La Agencia Española de Protección de Datos (AEPD) ha dictado la resolución EXP202314956 en la que concluye que la manipulación de imágenes mediante sistemas de inteligencia artificial para generar desnudos —los denominados deepfakes sexuales— constituye un tratamiento de datos personales sujeto al Reglamento General de Protección de Datos (RGPD). Sin embargo, archiva el procedimiento sancionador al considerar que la conciliación alcanzada en la jurisdicción de menores ya ha satisfecho la finalidad punitiva.
EN 30 SEGUNDOS
- ¿Qué ha resuelto la AEPD? La Agencia considera que capturar una imagen de una red social, transformarla con IA para que la persona aparezca desnuda y difundirla por mensajería es un tratamiento de datos personales ilícito, y califica al autor como responsable del tratamiento según el artículo 4.7 del RGPD.
- ¿Qué base jurídica aplica? El artículo 4.7 del RGPD define al responsable del tratamiento como quien determina los fines y medios. La AEPD entiende que el menor actuó con ese control, por lo que le resulta aplicable el reglamento.
- ¿Qué impacto tiene? Aunque el expediente se archiva por haberse alcanzado una conciliación penal previa, la resolución sienta doctrina para futuras denuncias por deepfakes entre menores o entre adultos, al delimitar que la simple creación de la imagen falsa ya es un tratamiento ilícito de datos.
Antecedentes del procedimiento
El caso se originó cuando la madre de una menor recibió una captura de pantalla de un amigo de su hija, en la que se advertía de que un compañero de clase había difundido una fotografía de la chica manipulada con inteligencia artificial para hacerla aparecer desnuda. La imagen original había sido publicada en una red social por la propia afectada.
Tras la denuncia, se abrieron dos vías simultáneas: la penal, ante el Juzgado de Menores, y la administrativa, ante la AEPD. En sede judicial, se alcanzó un acuerdo de conciliación mediante el cual el menor agresor reconoció el daño causado y se disculpó; como contrapartida, la víctima aceptó las disculpas y se impusieron medidas educativas.
La resolución de la AEPD: calificación jurídica y archivo
La Agencia Española de Protecion de Datos, en el expediente EXP202314956, acredita que la conducta objeto de la queja constituye un tratamiento de datos personales en el sentido del artículo 4.2 del RGPD. Para la Agencia, el menor, al seleccionar la fotografía, utilizar una herramienta de IA para desnudarla y, posteriormente, difundirla a través de WhatsApp, determinó los fines y los medios de dicho tratamiento. En consecuencia, cumplía con la definición de responsable del tratamiento recogida en el artículo 4.7 del RGPD.
El análisis de la autoridad de control se centra en el momento del tratamiento y no en la viralización ulterior. La mera creación y envío de la imagen alterada ya supone una infracción del principio de licitud y del deber de minimización, al procesar datos personales sin base legal alguna. La AEPD descarta cualquier duda sobre la aplicación del RGPD a supuestos de deepfakes sexuales realizados por particulares.
La AEPD fija un criterio claro: la mera creación de un deepfake sexual mediante IA constituye un tratamiento ilícito de datos personales, sin necesidad de que la imagen llegue a viralizarse.
Pese a la infracción detectada, la resolución acuerda el archivo del expediente sancionador. El fundamento es que la conciliación alcanzada en el Juzgado de Menores ya ha satisfecho el fin punitivo perseguido. La AEPD considera que castigar al menor por la misma conducta supondría una duplicidad sancionadora materialmente injusta, en línea con los principios de proporcionalidad y buena administración.
La Doctrina de la AEPD
La resolución de la AEPD define un estándar interpretativo con proyección de futuro. En primer lugar, delimita que cualquier operación sobre imágenes que identifiquen o hagan identificable a una persona —como desvestirla digitalmente— es tratamiento de datos, por lo que debe cumplir con las exigencias de licitud, lealtad y transparencia del RGPD. La Agencia se aparta de concepciones que situaban el riesgo exclusivamente en la difusión masiva: el mero procesamiento de la imagen ya constituye la infracción.
La base jurídica se sustenta en los artículos 4.2 y 4.7 del RGPD, así como en el principio de limitación de finalidad. Aunque la resolución no es jurisprudencia en sentido estricto, su valor como precedente administrativo es notable. La AEPD se alinea con el criterio del Comité Europeo de Protección de Datos (CEPD) sobre la aplicación del reglamento a los tratamientos realizados por personas físicas en entornos no puramente domésticos. En este caso, la difusión a terceros rompe la excepción doméstica.
El impacto práctico para abogados y ciudadanos es doble. Por un lado, habilita a la AEPD a intervenir en situaciones de deepfakes sexuales incluso cuando no existe una distribución masiva, lo que refuerza la protección de los derechos digitales de menores y adultos. Por otro, la resolución advierte que, en ausencia de una conciliación penal previa, la sanción administrativa podría haber alcanzado cuantías significativas, conforme a lo previsto en la Ley Orgánica de Protección de Datos.
La proyección del criterio es relevante: el número de denuncias por deepfakes ha crecido exponencialmente y esta doctrina administrativa puede orientar la actuación de los juzgados de primera instancia en reclamaciones civiles por daños. La resolución no ha sido recurrida y se encuentra firme.
FICHA DEL CASO
- El caso: Queja de la madre de una menor por la manipulación de una fotografía de su hija con IA para simular un desnudo y su posterior envío por WhatsApp. Denuncia simultánea en vía penal (Juzgado de Menores) y ante la AEPD.
- Datos importantes: Resolución EXP202314956. Artículo 4.7 del RGPD. La AEPD considera al menor responsable del tratamiento. Archivo por conciliación previa. La sanción administrativa no se impone.
- Fecha de los juicios: La conciliación judicial se alcanzó con anterioridad a la resolución administrativa. La resolución de la AEPD se dictó en 2026 (fecha exacta no publicada).
- Personas acusadas y por qué: Menor de edad —su identidad no se revela— acusado de un delito contra la integridad moral y/o contra la intimidad, así como de infracción del RGPD.
