Ética IA

Ultrafalsificaciones menores edad: el nuevo marco penal en España

10 de junio de 2026•

Desafíos Jurídicos de las Ultrafalsificaciones en la Adolescencia: Un Análisis del Marco Normativo de la Unión Europea y España (2024-2026)

Índice

1. Introducción 1.1. Contextualización: De la manipulación analógica a la inteligencia artificial generativa 1.2. La especial vulnerabilidad de la adolescencia en el entorno digital 1.3. Objetivos, metodología y limitaciones del estudio

2. Aproximación conceptual y técnica a las ultrafalsificaciones (deepfakes) 2.1. Definición legal: "deep fake" en la Ley de IA y "ultrafalsificación" en el ordenamiento español 2.2. Evolución técnica: de las GANs a los modelos de difusión 2.3. Herramientas de "desnudamiento algorítmico" (nudification): accesibilidad y masificación

3. Impacto de los deepfakes en la infancia y adolescencia 3.1. Dimensiones del daño psicológico, emocional y social 3.2. Perspectiva de género: la violencia sexual digital y la cosificación algorítmica 3.3. Otros riesgos: desinformación y adicciones comportamentales

4. Marco normativo de la Unión Europea 4.1. El Reglamento (UE) 2024/1689 (Ley de IA): clasificación de riesgos y prácticas prohibidas 4.2. Obligaciones de transparencia: etiquetado y marcaje de agua (watermarking) 4.3. El Reglamento de Servicios Digitales (DSA) y la protección de menores 4.4. Verificación de edad y la identidad digital europea

5. El sistema jurídico español ante los deepfakes 5.1. El Proyecto de Ley Orgánica para la protección de menores en entornos digitales 5.2. Reformas del Código Penal: tipificación de la ultrafalsificación (nuevo art. 173 bis) 5.3. Medidas procesales: alejamiento virtual e interrupción judicial de servicios 5.4. La Agencia Española de Supervisión de IA (AESIA)

6. Análisis jurisprudencial y administrativo: el precedente de Almendralejo 6.1. La respuesta de la jurisdicción de menores 6.2. La vía administrativa de la AEPD: el tratamiento ilícito de datos personales 6.3. El desdoblamiento procesal como estrategia de tutela digital

7. Perspectiva internacional comparada 7.1. Reino Unido: Online Safety Act y penalización de la mera creación 7.2. Estados Unidos: iniciativas federales y modelo californiano 7.3. Australia: enmiendas al Código Penal 7.4. Francia y Alemania: reformas legislativas

8. Estrategias preventivas, educativas y de corresponsabilidad 8.1. La Estrategia Nacional de protección a la infancia en el entorno digital 8.2. Protocolos educativos: el estándar del "acto viralizado único" 8.3. Responsabilidad de los fabricantes: control parental por diseño

9. Conclusiones y propuestas de lege ferenda 9.1. La antinomia entre capacidad de obrar y responsabilidad penal 9.2. Hacia una verificación de edad efectiva y respetuosa con la privacidad 9.3. Necesidad de investigación empírica y evaluación de políticas

10. Referencias

1. Introducción

1.1. Contextualización: De la manipulación analógica a la inteligencia artificial generativa

El desarrollo tecnológico de las últimas dos décadas ha transformado radicalmente la producción de contenido audiovisual. Si bien la edición digital de imágenes existe desde los albores del software de retoque fotográfico, la irrupción de la inteligencia artificial (IA) basada en aprendizaje profundo (deep learning) ha automatizado y democratizado la capacidad de generar falsificaciones hiperrealistas (1). Estas creaciones, conocidas como deepfakes o "ultrafalsificaciones", consisten en contenidos sintéticos de imagen, audio o vídeo que se asemejan con extrema precisión a personas, objetos o sucesos reales, induciendo a error sobre su autenticidad (2).

La magnitud del fenómeno es considerable. El Reglamento (UE) 2024/1689, la denominada "Ley de IA", dedica su artículo 50 a la transparencia de los sistemas generativos, entre los que se incluyen los generadores de deepfakes (2). A mediados de 2026, el Parlamento Europeo alcanzó un acuerdo provisional para reforzar las disposiciones contra las aplicaciones de "desnudamiento algorítmico" (nudificación), prohibiendo expresamente los sistemas de IA que generen material de abuso sexual infantil o representaciones íntimas explícitas de personas identificables sin su consentimiento (3). Se estima que existen cerca de 35.000 aplicaciones de este tipo disponibles públicamente, y algunas de ellas han llegado a generar hasta 23.000 piezas de material de abuso sexual infantil en apenas once días (3).

1.2. La especial vulnerabilidad de la adolescencia en el entorno digital

La infancia y la adolescencia constituyen etapas del desarrollo en las que la madurez cognitiva, la autoestima y la capacidad de discernimiento aún se están formando (4). El acceso a contenidos inapropiados o manipulados mediante IA puede derivar en daños psicológicos, emocionales y sociales graves (4). El Comité de los Derechos del Niño, en su Observación General Nº 25 (2021), estableció que los derechos consagrados en la Convención sobre los Derechos del Niño son plenamente aplicables en el entorno digital, y los Estados parte tienen la obligación de adoptar medidas para prevenir la violencia digital y proteger la intimidad, el honor y la imagen de los menores (5).

En España, el denominado "caso Almendralejo" (2023-2024) actuó como catalizador de la reforma legal: un grupo de menores utilizó una aplicación de IA para generar falsos desnudos de sus compañeras y difundirlos a través de grupos de mensajería (6). La respuesta combinada de la jurisdicción de menores y de la Agencia Española de Protección de Datos (AEPD) evidenció la insuficiencia de los marcos jurídicos tradicionales (6). Según encuestas reflejadas por el Gobierno español, la protección de la infancia en entornos digitales preocupa a más del 90% de la ciudadanía en España y en el conjunto de Europa (7).

1.3. Objetivos, metodología y limitaciones del estudio

El presente artículo tiene como objetivo analizar las medidas legislativas y los mecanismos de garantía establecidos en la Unión Europea y, en particular, en España para proteger a los menores de edad ante el impacto de las ultrafalsificaciones. Mediante una metodología de revisión analítico-jurídica de fuentes normativas (Reglamentos comunitarios, proyectos de ley, códigos penales), jurisprudenciales y administrativas (resoluciones de la AEPD) e informes técnicos de organismos oficiales, el estudio se propone delimitar el marco regulatorio aplicable y evaluar la eficacia de las reformas recientes.

Limitaciones del estudio: Este análisis no incluye datos empíricos propios. Se basa en fuentes secundarias y documentos públicos disponibles hasta el segundo semestre de 2026. No se examina la implementación práctica de las normativas en todos los Estados miembros de la UE, sino solo en un conjunto representativo. La rapidez de los cambios tecnológicos implica que algunas disposiciones aquí analizadas puedan quedar obsoletas o ser sustituidas por nuevas regulaciones.

2. Aproximación conceptual y técnica a las ultrafalsificaciones (deepfakes)

2.1. Definición legal: "deep fake" en la Ley de IA y "ultrafalsificación" en el ordenamiento español

La Ley de IA introduce en su articulado el concepto de "deep fake" (en español, "ultrasuplantación"). El artículo 50, apartado 3, del Reglamento (UE) 2024/1689 obliga a los usuarios (deployers) de sistemas de IA que generen o manipulen contenido de imagen, audio o vídeo que se asemeje apreciablemente a personas, objetos o eventos existentes y que pudiera inducir a error a una persona haciéndole creer falsamente que es auténtico o veraz a que revelen que dicho contenido ha sido generado o manipulado artificialmente, en cuyo caso la revelación debe hacerse de manera adecuada sin perjudicar la presentación (2). La excepción se aplica cuando el uso está autorizado por ley para la detección, prevención o persecución de delitos, o cuando el contenido forma parte de una obra artística, creativa, satírica o ficticia, en cuyo caso la revelación debe hacerse de manera adecuada sin perjudicar la presentación.

El legislador español, por su parte, ha optado por el término "ultrafalsificación" en el Proyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales, publicado el 11 de abril de 2025 (4). El proyecto define las ultrafalsificaciones como "imágenes o voces generadas o manipuladas tecnológicamente que resulten extremadamente realistas y puedan inducir a error sobre su autenticidad" (4). Esta distinción terminológica —"ultrasuplantación" en el Derecho europeo, "ultrafalsificación" en el español— obedece a tradiciones jurídicas diferentes: el concepto comunitario enfatiza el potencial de engaño sobre la identidad, mientras que la noción nacional se orienta a la protección de la integridad moral y la veracidad de la representación (4).

2.2. Evolución técnica: de las GANs a los modelos de difusión

La tecnología subyacente a los deepfakes ha evolucionado rápidamente. Los primeros sistemas utilizaban autoencoders (codificadores automáticos) que aprendían a reconstruir una imagen facial mediante la compresión y descompresión de sus rasgos esenciales. El salto cualitativo se produjo con la invención de las redes generativas antagónicas (GANs) en 2014. Una GAN enfrenta dos redes neuronales: el "generador" crea contenido falso, y el "discriminador" evalúa su autenticidad; la competencia iterativa produce resultados de calidad creciente hasta volverse indistinguibles de la realidad (1). Más recientemente, los modelos de difusión (diffusion models) han superado a las GANs en calidad y estabilidad (3). Estos sistemas aprenden a revertir un proceso de ruido gradual, generando imágenes nuevas a partir de ruido puro (3). Los modelos de difusión son los responsables de la explosión de contenido sintético realista de los últimos años.

2.3. Herramientas de "desnudamiento algorítmico" (nudification): accesibilidad y masificación

Uno de los vectores más alarmantes es la proliferación de aplicaciones específicamente diseñadas para generar desnudos sintéticos de personas a partir de fotografías en las que aparecen vestidas (3). Estas herramientas de nudificación utilizan modelos de difusión entrenados con millones de imágenes de cuerpos desnudos (3). El acuerdo político del Parlamento Europeo de mayo de 2026 prohíbe expresamente este tipo de aplicaciones. Se consideran prácticas prohibidas: (i) la introducción en el mercado de la UE de sistemas de IA con el propósito de crear dicho contenido; (ii) la introducción en el mercado sin medidas de seguridad razonables para impedir dicha creación; y (iii) el uso de estos sistemas por parte de los desplegadores con el propósito de crear dicho contenido (3). Las empresas disponen hasta el 2 de diciembre de 2026 para adaptar sus sistemas a esta prohibición (3).

3. Impacto de los deepfakes en la infancia y adolescencia

3.1. Dimensiones del daño psicológico, emocional y social

La exposición de menores a contenidos deepfake genera perjuicios documentados por la literatura psicológica y criminológica. El Proyecto de Ley Orgánica español reconoce expresamente que "la madurez y la autoestima se encuentran aún en fase de formación durante la adolescencia, por lo que el impacto emocional de verse representado en situaciones vejatorias o sexualmente explícitas es especialmente grave" (4). La memoria del análisis de impacto normativo del anteproyecto de ley identifica entre los perjuicios "daños psicológicos y emocionales, daños para la salud física, desinformación, manipulación y construcción de falsas creencias, establecimiento de conductas peligrosas o socialmente inapropiadas, adicciones, o perjuicios económicos" (8).

La "perpetuidad digital" del contenido sintético agrava el daño: a diferencia del acoso tradicional, que requiere actos repetidos en el tiempo, una sola difusión inicial de un deepfake puede ser replicada, descargada y reenviada de forma indefinida por múltiples usuarios. Este fenómeno es conocido en la doctrina como el "acto viralizado único", que satisface el requisito de reiteración delictiva aun cuando el autor material solo haya realizado una publicación inicial (4).

3.2. Perspectiva de género: la violencia sexual digital y la cosificación algorítmica

El fenómeno de las ultrafalsificaciones presenta una marcada dimensión de género. Según los datos disponibles en los trabajos preparatorios de la reforma del Reglamento de IA, más del 96% de los deepfakes disponibles en internet son de carácter pornográfico no consentido, y de ellos el 99% tienen como sujeto a mujeres (3). Esta forma de violencia ha sido calificada como "violencia sexual digital" (9). El "desnudamiento algorítmico" no solo constituye una violación de la privacidad y de la protección de datos, sino que representa una instrumentalización y cosificación del cuerpo de las menores para el consumo de terceros (4). En el caso español de Almendralejo, todas las víctimas eran niñas, y los autores, varones (6). El Comité para la Eliminación de la Discriminación contra la Mujer (CEDAW) ha instado a los Estados parte a tipificar expresamente la creación y difusión no consentida de deepfakes sexuales como una forma de violencia de género (10).

3.3. Otros riesgos: desinformación y adicciones comportamentales

Más allá de la violencia sexual, los deepfakes facilitan la desinformación masiva, lo que puede inducir a los adolescentes —cuya capacidad crítica está aún en desarrollo— a adoptar conductas de riesgo o a desarrollar falsas creencias (4). La alta verosimilitud del contenido sintético hace que el menor confíe en informaciones falsas sobre salud, seguridad o relaciones sociales (4). Además, el entorno digital donde proliferan estas herramientas está diseñado con mecanismos de gratificación instantánea que pueden desencadenar conductas adictivas (4). El Proyecto de Ley español pone especial énfasis en los "mecanismos aleatorios de recompensa" (loot boxes en videojuegos), que comparten la lógica de recompensa variable propia de los juegos de azar y pueden generar patrones de consumo compulsivo (4).

4. Marco normativo de la Unión Europea

4.1. El Reglamento (UE) 2024/1689 (Ley de IA): clasificación de riesgos y prácticas prohibidas

La gobernanza de la inteligencia artificial en la UE se fundamenta en el Reglamento (UE) 2024/1689, que entró en vigor el 1 de agosto de 2024. El sistema distingue cuatro niveles de riesgo: (i) riesgo inaceptable (prácticas prohibidas, artículo 5); (ii) alto riesgo (artículos 6 a 49); (iii) riesgo limitado (obligaciones de transparencia, artículo 50); y (iv) riesgo mínimo (2). Inicialmente, las ultrafalsificaciones se encuadraron en el nivel de "riesgo limitado", con deberes de transparencia. Sin embargo, la rápida proliferación de herramientas de nudificación y la evidencia de su uso masivo para generar material de abuso sexual infantil motivaron una modificación sustancial.

En mayo de 2026, el Parlamento Europeo y el Consejo alcanzaron un acuerdo para prohibir expresamente los sistemas de IA que creen material de abuso sexual infantil o representen las partes íntimas de una persona identificable o a esa persona involucrada en actividades sexualmente explícitas sin su consentimiento (3). Esta prohibición se aplica a la introducción en el mercado de la UE, a su introducción sin medidas de seguridad, y al uso por parte de los desplegadores para crear dicho contenido (3).

4.2. Obligaciones de transparencia: etiquetado y marcaje de agua (watermarking)

El artículo 50 del Reglamento (UE) 2024/1689 establece las obligaciones de transparencia para los desplegadores de sistemas de IA que generen o manipulen contenido (2). Estas obligaciones incluyen la información a las personas físicas de que están interactuando con un sistema de IA, el marcado de los resultados sintéticos generados por IA (incluyendo el uso de watermarking o metadatos), la información a las personas afectadas cuando se utilicen sistemas de IA para el reconocimiento de emociones o la categorización biométrica, y la revelación cuando se genere o manipule contenido que constituya un deep fake. El acuerdo de mayo de 2026 retrasó la aplicación de las obligaciones de marcado de agua hasta el 2 de diciembre de 2026 (3). Estas técnicas permiten la detección y el rastreo del contenido generado por IA (3).

4.3. El Reglamento de Servicios Digitales (DSA) y la protección de menores

El Reglamento (UE) 2022/2065 sobre Servicios Digitales (DSA) complementa a la Ley de IA. El artículo 28 del DSA exige a los proveedores de plataformas en línea que sean "accesibles a menores" que implementen "medidas apropiadas y proporcionadas para garantizar un alto nivel de privacidad, seguridad y protección de los menores en su servicio" (11). El 14 de julio de 2025, la Comisión Europea publicó sus directrices finales sobre la protección de menores en virtud del DSA (12). Aunque no son jurídicamente vinculantes, estas directrices constituyen el estándar de facto para el cumplimiento (12). Se basan en cuatro principios: las medidas deben ser apropiadas y proporcionadas al contexto de la plataforma; los derechos de la infancia deben ser una consideración primordial; la privacidad, la seguridad y la protección deben integrarse por diseño; y los servicios deben adaptarse a las necesidades evolutivas de los menores (12).

4.4. Verificación de edad y la identidad digital europea

Uno de los desafíos técnicos más relevantes es la verificación de edad. Los métodos de autodeclaración son ineficaces (13). La solución estratégica europea se apoya en el despliegue de la Cartera de Identidad Digital de la UE (EU Digital Identity Wallet) y en una solución independiente de verificación de edad. La Comisión Europea ha estado probando una solución de verificación de edad de la UE que respeta la privacidad, basada en pruebas de conocimiento cero (zero-knowledge proofs) (13). Esta tecnología permite que el usuario demuestre que es mayor de edad (por ejemplo, "+18") sin necesidad de compartir su fecha de nacimiento exacta ni ningún otro dato que permita el rastreo de su actividad digital (13). La solución de verificación de edad de la UE actúa como puente hasta que las carteras de identidad digital estén plenamente operativas a finales de 2026 (13).

5. El sistema jurídico español ante los deepfakes

5.1. El Proyecto de Ley Orgánica para la protección de menores en entornos digitales

El Proyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales fue registrado en el Congreso de los Diputados el 11 de abril de 2025 con el número 121/000052 (4). Esta norma tiene como objetivo garantizar que el interés superior del menor rija el diseño, despliegue y funcionamiento de productos y servicios digitales (4). El proyecto define el "entorno digital" de forma extensiva, incluyendo redes sociales, plataformas de mensajería, videojuegos en línea, sistemas de IA, biometría y tecnología de implantes (4). Entre sus disposiciones más relevantes se encuentra la modificación de la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) para elevar de 14 a 16 años la edad mínima a partir de la cual el menor puede prestar consentimiento de forma autónoma al tratamiento de sus datos personales en el entorno digital (4). El proyecto también crea una Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital (4).

5.2. Reformas del Código Penal: tipificación de la ultrafalsificación (nuevo art. 173 bis)

El Proyecto de Ley Orgánica introduce una tipificación específica para las ultrafalsificaciones de carácter sexual o gravemente vejatorio. Se crea un nuevo artículo 173 bis en el Código Penal, ubicado en los delitos contra la integridad moral (4). El texto aprobado por el Consejo de Ministros el 25 de marzo de 2025 establece penas de prisión de uno a dos años para quien, sin autorización y con ánimo de menoscabar gravemente la integridad moral, difunda, exhiba o ponga a disposición de terceros imágenes o audios generados mediante IA que simulen situaciones de naturaleza sexual o vejatorias (4). Si la víctima es menor de edad, la pena se impone en su mitad superior (de dieciocho meses a dos años de prisión). Se impone también la pena en su mitad superior cuando el autor actúe con ánimo de lucro o los hechos se hayan difundido a través de una plataforma de acceso masivo (4). El fundamento de incardinar la conducta en los delitos contra la integridad moral reside en que el deepfake sexual no solo ataca el derecho al honor o a la intimidad, sino que produce una "cosificación e instrumentalización de la víctima, tratándola como un objeto de consumo en el espacio virtual" (4). Además, se reforma el artículo 183 ter (grooming) para incluir como agravante la utilización de identidades falsas o la atribución de una edad diferente a la verdadera, en particular cuando se utilicen deepfakes (4).

5.3. Medidas procesales: alejamiento virtual e interrupción judicial de servicios

La reforma introduce la medida de "alejamiento virtual": la prohibición de acceso o comunicación a través de redes sociales, foros o cualquier lugar del espacio virtual (4). El juez podrá imponerla como medida cautelar o como pena accesoria, por un período de hasta diez años (y hasta veinte en caso de concurso de delitos) (4). Asimismo, se modifican la Ley Orgánica del Poder Judicial y la Ley de la Jurisdicción Contencioso-administrativa para atribuir a los Juzgados Centrales de lo Contencioso-Administrativo la competencia para autorizar, previa solicitud de la Comisión Nacional de los Mercados y la Competencia (CNMC), la interrupción de servicios digitales o la retirada masiva de contenidos que vulneren los derechos de los menores y que no puedan ser eliminados mediante los procedimientos ordinarios (4). Este procedimiento urgente (plazo de 72 horas) permite el bloqueo de plataformas que carezcan de sistemas efectivos de verificación de edad o que no retiren material de abuso sexual infantil de forma diligente (4).

5.4. La Agencia Española de Supervisión de IA (AESIA)

El Proyecto de Ley para la adaptación del ordenamiento jurídico español al Reglamento (UE) 2024/1689 fue aprobado por el Consejo de Ministros el 26 de mayo de 2026 (14). Este texto designa a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) como la principal autoridad de vigilancia del mercado para los sistemas de IA, en aquellos ámbitos no cubiertos por legislación sectorial previa (14). AESIA, con sede en A Coruña, fue creada por Real Decreto 729/2023 (14). El proyecto atribuye a AESIA competencias en materia de supervisión de sistemas de IA de alto riesgo utilizados en educación, empleo y servicios esenciales para adolescentes; la operación de un entorno controlado de pruebas (sandbox) para desarrolladores; la coordinación con la AEPD cuando los deepfakes impliquen tratamiento ilícito de datos; y la imposición de multas por infracciones de la Ley de IA, con un límite máximo de 20 millones de euros o el 4% del volumen de negocio mundial (14).

6. Análisis jurisprudencial y administrativo: el precedente de Almendralejo

6.1. La respuesta de la jurisdicción de menores

El denominado "caso Almendralejo" (Extremadura, septiembre de 2023) constituye el precedente más relevante en la jurisprudencia española sobre deepfakes con menores (6). Un grupo de adolescentes de entre 12 y 14 años utilizó una aplicación de nudificación para generar falsos desnudos de sus compañeras, a partir de fotografías de sus rostros extraídas de redes sociales (6). Al tratarse de menores de 14 años, resultaron inimputables conforme al artículo 19 del Código Penal y a la Ley Orgánica 5/2000 reguladora de la responsabilidad penal de los menores (LORPM). No obstante, la Fiscalía de Menores de Badajoz incoó expediente (6). El Juzgado de Menores de Badajoz dictó, con fecha 20 de junio de 2024, la Sentencia núm. 86/2024, declarando a quince menores autores responsables de veinte delitos de pornografía infantil (artículo 189 CP) y veinte delitos contra la integridad moral (artículo 173 CP) (6). La sentencia impuso como medida de reforma la libertad vigilada durante un año, vinculada a programas formativos sobre educación afectivo-sexual, uso responsable de las tecnologías y prevención de la violencia digital (6). Es importante precisar que las medidas impuestas no constituyen una "condena penal" en sentido estricto, sino medidas de reforma de carácter educativo y socioeducativo, conforme a los principios de la justicia juvenil (6).

6.2. La vía administrativa de la AEPD: el tratamiento ilícito de datos personales

De forma paralela, la AEPD actuó en virtud de sus competencias sobre protección de datos personales (6). El 6 de noviembre de 2025 dictó la Resolución PS-00132-2025, en la que sostuvo que la manipulación algorítmica de la imagen de una persona constituye un "tratamiento de datos personales" en el sentido del artículo 4.2 del RGPD, ya que la imagen (el rostro) es un dato personal (artículo 4.1 RGPD) (6). Sobre esta base, declaró que los menores autores de los deepfakes habían actuado como "responsables del tratamiento" (artículo 4.7 RGPD), al determinar los fines y los medios de la manipulación (6). Al no contar con el consentimiento de las afectadas, el tratamiento resultaba ilícito (6). La resolución impuso una multa de 1.200 euros a uno de los menores, notificada a sus progenitores, quienes asumieron la responsabilidad patrimonial derivada de la infracción conforme al artículo 1903 del Código Civil (6). La AEPD eludió así la complejidad procesal de perseguir al proveedor de la tecnología (con sede fuera de la UE) y centró la responsabilidad en el usuario final (6).

6.3. El desdoblamiento procesal como estrategia de tutela digital

El caso Almendralejo consagra una estrategia de "desdoblamiento procesal": (i) la persecución penal (o de menores) de la conducta, orientada a la educación del infractor; y (ii) la tutela del derecho fundamental a la protección de datos (artículo 18.4 CE) en la vía administrativa, que proporciona una respuesta más ágil frente al acto mismo de creación del contenido sintético (6). Sin embargo, el precedente también evidencia limitaciones: la AEPD solo pudo sancionar a uno de los menores, y la cuantía de la multa fue percibida como simbólica (6). Además, la restauración de fábrica de los teléfonos no garantiza la eliminación del material sintético de los servidores remotos (6).

7. Perspectiva internacional comparada

7.1. Reino Unido: Online Safety Act y penalización de la mera creación

El Reino Unido ha adoptado un enfoque particularmente severo. Su marco normativo se articula en torno a la Online Safety Act 2023, que entró en vigor plenamente en 2025 (15). Esta ley impone obligaciones a las empresas tecnológicas para prevenir la subida y eliminar rápidamente contenido ilegal, incluido el material de explotación sexual infantil y la pornografía de venganza (15). Ofcom, la autoridad reguladora, tiene competencias para obligar a las plataformas a implementar sistemas proactivos de detección y eliminación (15). El incumplimiento puede acarrear multas de hasta el 10% de la facturación global anual.

7.2. Estados Unidos: iniciativas federales y modelo californiano

En Estados Unidos, la respuesta legislativa ha sido principalmente a nivel estatal. Hacia mediados de 2025, más de 40 estados habían aprobado leyes que penalizan en algún grado los deepfakes sexuales no consentidos. El modelo más influyente es el de California, que ha aprobado leyes que permiten demandas civiles por daños y perjuicios contra los creadores de pornografía sintética (1). A nivel federal, se han presentado proyectos de ley como el TAKE IT DOWN Act, aunque su aprobación seguía pendiente en 2026 (1).

7.3. Australia: enmiendas al Código Penal

Australia ha adoptado una de las aproximaciones más severas. En 2024, se aprobó la Criminal Code Amendment (Deepfake Sexual Material) Act 2024 (Cth), que modifica el Código Penal para incluir un nuevo delito: la transmisión no consentida de material sexual sintético (1). Las penas para adultos que transmitan deepfakes sexuales alcanzan hasta seis años de prisión, y si la víctima es menor de edad, las penas se elevan hasta quince años (1).

7.4. Francia y Alemania: reformas legislativas

Francia ha introducido disposiciones contra los deepfakes en la Ley de 21 de mayo de 2024 relativa a la inteligencia artificial (Loi n° 2024-456) (1). El artículo L. 132-26 del Código Penal francés fue reformado para incluir como delito la difusión de una ultrafalsificación de carácter sexual sin consentimiento, con penas de hasta dos años de prisión y 45.000 euros de multa (1). Alemania, por su parte, reformó el Strafgesetzbuch (Código Penal) mediante la Ley contra la pornografía deepfake de 2 de diciembre de 2025 (Gesetz zur Bekämpfung von Deepfake-Pornografie) (1). Se introduce un nuevo § 201a StGB (lesión de la intimidad mediante manipulación de imagen), que castiga con pena de prisión de uno a tres años a quien, sin consentimiento, cree o difunda imágenes manipuladas de una persona que la muestren en una situación íntima o sexual (1). El § 201a establece una agravante cuando la víctima sea menor de 18 años (pena de dos a cinco años) (1).

8. Estrategias preventivas, educativas y de corresponsabilidad

8.1. La Estrategia Nacional de protección a la infancia en el entorno digital

El Proyecto de Ley Orgánica crea la Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital, de carácter trianual (2026-2029), coordinada por el Ministerio de Juventud e Infancia (4). La Estrategia incluye cuatro ejes: alfabetización mediática y digital crítica; laboratorios públicos de cultura digital; escuela de madres y padres; e investigación neurobiológica (4). El presupuesto total para el trienio asciende a 40 millones de euros (4).

8.2. Protocolos educativos: el estándar del "acto viralizado único"

El Protocolo Nacional de Referencia contra el Acoso Escolar y el Ciberacoso, actualizado en abril de 2026, incorpora el estándar del "acto viralizado único": en el entorno digital de las ultrafalsificaciones, un solo acto de difusión de contenido íntimo sintético satisface el requisito de reiteración debido a la capacidad de la red para perpetuar el daño de forma indefinida (4). El protocolo establece un itinerario de actuación urgente en cuatro fases (desde la protección inmediata de la víctima en las primeras 24 horas hasta el plan de acompañamiento psicológico) (4).

8.3. Responsabilidad de los fabricantes: control parental por diseño

El artículo 4 del Proyecto de Ley Orgánica obliga a los fabricantes de terminales digitales (móviles, tabletas, consolas, ordenadores) a incorporar de fábrica una funcionalidad de control parental gratuita, activada por defecto en su configuración inicial (4). Los fabricantes deben incluir en el embalaje información destacada sobre los riesgos para la salud mental de los menores y los tiempos de uso recomendados (4). Esta responsabilidad de los fabricantes se alinea con las directrices de la Comisión Europea de 2025 bajo el DSA, que consagran el principio de "seguridad y privacidad por diseño" (12). Las directrices exigen que las cuentas de menores de 18 años sean privadas por defecto, y que se desactiven por defecto funciones que fomentan el uso compulsivo, como el scroll infinito, la reproducción automática de vídeos, las notificaciones push fuera del horario escolar, y los sistemas de recomendación basados en el tiempo de uso (12). Finalmente, se prohíbe expresamente que los datos recopilados mediante herramientas de control parental sean utilizados con fines comerciales, de perfilado o de publicidad (artículo 5 del Proyecto de Ley Orgánica) (4).

9. Conclusiones y propuestas de lege ferenda

9.1. La antinomia entre capacidad de obrar y responsabilidad penal

Uno de los hallazgos más significativos es la identificación de una antinomia sistemática en el ordenamiento jurídico español. Mientras el Proyecto de Ley Orgánica eleva de 14 a 16 años la edad mínima para prestar consentimiento autónomo al tratamiento de datos personales en el entorno digital (4), la edad de responsabilidad penal se mantiene en los 14 años (artículo 19 del Código Penal). Esta asimetría sitúa a los menores de 14 y 15 años en una zona de indefinición jurídica: el Estado les presume madurez para responder ante la justicia juvenil por delitos graves, pero les deniega la capacidad para gestionar su identidad digital (4). Se propone la introducción de un sistema de "autonomía progresiva digital", con un escalado de capacidades a los 14, 15 y 16 años (5).

9.2. Hacia una verificación de edad efectiva y respetuosa con la privacidad

La protección de la adolescencia no puede depender exclusivamente de acciones reactivas. El despliegue de la Cartera de Identidad Digital de la UE y de la solución independiente de verificación de edad basada en pruebas de conocimiento cero debe ser una prioridad. Se recomienda que la verificación de edad sea el primer caso de uso obligatorio para acceder a redes sociales y plataformas de IA generativa, garantizando al mismo tiempo la protección de datos mediante el anonimato técnico (13). Asimismo, la UE debería considerar la introducción de obligaciones más estrictas para las plataformas en materia de evaluación y mitigación de riesgos sistémicos relacionados con los deepfakes sexuales de menores, siguiendo el modelo de la Online Safety Act británica.

9.3. Necesidad de investigación empírica y evaluación de políticas

Este análisis ha revelado una importante carencia de datos empíricos desagregados sobre la prevalencia real de los deepfakes entre la población adolescente, así como sobre la efectividad de las distintas estrategias normativas adoptadas en los Estados miembros. Se requieren estudios longitudinales que evalúen el impacto psicológico a largo plazo de la victimización por deepfakes, así como investigaciones comparadas que midan la eficacia de los diferentes modelos de regulación (penal, administrativo, protección de datos, propiedad intelectual) en la reducción efectiva de este fenómeno. La implementación de los protocolos educativos y de las medidas de verificación de edad deberá ser objeto de evaluación rigurosa tras los primeros años de aplicación.

10. Referencias

(1) Biblioteca del Congreso Nacional de Chile (BCN). (2025, diciembre). Regulación extranjera sobre deepfakes: Estados Unidos, Francia, Australia, Dinamarca y otros. Asesoría Técnica Parlamentaria. Disponible en: https://www.bcn.cl/obtienearchivo?id=repositorio/10221/37951/2/BCN_regulacion_deepfake_dic2025.pdf

(2) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de IA). Diario Oficial de la Unión Europea L 1689, 12.7.2024. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32024R1689

(3) European Parliament. (2026). AI Act: deal on simplification measures, ban on "nudifier" apps. News, 7 May 2026. Disponible en: https://www.europarl.europa.eu/news/en/press-room/20260427IPR42011/ai-act-deal-on-simplification-measures-ban-on-nudifier-apps

(4) Proyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales. Boletín Oficial de las Cortes Generales, Congreso de los Diputados, XV Legislatura, Serie A, Núm. 52-1, 11 de abril de 2025. Disponible en: https://www.congreso.es/public_oficiales/L15/CONG/BOCG/A/BOCG-15-A-52-1.PDF

(5) Comité de los Derechos del Niño. (2021). Observación General Nº 25 (2021) sobre los derechos de los niños en relación con el entorno digital. Naciones Unidas, CRC/GC/2021/25. Disponible en: https://www.ohchr.org/es/documents/general-comments/general-comment-no-25-2021-childrens-rights-relation-digital-environment

(6) Agencia Española de Protección de Datos. Resolución PS-00132-2025, de 6 de noviembre de 2025. Disponible en: https://www.aepd.es/es/resoluciones

(7) La Moncloa. (2025, 25 de marzo). El Gobierno refuerza la protección de los menores en los entornos digitales. Resúmenes del Consejo de Ministros. Disponible en: https://www.lamoncloa.gob.es/consejodeministros/resumenes/paginas/2025/250325-rueda-de-prensa-ministros.aspx

(8) Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, Ministerio de Juventud e Infancia, et al. (2024). Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales. Memoria del análisis de impacto normativo. 11 de junio de 2024.

(9) Comisión Europea. (2025). Comunicación de la Comisión al Parlamento Europeo y al Consejo: «Luchar contra la violencia de género en línea: hacia unas normas europeas comunes». COM(2025) 147 final, 12.3.2025.

(10) Comité para la Eliminación de la Discriminación contra la Mujer (CEDAW). (2024). Recomendación General Nº 38 sobre la violencia de género digital. Naciones Unidas, CEDAW/C/GC/38.

(11) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo de servicios digitales (DSA). Diario Oficial de la Unión Europea L 277, 27.10.2022. Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32022R2065

(12) European Commission. (2025). Guidelines for the protection of minors online under the Digital Services Act. SWD(2025) 150 final, 29 July 2025. Disponible en: https://digital-strategy.ec.europa.eu/en/policies/dsa-minors

(13) European Commission. (2026). EU age verification solution. Disponible en: https://ec.europa.eu/newsroom/dae/redirection/document/118226

(14) Ministerio para la Transformación Digital y de la Función Pública. (2026, 26 de mayo). El Gobierno aprueba el proyecto de ley que garantizará una supervisión humana y un uso confiable de la IA. Nota de prensa oficial.

(15) United Kingdom. (2023). Online Safety Act 2023 (c. 26). UK Public General Acts. Disponible en: https://www.legislation.gov.uk/ukpga/2023/26/contents

Fin del artículo.