qué tipifica el nuevo artículo

El art. 173 bis penaliza específicamente la generación y distribución de imágenes creadas mediante inteligencia artificial que simulen contenido sexual o situaciones vejatorias de una persona identificable, sin su consentimiento.

AspectoDetalle
Conducta típicaGenerar, difundir o poseer con intención de difundir imágenes IA de contenido sexual sin consentimiento
Pena base1 a 2 años de prisión
Agravante menoresPenas superiores cuando la víctima es menor de edad
Novedad adicionalLa edad de consentimiento digital sube de 14 a 16 años
EstadoAprobado en Consejo de Ministros (marzo 2025), en tramitación parlamentaria

Esta reforma cierra la laguna que hemos descrito: ya no será necesario recurrir al RGPD como vía alternativa, porque existirá un tipo penal específico. Sin embargo, hasta que entre plenamente en vigor, la vía administrativa de la AEPD sigue siendo la herramienta más eficaz [4][8].

Detección forense de deepfakes: cómo trabaja un perito informático

Como perito informático forense, mi trabajo en estos casos tiene dos vertientes: demostrar que una imagen es un deepfake generado por IA y preservar la evidencia digital con validez judicial. He descrito el proceso en detalle en mi guía sobre detección forense de deepfakes.

Metodología de análisis

  1. Análisis de metadatos EXIF/XMP: las imágenes generadas por IA suelen carecer de metadatos de cámara (modelo, focal, GPS) o presentar metadatos inconsistentes con un dispositivo real. Una foto de móvil tiene decenas de campos EXIF; un deepfake generado por IA, cero o campos genéricos

  2. Detección de artefactos GAN: las redes generativas adversarias (GAN) dejan patrones específicos en la frecuencia de la imagen que no son visibles al ojo humano pero sí detectables mediante análisis espectral. Irregularidades en texturas de piel, pelo, orejas y fondos son indicadores típicos

  3. Análisis de consistencia de iluminación: la IA tiene dificultades para mantener la coherencia de sombras, reflejos y fuentes de luz entre el rostro manipulado y el cuerpo original. Un análisis de mapa de normales y dirección de luz puede revelar inconsistencias

  4. Verificación de procedencia: rastreo de la imagen a través de búsqueda inversa, análisis de la cadena de distribución (WhatsApp, Telegram, webs) y verificación contra la foto original de redes sociales para confirmar la fuente

  5. Error Level Analysis (ELA): cuando se superpone un rostro generado por IA sobre un cuerpo real, las diferentes áreas de la imagen presentan niveles de compresión distintos que el ELA puede visualizar

Para un análisis detallado de estas técnicas aplicadas a casos judiciales, puedes consultar mi artículo sobre estafas con deepfakes en España donde abordo la dimensión económica del fenómeno.

Qué aporta un informe pericial en estos casos

Elemento del informeFunción probatoria
Certificación hash SHA-256Garantiza que la evidencia no ha sido alterada desde su preservación
Análisis de artefactos IADemuestra que la imagen fue generada artificialmente, no capturada
Comparación con foto originalIdentifica la fuente utilizada para crear el deepfake
Rastreo de distribuciónDocumenta la cadena de difusión (grupos WhatsApp, webs, redes)
Conclusiones y ratificaciónEl perito ratifica el informe ante el juez con garantías procesales

En casos de ciberviolencia de género, la preservación de evidencia con garantías es especialmente crítica porque los agresores suelen eliminar el material una vez descubiertos.

Implicaciones para abogados y víctimas

Si representas a una víctima

  1. Preserva la evidencia inmediatamente: solicita un análisis forense digital antes de que el agresor elimine las imágenes. La certificación con hash y sello temporal es imprescindible

  2. Valora la doble vía: denuncia penal (arts. 173 bis, 197 o 189 CP según el caso) y reclamación ante la AEPD por infracción del RGPD. Ambas vías son compatibles y complementarias

  3. Identifica al autor: un perito puede rastrear el origen de las imágenes a través de metadatos, cuentas de distribución y herramientas de IA utilizadas

  4. Solicita medidas cautelares de retirada: con el informe pericial, puedes solicitar al juzgado la retirada inmediata de las imágenes de plataformas y buscadores

  5. Cuantifica el daño: el peritaje incluye documentación que permite valorar el perjuicio moral y patrimonial para la reclamación de indemnización

Si eres abogado y necesitas soporte pericial en un caso de deepfakes, ofrezco consulta inicial gratuita por videollamada para evaluar la viabilidad técnica del caso.

Si eres víctima

Actúa rápido. El tiempo es el peor enemigo en estos casos:

  • No borres nada: ni de tu móvil ni de tus redes. Todo es evidencia
  • Haz capturas certificadas: herramientas como eGarante o SafeStamper dan fe de la existencia del contenido en una fecha concreta
  • Denuncia ante la Policía y, en paralelo, presenta reclamación ante la AEPD (tutela de derechos, vía online)
  • Contacta con un perito informático: un informe pericial acelera el proceso y es determinante para la sanción o condena

Preguntas frecuentes

¿Puede la AEPD sancionar deepfakes íntimos aunque no haya denuncia penal?

Sí. La vía administrativa ante la AEPD es independiente de la vía penal. La resolución PS-00132-2025 demuestra que la AEPD puede actuar por infracción del art. 6.1 del RGPD sin necesidad de que exista procedimiento penal previo. Ambas vías son compatibles y la víctima puede ejercerlas simultáneamente [1][5][6].

¿Qué pena tiene crear deepfakes sexuales en España tras la reforma?

Con el nuevo art. 173 bis del Código Penal, la creación y difusión de imágenes generadas por IA que simulen contenido sexual de una persona identificable sin su consentimiento se castiga con penas de 1 a 2 años de prisión. Si la víctima es menor de edad, las penas son superiores. La reforma fue aprobada por el Consejo de Ministros en marzo de 2025 [4][8].

¿Cuánto cuesta un peritaje forense de deepfakes íntimos?

El análisis forense de un caso de deepfakes íntimos oscila entre 400 y 1.200 euros, dependiendo de la complejidad: número de imágenes, plataformas de distribución implicadas y necesidad de rastreo del autor. El servicio incluye informe pericial con validez judicial y disponibilidad para ratificación ante el juzgado.

¿Necesitas un peritaje forense de deepfakes?

Consulta gratuita por videollamada. Preservamos la evidencia digital, analizamos las imágenes con metodología forense ISO 27037 y elaboramos el informe pericial para tu procedimiento.

Solicitar consulta gratuita

Conclusión: un precedente que cambia las reglas

La resolución PS-00132-2025 de la AEPD no es solo una multa de 2.000 euros. Es el reconocimiento formal de que las imágenes generadas por IA son datos personales protegidos por el RGPD y que su manipulación sin consentimiento tiene consecuencias legales. Combinada con el nuevo art. 173 bis del Código Penal, España está construyendo un marco jurídico que otros países europeos aún no tienen.

Para las víctimas, esto significa que ya no están desprotegidas. Para los agresores, que la impunidad tiene fecha de caducidad. Y para abogados y peritos, que disponemos de herramientas jurídicas y técnicas cada vez más robustas para actuar.

Si sospechas que alguien ha creado o difundido imágenes íntimas tuyas generadas con IA, no esperes. La evidencia digital es volátil y cada hora que pasa reduce las posibilidades de identificar al responsable y retirar el material.

Referencias

  1. Newtral - «Deepfakes como objeto de multa: claves de la sanción de la AEPD» (noviembre 2025)
  2. Xataka - «Multa por crear desnudos con IA: 2.000 euros» (noviembre 2025)
  3. CGPJ/Poder Judicial - Sentencia Juzgado de Menores de Badajoz, 20 de junio de 2024: libertad vigilada para 15 menores por desnudos IA
  4. Ministerio de la Presidencia - «El Gobierno tipifica los deepfakes sexuales como delito» (25 marzo 2025)
  5. Prodat - «Primera sanción de la AEPD por imágenes generadas con IA» (noviembre 2025)
  6. AEPD - Resolución PS-00132-2025 (6-7 noviembre 2025)
  7. BOE - Art. 197.7 del Código Penal (LO 10/1995, modificado por LO 1/2015)
  8. Ministerio de Juventud e Infancia - Comunicado sobre deepfakes y grooming en menores (2025)
  9. Giambrone & Partners - «Protección jurídica frente a la difusión de imágenes íntimas no consentidas» (2025)
  10. De Trinidad y Asociados - «Sentencia pionera en Europa por desnudos generados con IA» (junio 2024)

Sobre el autor: Jonathan Izquierdo es perito informático forense, ex-CTO y 5x AWS Certified, especializado en evidencia digital y análisis forense con metodología ISO 27037.

Última actualización: Febrero 2026

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Legal con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp