Durante los primeros días de abril de 2026 ha circulado por redes y newsletters jurídicas una afirmación llamativa: la Unión Europea habría prohibido el uso de los deepfakes. Formulada en esos términos, la noticia no es del todo correcta. Ninguna norma nueva, ninguna propuesta legislativa en tramitación, prohíbe de forma general los contenidos generados por inteligencia artificial en el ámbito institucional europeo. Lo ocurrido tiene un perfil jurídico mucho más modesto y, al mismo tiempo, más interesante. La Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea han instruido a sus equipos de comunicación para que dejen de publicar vídeos o imágenes íntegramente generados por IA en sus canales oficiales. Una autolimitación administrativa hacia dentro, con cero efectos vinculantes hacia fuera.

Estimated reading time: 18 minutes

La diferencia importa. Una cosa es que el portavoz de la Comisión renuncie voluntariamente a difundir un vídeo sintético; otra muy distinta que un ciudadano, una empresa o un partido político esté jurídicamente obligado a hacerlo. Vale la pena entonces deshacer el equívoco: qué se ha decidido realmente, bajo qué paraguas normativo opera, qué obligaciones existen hoy en la Unión y en España frente a los deepfakes y qué lectura cabe hacer de esta «abstinencia institucional» a pocos meses de que entren en vigor las obligaciones de transparencia del Reglamento de Inteligencia Artificial.

La decisión: una directriz interna de comunicación

El origen del malentendido está en una información publicada por varios medios, según la cual las tres principales instituciones comunitarias han prohibido a sus equipos de prensa utilizar imágenes y vídeos íntegramente generados por IA en las comunicaciones oficiales. El portavoz de la Comisión, Thomas Regnier, confirmó la medida en términos que conviene retener literalmente, porque revelan su naturaleza: el material audiovisual que las instituciones ponen a disposición de periodistas o difunden con fines informativos oficiales no incorpora contenido generado por IA, porque la autenticidad es una prioridad vinculada directamente a la confianza de los ciudadanos. El Parlamento Europeo ha emitido directrices internas para su personal sobre el uso de herramientas de IA generativa en las que insiste en la cautela frente a los riesgos inherentes a la tecnología.

El alcance de la medida es estrictamente administrativo. No estamos ante un acto jurídico dirigido al exterior, ni ante un reglamento ni ante una decisión con efectos vinculantes para terceros. Es una instrucción interna a los servicios de comunicación de tres instituciones, del mismo rango que cualquier código interno o manual de estilo. El uso de IA para mejorar imágenes preexistentes, por ejemplo para optimizar calidad o resolución, sigue permitido. Lo vetado es generar ex novo material audiovisual con herramientas sintéticas.

La distinción, aparentemente técnica, resulta central. La línea que la Comisión dibuja coincide con la taxonomía básica que el borrador del Código de Prácticas sobre la Transparencia del Contenido Generado por IA, publicado por la Oficina Europea de IA el 17 de diciembre de 2025, propone para todo el ecosistema regulatorio: contenido «totalmente generado por IA» frente a contenido «asistido por IA». Las instituciones, leídas con esta clave, no están haciendo política regulatoria. Están evitando, sencillamente, exponerse a la franja más cuestionada de esa taxonomía. Prudencia reputacional.

Que la noticia se haya leído como una prohibición general de los deepfakes tiene una explicación sencilla. Existe una confusión persistente entre lo que hace una institución con su propia comunicación y lo que la normativa impone a los demás. Son dos planos distintos. El plano normativo, como veremos enseguida, es bastante más matizado y, en algunos ámbitos concretos, considerablemente más exigente que el gesto autorrestrictivo de Bruselas.

El Derecho europeo frente a los deepfakes: transparencia obligatoria

El artículo 50 del Reglamento de IA y su calendario

El marco europeo aplicable a los deepfakes descansa sobre una obligación de transparencia, no sobre una prohibición. El artículo 50 del Reglamento (UE) 2024/1689, conocido como Reglamento de Inteligencia Artificial, impone obligaciones específicas a proveedores y responsables del despliegue de sistemas de IA generativa. Esas obligaciones, que entran en plena aplicación el 2 de agosto de 2026 conforme al calendario escalonado del artículo 113 del propio Reglamento, persiguen hacer identificables los contenidos sintéticos, no impedir su existencia.

El esquema funciona en dos niveles. Los proveedores de sistemas de IA generativa deben garantizar que los resultados (audio, imagen, vídeo o texto) estén marcados en un formato legible por máquina y sean detectables como artificialmente generados o manipulados. Los responsables del despliegue, esto es, las empresas, administraciones o particulares que utilizan profesionalmente esos sistemas, tienen el deber de informar a los usuarios cuando el contenido que difunden constituya una ultrasuplantación (la traducción oficial al español del término deepfake) o cuando se trate de un texto publicado con la finalidad de informar al público sobre asuntos de interés público. La obligación opera con independencia de la buena fe del emisor y, lo que resulta especialmente relevante, con independencia del propósito del contenido. Las únicas excepciones admitidas, estrictas, son las previstas en el artículo 50.4 para fines de investigación criminal y para obras manifiestamente artísticas, creativas, satíricas o ficcionales.

Vale la pena detenerse en lo que el Reglamento no hace. No prohíbe los deepfakes como categoría. No impide generarlos ni distribuirlos. Lo que exige es etiquetarlos de manera clara y distinguible, a más tardar en el momento de la primera interacción o exposición. El legislador europeo ha optado por un enfoque de alfabetización informacional: confía en que el receptor, una vez informado, podrá ejercer su autonomía sobre el contenido.

Junto al precepto está el Código de Prácticas sobre la Transparencia del Contenido Generado por IA, cuya versión definitiva la Comisión espera aprobar en junio de 2026, justo antes de la entrada en vigor del artículo 50. El Código es voluntario, pero está llamado a operar como parámetro de referencia para valorar el cumplimiento de las obligaciones del precepto. Incluye una taxonomía común, la propuesta de un icono europeo (con el acrónimo «AI», «KI» o «IA» como solución provisional hasta que exista un símbolo armonizado), criterios sobre visibilidad del etiquetado en distintos formatos y pautas de gobernanza interna que abarcan desde la formación del personal hasta la supervisión humana de las decisiones de etiquetado. Quienes no se adhieran al Código tendrán la carga probatoria de demostrar que sus medidas alternativas resultan al menos igual de eficaces.

El Reglamento de Servicios Digitales: riesgos sistémicos y procesos electorales

Existe un segundo nivel de protección que procede del Reglamento (UE) 2022/2065 o Reglamento de Servicios Digitales (DSA). Aquí cambia la perspectiva. Ya no se discute el etiquetado del contenido en origen, sino la gestión de los riesgos que su difusión masiva plantea para los derechos fundamentales y para la integridad del debate democrático. Los artículos 34 y 35 del DSA imponen a las plataformas y motores de búsqueda de muy gran tamaño (VLOPs y VLOSEs, con al menos 45 millones de usuarios mensuales en la UE) la obligación de evaluar anualmente los riesgos sistémicos derivados de sus servicios y de adoptar medidas de mitigación razonables, proporcionadas y eficaces.

Los deepfakes entran en este marco cuando se difunden a gran escala y afectan a la integridad electoral o a los derechos fundamentales. La Comisión concretó esa exigencia en las Directrices para la mitigación de los riesgos sistémicos en los procesos electorales, adoptadas formalmente el 26 de marzo de 2024 sobre la base del artículo 35.3 del DSA. Las Directrices recomiendan a las grandes plataformas etiquetar claramente los contenidos generados por IA en campaña, adaptar los términos y condiciones, y modificar los sistemas de recomendación para reducir la monetización y viralidad del contenido que amenaza la integridad del proceso electoral. Aunque carecen de fuerza obligatoria propia, funcionan como referencia: una plataforma que se aparte de ellas tendrá que demostrar que sus medidas alternativas resultan equivalentes en términos de eficacia.

Este segundo plano explica por qué el debate europeo reciente ha girado en buena parte alrededor de casos concretos de aplicación del DSA, en lugar de discutir los deepfakes en abstracto. La Comisión impuso en diciembre de 2025 la primera sanción contra X por incumplir obligaciones de transparencia del Reglamento y, a comienzos de 2026, inició una investigación formal por la generación de imágenes sexualmente explícitas mediante el chatbot Grok, con especial atención a los contenidos relativos a menores. La Fiscalía de París abrió en paralelo una investigación preliminar sobre los mismos hechos. La pregunta jurídica que articula estos procedimientos no apunta al deepfake como tipo, sino al deber de evaluación y mitigación de riesgos sistémicos por parte de la plataforma.

El Código de Prácticas sobre Desinformación, integrado en el DSA

Cabe añadir un tercer elemento, situado a medio camino entre la autorregulación y la regulación vinculante: el Código de Prácticas sobre Desinformación reforzado. Nació en 2022 como instrumento voluntario, pero el 13 de febrero de 2025 la Comisión y el Consejo Europeo de Servicios Digitales lo integraron formalmente en el marco del DSA, lo que lo convierte en referencia para evaluar el cumplimiento de los firmantes. El Código obliga a identificar y etiquetar el contenido manipulado, a cooperar con verificadores de hechos e investigadores independientes y a compartir datos que permitan mejorar las herramientas de detección. La categoría «deepfake» aparece en él de forma explícita como subtipo de contenido problemático frente al que los firmantes se comprometen a adoptar medidas proactivas.

El conjunto que componen Reglamento de IA, Reglamento de Servicios Digitales, Directrices electorales y Código de Desinformación dibuja el régimen real bajo el cual se mueven los deepfakes en Europa. Un régimen de transparencia obligatoria por diseño, gestión de riesgos sistémicos para las grandes plataformas, pautas específicas durante los procesos electorales y autorregulación supervisada. Hay obligaciones, hay sanciones, hay procedimientos abiertos. Lo que no hay es una prohibición general. El contraste con la idea de una «guerra de Bruselas a los deepfakes» se explica por sí solo.

El encaje español: tres frentes normativos abiertos

En España el debate jurídico sobre los deepfakes se mueve en tres planos simultáneos. Los tres conviene tenerlos a la vista porque operan con lógicas distintas y pueden superponerse en un mismo caso. El primero es la transposición interna del Reglamento europeo de IA. El segundo, la reforma en curso de la protección civil del honor, la intimidad y la propia imagen. El tercero, la aplicación, ya en marcha, del RGPD y de la LOPDGDD por la Agencia Española de Protección de Datos, que ha resuelto este año el que probablemente sea el primer caso paradigmático de deepfake sexual de menores en nuestro ordenamiento.

El Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA

El Consejo de Ministros aprobó el 11 de marzo de 2025, en primera lectura y por la vía de urgencia, el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial. Es el instrumento de desarrollo nacional del Reglamento europeo. Configura el régimen sancionador, reparte las competencias de vigilancia del mercado entre la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) y las autoridades sectoriales preexistentes, esto es, AEPD, CGPJ, Junta Electoral Central, Banco de España, Dirección General de Seguros y CNMV, y concreta las infracciones por incumplimiento de las obligaciones de transparencia del artículo 50 del Reglamento.

La pieza relevante a estos efectos es el artículo 16 del Anteproyecto, que tipifica como infracción grave el incumplimiento por los proveedores de sistemas de IA del deber de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA que constituya una ultrasuplantación, así como cualquier texto destinado a informar al público sobre asuntos de interés público. El mismo precepto recoge como infracción grave la omisión del deber de informar a las personas afectadas de que están interactuando con un sistema de IA. Los contenidos deben identificarse «de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición», en línea literal con el texto comunitario.

Las consecuencias económicas resultan considerables. Las infracciones graves conllevan sanciones de entre 500.000 euros y 7,5 millones de euros, o entre el 1 % y el 2 % del volumen de negocio mundial del ejercicio anterior, la cuantía que resulte mayor, con una regla específica más favorable para pymes. En los supuestos más graves, las infracciones muy graves pueden alcanzar los 35 millones de euros o el 7 % de la facturación global, conforme a los umbrales máximos del artículo 99 del Reglamento europeo. La autoridad competente por defecto será la AESIA, con asignación específica a otras autoridades en función del sector afectado.

El encaje con el Derecho europeo es exacto. El ordenamiento español adopta el mismo esquema de transparencia obligatoria que el Reglamento y lo refuerza con un régimen sancionador homogéneo. Conviene retener una advertencia que la doctrina viene haciendo: la infracción se comete por no etiquetar adecuadamente, no por crear o difundir el deepfake. La distinción importa porque define el tipo de reproche jurídico que se activa. Hablamos de una falta de cumplimiento formal, de un deber informativo desatendido, no de una prohibición material del contenido.

El Anteproyecto de Ley Orgánica de protección civil del derecho al honor

El segundo frente abierto pertenece al Derecho civil de la personalidad. El 13 de enero de 2026 el Consejo de Ministros aprobó, también en primera lectura, el Anteproyecto de Ley Orgánica de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, llamado a sustituir la veterana Ley Orgánica 1/1982. La reforma, incluida en el Plan de Acción por la Democracia, fue sometida a consulta pública hasta el 30 de enero de 2026 y aborda los deepfakes con regulación expresa.

La novedad sustantiva más relevante es que el texto incluye, por primera vez en una norma de rango orgánico, la utilización no consentida de la voz o de la imagen de una persona mediante sistemas de inteligencia artificial o tecnologías análogas entre los supuestos de intromisión ilegítima. Junto a ello aparece una regulación específica del uso con finalidad publicitaria o comercial, donde la exigencia de consentimiento se endurece, y una cláusula que preserva la libertad de expresión y creación artística permitiendo el uso de deepfakes de figuras con proyección pública en contextos creativos, satíricos o de ficción siempre que se indique expresamente la naturaleza artificial del contenido.

La vía que el Anteproyecto articula es civil, no sancionadora administrativa. Acciones declarativas, de cesación, rectificación e indemnización por daño moral, con un refuerzo expreso al establecer que las indemnizaciones no podrán tener carácter simbólico y con la posibilidad, a solicitud del perjudicado, de publicar la sentencia firme en el Boletín Oficial del Estado. La norma introduce además criterios reglados para ponderar la gravedad del daño: reincidencia, vulneración de uno o varios derechos fundamentales, gravedad de las expresiones utilizadas y repercusión social del hecho.

Parte de la doctrina ha formulado reservas técnicas. Comentaristas como Jorge García Herrero han señalado que la exigencia de «apariencia extremadamente realista» como elemento tipificador del deepfake puede dejar fuera contenidos igualmente lesivos pero deliberadamente estilizados. Borja Adsuara ha llegado a poner en duda la necesidad misma de la reforma, argumentando que la Ley Orgánica 1/1982, interpretada por la jurisprudencia del Tribunal Constitucional y del Tribunal Supremo, ya ofrece amparo suficiente. La crítica tiene fundamento. La categoría de intromisión ilegítima resulta lo bastante amplia como para cubrir los deepfakes lesivos sin necesidad de reforma expresa, y existe el riesgo, paradójico, de que una tipificación demasiado precisa termine funcionando como corsé interpretativo para los tribunales. Ese debate acompañará previsiblemente la tramitación parlamentaria del texto.

La AEPD y el caso Almendralejo: el RGPD como vía operativa

Mientras las reformas legislativas avanzan, la Agencia Española de Protección de Datos ha aplicado el Derecho vigente a un caso paradigmático. En el expediente PS-00132-2025, resuelto a lo largo de 2025, la AEPD sancionó la creación y difusión de imágenes íntimas falsas de menores generadas con la aplicación ClothOff en el llamado caso Almendralejo. La Agencia calificó los hechos como infracción muy grave del artículo 6.1 del RGPD (licitud del tratamiento) en conexión con el artículo 72.1.b) de la LOPDGDD, al entender que la manipulación de la imagen mediante IA para generar el ultrafalso y su posterior difusión constituían operaciones de tratamiento de datos personales sin base de legitimación alguna.

El razonamiento tiene un doble interés jurídico. Por una parte, la AEPD rechazó expresamente la línea de defensa, previsible, según la cual la imagen generada, al ser ficticia, no constituiría dato personal de la víctima. La Agencia reitera que la identificabilidad es lo que define el dato personal, y que esta no desaparece porque la representación haya sido alterada por IA. Por otra parte, la Agencia optó por actuar frente al usuario-responsable del tratamiento, dejando al margen al proveedor de la herramienta. Esa estrategia contrasta con la del Garante italiano, que en octubre de 2025 ordenó una limitación inmediata del tratamiento al propio proveedor de ClothOff por infracción del artículo 25 del RGPD (privacidad desde el diseño). Las dos vías resultan complementarias: donde el ordenamiento italiano atacó el diseño del sistema, el español atacó el uso concreto.

El caso ilustra una realidad que conviene retener. Los deepfakes no esperan a la entrada en vigor de nuevas normas para producir daño. El ordenamiento ya disponible (RGPD, LOPDGDD, Ley Orgánica 1/1982, Código Penal) ofrece vías perfectamente operativas para reaccionar contra ellos. La nueva arquitectura regulatoria que se perfila refuerza y estructura una protección que ya existe.

La paradoja de la autoabstinencia institucional

Recolocada en este contexto, la directriz interna de las tres instituciones europeas adquiere su verdadera dimensión. A cuatro meses escasos de la entrada en vigor plena del artículo 50 del Reglamento de IA, las instituciones comunitarias han optado por aplicarse a sí mismas un estándar más estricto que el que el propio legislador impone a los particulares. Etiquetar no basta: directamente no usar. Un gesto de coherencia simbólica que, leído con atención, revela también una cierta incomodidad con la solución elegida por el propio legislador europeo.

Esa incomodidad tiene un nombre. El artículo 50 articula un modelo de transparencia, no de prohibición. Confía en que la información al destinatario será suficiente para desactivar el potencial engañoso del contenido sintético. Es un enfoque basado en la autonomía informada del receptor. La abstinencia total presupone otra cosa: que en el ámbito de la comunicación institucional el simple hecho de introducir un contenido IA, aunque vaya etiquetado, ya erosiona la autenticidad percibida del mensaje. Son dos filosofías regulatorias distintas conviviendo en la misma casa.

La decisión ha generado algunas críticas por quienes entienden que el uso responsable vence a la abstinencia, calificando la medida como una oportunidad perdida para mostrar cómo se desarrolla, en la práctica, una comunicación política transparente en la era de la IA. Si el legislador europeo ha apostado por el etiquetado como mecanismo principal de control, lo coherente sería que las instituciones ejemplificaran ese modelo en lugar de situarse fuera de él. Algunos analistas han apuntado además que la abstinencia puede dejar a Bruselas en posición comunicativamente pasiva frente a actores, dentro y fuera de la Unión, que sí emplean IA generativa con fluidez.

Vale la pena añadir una precisión jurídica. La medida se ha presentado como una apuesta por la «autenticidad», pero el concepto carece todavía de una definición armonizada en el Derecho europeo. El Código de Prácticas sobre Transparencia maneja nociones próximas (la categoría de obras «manifiestamente creativas, satíricas, artísticas o de ficción» del artículo 50.4, la distinción entre fully AI-generated y AI-assisted), pero no existe una categoría normativa de «contenido auténtico» frente a la cual los contenidos sintéticos queden, sin más, descalificados. En ausencia de esa categoría, lo que las instituciones están haciendo es elaborar una política de comunicación pública anclada en percepciones reputacionales. Una decisión legítima, que conviene no confundir con un estándar jurídico.

Qué significa y qué no significa el paso dado por Bruselas

Bruselas no ha prohibido los deepfakes. La Comisión, el Parlamento y el Consejo han establecido una regla interna de comunicación institucional, sin valor normativo frente a terceros, por la cual sus equipos de prensa no utilizarán contenido audiovisual íntegramente generado por IA. La medida pertenece al terreno de la autolimitación reputacional y deja intacto el Derecho europeo aplicable a la materia.

El régimen jurídico de los deepfakes en la Unión, hoy, descansa sobre tres pilares. El primero, el artículo 50 del Reglamento de IA, cuya plena aplicación arrancará el 2 de agosto de 2026 y que impone obligaciones de etiquetado a proveedores y a responsables del despliegue, con un Código de Prácticas sobre Transparencia en vías de aprobación final en junio. El segundo, el Reglamento de Servicios Digitales, cuyos artículos 34 y 35 obligan a las grandes plataformas a evaluar y mitigar los riesgos sistémicos asociados a la difusión masiva de contenido sintético, con atención específica a los procesos electorales a partir de las Directrices de 26 de marzo de 2024. El tercero, el Código de Prácticas sobre Desinformación, integrado formalmente en el marco del DSA en febrero de 2025.

En España, el cuadro lo completan tres frentes paralelos. El Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA, de marzo de 2025, cuyo artículo 16 tipifica como infracción grave la falta de etiquetado de las ultrasuplantaciones. El Anteproyecto de Ley Orgánica de protección civil del derecho al honor, de enero de 2026, que por primera vez incluye los deepfakes entre los supuestos expresos de intromisión ilegítima en la esfera civil. Y la práctica sancionadora de la AEPD, cuyo expediente PS-00132-2025 en el caso Almendralejo ha demostrado que el RGPD y la LOPDGDD funcionan ya como herramientas operativas para reaccionar frente a los deepfakes lesivos, sin necesidad de aguardar a la aprobación de las nuevas normas.

El gesto de las instituciones europeas no carece de interés, pero queda lejos del hito que algunos titulares sugieren. Apunta a algo más sutil: el propio legislador comunitario, llegado el momento de aplicar su modelo de transparencia a su propia comunicación, duda de que el etiquetado sea suficiente y prefiere abstenerse. Esa duda interna, que de momento no tiene traducción normativa, quizá anticipe debates futuros. Si las instituciones que diseñaron el artículo 50 consideran que en ciertos contextos el etiquetado se queda corto, cabe preguntarse si el modelo de transparencia del Reglamento de IA aguantará la prueba de la realidad o si tendrá que evolucionar hacia obligaciones sustantivas en ámbitos especialmente sensibles como la comunicación institucional, la información sobre procesos electorales o la salud pública. Esa es la conversación jurídica que la decisión de Bruselas abre en realidad, más allá del titular.

Mientras esa conversación llega, quienes trabajan con sistemas de IA generativa harían bien en no dejarse despistar por el ruido mediático y en preparar con rigor lo que el Derecho efectivamente les exigirá en agosto de 2026: identificar sus sistemas, distinguir si actúan como proveedores o como responsables del despliegue, documentar sus flujos de contenido, formar a los equipos de marketing, comunicación y edición y establecer procedimientos internos de etiquetado consistentes y auditables. Ahí está la frontera real. La prohibición que Bruselas no ha declarado no exime de las obligaciones que ya están en el calendario.