España prohíbe deepfakes sexuales y endurece sanciones en su nueva ley de IA

Qué ha aprobado el Gobierno

El Ejecutivo español ha dado luz verde a un proyecto de ley para regular el uso de la inteligencia artificial desde una perspectiva que define como “humanista y garantista”. El texto adapta al derecho español lo acordado por la Unión Europea en el Reglamento Europeo de Inteligencia Artificial, incorporando pilares clave como la responsabilidad de quienes desarrollan y usan sistemas de IA, así como obligaciones de supervisión y transparencia.

La iniciativa llega tras el consenso a nivel comunitario y coloca a España en la senda de cumplimiento del marco europeo, con la novedad —introducida por España en las negociaciones comunitarias— de prohibir expresamente los deepfakes sexuales y la generación o alteración de pornografía infantil mediante IA.

Responsabilidades y sanciones: qué implica para empresas y usuarios

La ley establece responsabilidad legal no solo para los proveedores de sistemas de IA, sino también para quienes los despliegan y usan en situaciones prohibidas en la UE. Es decir, si una organización introduce en el mercado un sistema que está vetado por la normativa europea, tanto el proveedor como el desplegador pueden responder ante la ley.

En cuanto al régimen sancionador, el texto incorpora el esquema de la regulación comunitaria: multas que oscilan desde importes relativamente modestos (6.000 euros en infracciones leves, como la falta de cooperación con la autoridad) hasta sanciones muy elevadas para incumplimientos graves, que pueden alcanzar los 35 millones de euros y/o el 7% de la facturación mundial de la empresa.

Prohibiciones y etiquetado de contenidos sintéticos

Una de las novedades más relevantes es la prohibición de los deepfakes de carácter sexual y de cualquier generación o alteración de pornografía infantil mediante IA. Esta medida fue incluida en el texto europeo tras una enmienda propuesta por España y ahora se incorpora al ordenamiento nacional.

Por otro lado, los deepfakes no sexuales seguirán siendo legales, pero con una obligación clara: deben identificarse como contenidos generados o alterados por IA. El reglamento europeo exige un etiquetado que, en la práctica, se ha concretado así para España:

• En imágenes sintéticas, deberá aparecer en alguna esquina la marca “AI” (siglas en inglés) para indicar que el contenido ha sido generado o modificado por inteligencia artificial.
• En vídeos, la marca de agua con la indicación “AI” debe ser visible en todo momento.
• En audios, la advertencia puede aparecer en la aplicación que los distribuya (por ejemplo, en plataformas de streaming) o mediante una advertencia sonora incorporada al propio archivo.

Este etiquetado comenzará a aplicarse a partir del 2 de agosto. No obstante, la capacidad sancionadora contra el incumplimiento dependerá de la entrada en vigor efectiva de la ley en su totalidad.

Quién supervisará el cumplimiento

La distribución de responsabilidades entre autoridades queda definida en el proyecto: la Agencia Española de Protección de Datos (AEPD) será la encargada de la gestión y control del tratamiento de datos biométricos. Los sistemas de IA que puedan afectar a la administración de justicia corresponderán al Consejo General del Poder Judicial.

La Autoridad Española de Supervisión de la Inteligencia Artificial (Aesia), con sede en A Coruña y dirigida por Alberto Gago, será la responsable de vigilar las aplicaciones clasificadas como de “alto riesgo”. El organismo planea contar con una plantilla cercana a 50 analistas antes de fin de año para evaluar la adecuación de distintos sistemas a la normativa. Hasta ahora, la Aesia no ha identificado en España ningún sistema que encaje en la categoría de prohibidos.

Transparencia, supervisión humana y responsabilidades directivas

El proyecto subraya conceptos que han sido centrales en el debate europeo: la necesidad de supervisión humana sobre modelos de IA, la transparencia en los algoritmos y la responsabilidad de los órganos de dirección de las empresas. La ley impone obligaciones de evaluación y control —especialmente para tecnologías catalogadas como de alto riesgo— y exige medidas para proteger derechos fundamentales y a la población más vulnerable, como los menores.

Plazos y trámite parlamentario

Tras su aprobación en Consejo de Ministros, el proyecto inicia ahora su tramitación parlamentaria. El objetivo oficial es obtener la aprobación definitiva antes de diciembre de 2027, fecha hasta la cual se ha previsto la prórroga de la aplicación de gran parte del Reglamento Europeo de IA. El etiquetado de contenidos sintéticos, no obstante, será exigible desde el 2 de agosto, con matices en su aplicación sancionadora hasta la vigencia plena de la ley.

Qué significa esto para América Latina y las empresas con presencia internacional

Aunque se trata de una ley española que transpone el marco europeo, sus efectos pueden ser relevantes para organizaciones en América Latina por varias razones:

• Empresas latinoamericanas que operan en el mercado europeo o que ofrecen servicios a usuarios en la UE deberán cumplir el Reglamento y, por tanto, la normativa española cuando proceda.
• Plataformas globales que distribuyen contenidos (vídeo, audio, imágenes) tendrán que aplicar el etiquetado y las restricciones en todos los mercados donde se requiera, lo que puede implicar cambios técnicos y de política de contenidos que afecten también a usuarios en la región.
• El enfoque europeo sirve como referencia regulatoria para gobiernos latinoamericanos que estén definiendo marcos de IA o revisando sus leyes de protección de datos; el debate sobre supervisión humana, transparencia y protección de menores es de interés compartido.

No obstante, la adopción de medidas específicas en cada país de la región dependerá de sus marcos legales y de decisiones soberanas.

Recomendaciones prácticas para organizaciones

Para mitigar riesgos y prepararse ante la entrada en vigor de requisitos similares, las empresas deberían:

• Auditar sus modelos y flujos de datos para identificar sistemas de alto riesgo o que puedan generar contenidos sintéticos.
• Implementar procedimientos de etiquetado y trazabilidad de contenido IA, así como medidas técnicas para marcar audios, imágenes y vídeos según lo descrito.
• Designar responsables de cumplimiento, incluyendo la coordinación con el Delegado de Protección de Datos cuando aplique.
• Revisar contratos con proveedores de modelos y plataformas para asegurar obligaciones claras sobre responsabilidad y gobernanza.

Un debate en curso

El proyecto de ley sitúa a España entre los países que aplican de forma rigurosa el reglamento europeo, con un acento marcado en la protección de derechos y la prevención de abusos (en particular, la pornografía infantil y la violación de la intimidad a través de deepfakes sexuales). Para responsables de políticas públicas y líderes empresariales en América Latina, la evolución de esta normativa europea y su transposición a derecho nacional en España ofrecen lecciones prácticas sobre cómo equilibrar innovación, seguridad y derechos fundamentales en la era de la IA.