Deepfakes sexuales, Grok y la respuesta jurídica: hacia una nueva tutela del honor y la propia imagen en la era de la inteligencia artificial

16 enero 2026 No hay comentarios

Deepfakes sexuales, Grok y la respuesta jurídica: hacia una nueva tutela del honor y la propia imagen en la era de la inteligencia artificial La inteligencia artificial generativa ha dejado de ser un fenómeno experimental para convertirse en infraestructura cotidiana de creación de contenidos. Texto, imagen, audio y vídeo pueden hoy generarse o manipularse con una facilidad inédita. El problema surge cuando esta potencia tecnológica se cruza con derechos fundamentales de la personalidad: honor, intimidad personal y familiar y propia imagen. En las últimas semanas, el debate ha saltado al primer plano mediático a raíz de los casos de generación de “desnudos” y contenido sexualizado no consentido mediante IA, asociados al uso de xAI y su modelo Grok, integrado en la red social X. Estos episodios han actuado como catalizador político y jurídico, acelerando una respuesta normativa que en España llevaba tiempo gestándose: la reforma integral de la Ley Orgánica 1/1982, pilar histórico de la protección civil del honor y la propia imagen. El caso Grok y los “deepfakes de desnudos”: más allá del escándalo tecnológico Diversas investigaciones periodísticas y denuncias de usuarias han puesto de relieve que determinados flujos de uso de Grok permitían generar imágenes sexualizadas o de desnudez a partir de fotografías reales, “desvestir” digitalmente a mujeres sin su consentimiento y difundir estos contenidos en entornos sociales con alto potencial viral. No se trata únicamente de un problema de moderación de contenidos, sino de algo cualitativamente distinto la fabricación de una realidad visual falsa atribuida a una persona real, con un impacto directo en su dignidad y reputación. Hasta ahora, muchos ordenamientos —incluido el español— se enfrentaban a una dificultad la imagen difundida no existía en la realidad, no era una “fotografía íntima robada”, sino una recreación artificial y el daño, sin embargo, era idéntico o superior. La Ley Orgánica 1/1982 fue concebida en un mundo analógico y, aunque su interpretación jurisprudencial ha sido flexible, no estaba diseñada para deepfakes hiperrealistas generados por IA. El Consejo de Ministros aprobó en enero de 2026 el Anteproyecto de Ley Orgánica que sustituirá íntegramente la norma de 1982 con el objetivo de actualizar la tutela civil de los derechos de la personalidad al entorno digital y algorítmico. Entre los cambios, destacar que el anteproyecto introduce expresamente como intromisión ilegítima el uso de la imagen o la voz de una persona, generadas, recreadas o manipuladas mediante sistemas de inteligencia artificial o tecnologías análogas, sin su autorización. Este punto es crucial ya que no se exige que la imagen sea real, no depende de la finalidad comercial y no se neutraliza por el mero etiquetado como “contenido generado por IA”. En otras palabras, aunque el deepfake esté “marcado” o advertido, puede ser ilícito civilmente. La reforma aclara otro aspecto esencial: el hecho de que una persona publique una imagen en una red social no implica autorización para su reutilización, transformación o redistribución en otros contextos. Este inciso es especialmente relevante para el entrenamiento de modelos, la generación de deepfakes a partir de imágenes públicas y la defensa frente a la excusa del “contenido accesible públicamente”. La reforma española no actúa en el vacío, sino que se superpone al Reglamento de Inteligencia Artificial, ya aprobado a nivel europeo. En primer lugar, el artículo 50 impone obligaciones de información al usuario cuando interactúa con IA, marcado del contenido sintético (imagen, audio, vídeo) y divulgación expresa cuando se trate de deepfakes. Pero conviene subrayarlo con claridad jurídica: el AI Act no legitima la creación de deepfakes lesivos; simplemente impone deberes de transparencia. La licitud material sigue dependiendo del Derecho nacional (civil, penal, administrativo). Los artículos 51 y 52 regulan los modelos de IA de uso general (GPAI) y su eventual calificación como de riesgo sistémico. Esto es relevante porque los grandes modelos capaces de generar deepfakes hiperrealistas pueden quedar sometidos a obligaciones reforzadas. Y en litigios civiles, estas obligaciones pueden operar como estándar de diligencia exigible al proveedor. No crean derechos subjetivos directos, pero influyen decisivamente en la valoración de la culpa o negligencia. La reforma española del derecho al honor, la intimidad y la propia imagen es oportuna, técnicamente sólida y conceptualmente correcta. Sin embargo, sería un error pensar que con ella queda resuelto el desafío jurídico que plantea la inteligencia artificial generativa. Los retos que introduce la IA son de tal magnitud, transversalidad y profundidad, y afectan a tantos ámbitos del ordenamiento (civil, penal, administrativo, mercantil, procesal, constitucional y europeo), que las respuestas normativas aisladas o sectoriales resultan necesariamente insuficientes. No estamos ante un problema puntual, sino ante un cambio estructural del ecosistema informacional, probatorio y reputacional. Antes incluso de entrar en los retos técnicos, conviene subrayar uno estrictamente institucional la propia viabilidad parlamentaria de la reforma. La debilidad parlamentaria del Gobierno convierte la aprobación de una Ley Orgánica —que exige mayoría absoluta— en un proceso incierto. Este factor introduce una paradoja preocupante pues el diagnóstico jurídico parece correcto, la urgencia social es evidente, pero el marco político puede impedir que la respuesta normativa llegue a tiempo. Este riesgo refuerza la necesidad de pensar en soluciones estructurales y coordinadas, más allá de una única reforma legislativa. En cualquier caso, incluso si la reforma prospera, subsisten problemas de enorme complejidad jurídica y probatoria. Uno de los principales desafíos será acreditar que un contenido ha sido generado o manipulado mediante IA. Sin una evolución del Derecho procesal y probatorio, el reconocimiento material del derecho puede quedar vacío de efectividad práctica. La IA introduce cadenas de valor y de decisión difusas (i) quien entrena el modelo, (ii) quien lo ajusta, (iii) quien lo despliega, (iv) quien introduce el «prompt», (v) quien difunde el resultado y/o (vi) quien lo monetiza o amplifica. El esquema clásico de autor–editor–difusor resulta insuficiente. El reto no es menor: sin un responsable claro, no hay tutela efectiva. Esto obliga a replantear los criterios de imputación, la responsabilidad solidaria o por riesgo y el concepto mismo de “control efectivo” sobre el contenido. Los casos como Grok ponen de manifiesto un problema recurrente tales como proveedores radicados fuera de la UE, las plataformas globales y los contenidos accesibles instantáneamente en España. La tutela civil nacional, por sí sola, no puede operar de forma aislada. Se requieren mecanismos eficaces de cooperación judicial internacional, la ejecución transfronteriza de resoluciones y sobre todo, corresponsabilidad real de las plataformas que alojan, amplifican o monetizan el contenido. El elefante en la habitación: la responsabilidad definitiva de los gatekeepers Aquí se sitúa el debate que el legislador europeo y nacional llevan años evitando afrontar de manera frontal: La responsabilidad de los grandes gatekeepers por los contenidos que alojan no puede seguir siendo ambigua, limitada o meramente reactiva. El modelo de “neutralidad tecnológica” y de responsabilidad atenuada fue razonable en los albores de Internet y resulta cada vez menos defendible en un ecosistema dominado por plataformas que optimizan, recomiendan, amplifican y rentabilizan activamente los contenidos. Cuando un sistema prioriza, recomienda, viraliza y obtiene beneficio económico, deja de ser un mero intermediario pasivo. La cuestión ya no es si deben responder, sino cuándo, cómo y en qué medida, especialmente en supuestos de deepfakes sexuales, daños reputacionales irreversibles y lesiones graves a la dignidad humana. Sin una asunción clara de esta responsabilidad, cualquier tutela civil seguirá siendo reactiva, tardía y parcialmente ilusoria. Conviene insistir en una idea central los casos de Grok y los deepfakes sexuales no son una anécdota ni un fallo puntual de diseño. Son el primer gran conflicto estructural entre la IA generativa como infraestructura de producción de realidad y los derechos de la personalidad como núcleo de la dignidad humana. Lo que hoy afecta al honor y a la imagen mañana afectará a la prueba judicial, pasado mañana a la democracia deliberativa. Y, en último término, a la confianza social en la verdad. España, con el intento de reformar la Ley Orgánica de 1982, se sitúa indudablemente en la vanguardia europea de la tutela civil frente a la IA, complementando de forma inteligente el Reglamento europeo de inteligencia artificial. Pero este paso, siendo imprescindible, no es suficiente. La magnitud del desafío exige respuestas holísticas, no peregrinas, la coordinación real entre Derecho europeo y nacional, la implementación de reformas procesales, probatorias y de responsabilidad, y, sobre todo, una redefinición clara del papel y la responsabilidad de los grandes actores tecnológicos. Porque si algo ha demostrado la IA generativa es que el daño ya no es futuro, sino presente, y que el Derecho no puede permitirse llegar siempre un paso por detrás.

El Tribunal Supremo avala los pactos parasociales incluso cuando contemplan la unanimidad

8 enero 2026 No hay comentarios

La Sala Primera del Tribunal Supremo ha sentado una doctrina clave en materia societaria al confirmar la validez de los pactos parasociales incluso cuando contemplan una unanimidad práctica para la adopción de ciertos acuerdos y una duración indeterminada pero determinable. La sentencia n.º 1713/2025, de 26 de noviembre, consolida una jurisprudencia favorable a la autonomía de la voluntad de los socios, reforzando la seguridad jurídica en las relaciones societarias. ¿Qué son los pactos parasociales? Los pactos parasociales son acuerdos celebrados entre algunos o todos los socios de una sociedad para regular aspectos de la relación societaria que no están recogidos en los estatutos. Son habituales en sociedades cerradas o en operaciones de M&A, y se sustentan en el principio de libertad contractual del artículo 1255 del Código Civil. El caso: unanimidad práctica y duración indeterminada En el caso analizado, los socios impugnaron un pacto parasocial alegando que: El Tribunal Supremo desestimó el recurso, confirmando que estas cláusulas no son nulas per se y pueden ser compatibles con el ordenamiento si han sido libremente pactadas y mantenidas en el tiempo sin vulnerar derechos esenciales ni imponer cargas irracionales a los socios. Claves de la doctrina fijada 1. Autonomía de la voluntad y límites a la nulidad El Alto Tribunal recuerda que la libertad contractual es un principio rector en los pactos entre socios, siempre que estos no contravengan normas imperativas ni perjudiquen de forma irrazonable a los partícipes. 2. Unanimidad práctica no necesariamente abusiva La exigencia de unanimidad para adoptarse ciertos acuerdos no se considera automáticamente contraria al artículo 200 LSC si responde a un equilibrio de intereses y fue aceptada sin coacción. 3. Duración indeterminada, pero determinable La ausencia de un plazo fijo no invalida el pacto si su duración es determinable —por ejemplo, mientras los socios mantengan su participación— y no priva a nadie de derechos fundamentales ni elimina la posibilidad de salida razonable. 4. Buena fe y doctrina de los actos propios Un elemento decisivo fue que los socios impugnantes habían cumplido y ejecutado el pacto durante años sin objeción. La conducta contradictoria de impugnarlo solo cuando dejó de ser conveniente vulnera el principio de buena fe contractual. ¿Qué aporta esta sentencia? Esta resolución refuerza la confianza en los pactos parasociales como instrumentos válidos en la regulación interna de sociedades. Aclara que este tipo de acuerdos, bien diseñados y aceptados, son eficaces y no pueden ser anulados simplemente por su duración o por mecanismos de mayoría reforzada si no dañan derechos esenciales ni contravienen normas imperativas. Para los profesionales del derecho societario, la sentencia supone una guía práctica para diseñar pactos más seguros y una advertencia sobre la importancia de la coherencia y la buena fe en la conducta de los socios.

La sanción histórica de la UE a X por incumplimiento del DSA: un antes y un después en la regulación digital

7 enero 2026 No hay comentarios

El 5 de diciembre de 2025 la Comisión Europea impuso una sanción de 120 millones de euros a la plataforma X (antes Twitter) por incumplir sus obligaciones en virtud del **Reglamento (UE) 2022/2065, conocido como Ley de Servicios Digitales (DSA). Esta decisión no sólo representa la primera multa significativa bajo el nuevo régimen jurídico europeo para plataformas digitales, sino que marca un punto de inflexión en la aplicación efectiva del derecho europeo en el entorno digital. I. El contexto jurídico del DSA La DSA es un reglamento de aplicación directa en todos los Estados miembros que establece un marco exhaustivo sobre responsabilidad, transparencia y rendición de cuentas de los proveedores de servicios digitales, especialmente de las plataformas en línea de gran dimensión (VLOPs y VLOSEs). Su finalidad es armonizar las obligaciones de estas plataformas frente a los riesgos sistémicos derivados de la difusión de contenidos, la protección de usuarios y la transparencia de su operativa, con especial énfasis en los mecanismos que afectan a derechos fundamentales y al mercado único digital. II. ¿Qué incumplió X? Análisis de las infracciones detectadas La Comisión Europea identificó al menos tres violaciones graves de las obligaciones de transparencia impuestas por la DSA: III. Significado jurídico de la sanción La multa de 120 millones de euros equivale aproximadamente al 5 % de la facturación global anual de X en 2024, acercándose al máximo permitido por la normativa (6 % en casos de reincidencia o incumplimientos sistémicos). Este criterio castigador —aunque proporcional— refuerza la lógica disuasoria del DSA: las obligaciones no son meramente formales, sino que tienen consecuencias reales y cuantiosas para quienes las infringen. Ya no se trata de exhortaciones o advertencias, sino de un modelo sancionador efectivo impulsado desde Bruselas. Además, la decisión establece un precedente interpretativo clave: la UE está dispuesta no sólo a sancionar, sino a exigir modificaciones en el comportamiento de las plataformas, con plazos concretos para adaptarse y corregir prácticas contrarias al derecho. IV. Impacto y reflexión jurídica La sanción contra X abre varias reflexiones de calado para operadores digitales, juristas y reguladores: V. Conclusión La multa impuesta a X no es únicamente un hito cuantitativo; representa la madurez del marco regulatorio digital europeo y su capacidad para imponerse frente a grandes plataformas que operan a escala transnacional. Es una advertencia firme al sector tecnológico: el cumplimiento del DSA no es una opción, y la transparencia, la veracidad de la interfaz y el acceso a información son pilares innegociables del nuevo Derecho digital europeo. Para operadores, asesores y académicos, este caso invita a repensar no solo estrategias de compliance, sino también la manera en que se concibe la responsabilidad jurídica de las plataformas en la era digital. El DSA ya no es una promesa: es una realidad jurídica tangible con efectos directos en el mercado, los derechos de los usuarios y la gobernanza global de los servicios digitales.

¿Puede una silla ser una obra de arte? Reflexiones jurídicas tras la STJUE de 4 de diciembre de 2025 (asuntos acumulados C-580/23 y C-795/23)

7 enero 2026 No hay comentarios

La sentencia del Tribunal de Justicia de la Unión Europea de 4 de diciembre de 2025 marca un punto de inflexión —sereno pero contundente— en la protección por derecho de autor de los objetos de los arts appliqués. El fallo, que resuelve los asuntos acumulados Mio / Asplund y USM / Konektra, no introduce un giro rupturista, pero sí cierra ambigüedades estructurales que durante años han alimentado inseguridad jurídica en el diseño industrial, el mobiliario y, en general, en la economía creativa funcional. I. La tesis central: no hay autores de “segunda categoría”. El mensaje nuclear es claro: no existe un estándar rebajado ni agravado de originalidad para las obras de artes aplicadas. Una silla, una mesa o un sistema modular no deben superar un “umbral artístico” distinto del exigido a un cuadro o a una obra literaria. La originalidad se mide con el mismo patrón: que el objeto sea expresión de elecciones libres y creativas que reflejen la personalidad de su autor. Este punto desmonta definitivamente la tentación —aún presente en algunos ordenamientos y prácticas judiciales— de exigir a los objetos utilitarios un plus estético o una “altura artística” (verkshöjd) como condición tácita de acceso al derecho de autor. II. Originalidad ≠ estética ≠ intención. La sentencia afina con precisión quirúrgica tres confusiones recurrentes: III. Derecho de autor vs. diseños y modelos: coexistencia sin confusión. Uno de los aportes más relevantes del fallo es su pedagogía sistemática sobre la convivencia entre dos regímenes que a menudo se solapan (i) diseños y modelos: protegen novedad y carácter singular, con una lógica de mercado y una duración limitada y (ii) el derecho de autor: protege la originalidad como expresión personal, con una duración extensa. El Tribunal reafirma que no hay automatismo ni jerarquía entre ambos. El hecho de que un objeto sea (o no) registrable como diseño no predetermina su condición de obra. El cumul es posible, pero excepcional, y solo cuando concurren auténticos elementos creativos reconocibles. IV. La infracción: no a la “impresión global”. En materia de plagio o infracción, el TJUE descarta con rotundidad la tentación de importar al derecho de autor criterios propios del diseño industrial (i) no basta la “misma impresión global” y (ii) la comparación debe centrarse en si los elementos creativos originales han sido reproducidos de forma reconocible. En conclusión, esta sentencia no convierte en artificial la industria ni “industrializa” el arte. Hace algo más valioso: restituye el equilibrio. Reconoce que la creatividad puede habitar en lo útil, pero exige que esa creatividad sea real, identificable y expresada, no presunta ni inflada por el éxito comercial o el prestigio cultural posterior. En tiempos de diseño algorítmico, fabricación modular e inteligencia artificial aplicada a la forma, el mensaje es especialmente relevante juridicamente: el derecho de autor protege la huella humana concreta, no la mera solución funcional ni la estética genérica del mercado. En suma: una silla puede ser una obra. Pero no toda silla lo es. Y esa diferencia —jurídica y conceptual— vuelve a estar nítidamente trazada, al menos para el Alto Tribunal. Veremos en la práctica.

La CNIL sanciona con 1,7 millones € a Nexpublica France por insuficiencias en seguridad de datos

7 enero 2026 No hay comentarios

El 22 de diciembre de 2025, la autoridad francesa de protección de datos (CNIL) impuso una multa de 1 700 000 € a la empresa Nexpublica France por no implementar medidas técnicas y organizativas adecuadas de seguridad en su software PCRM, una herramienta utilizada para la gestión de la relación con usuarios en el ámbito de la acción social. El PCRM, utilizado por algunas Maisons Départementales des Personnes Handicapées (MDPH), permitió que usuarios accedieran indebidamente a documentos de terceros, lo que motivó notificaciones de violaciones de datos personales ante la CNIL a finales de noviembre de 2022. Los controles posteriores revelaron que Nexpublica no había establecido medidas de seguridad adecuadas para proteger los datos sensibles procesados en esa plataforma. La formación restreinte de la CNIL, órgano encargado de imponer sanciones, explicó que los motivos de la sanción a la empresa se basaban que la empresa (i) no cumplió con los requisitos del artículo 32 del RGPD, que exige medidas de seguridad proporcionadas al riesgo del tratamiento, (ii) que mostró carencias en la seguridad básica de su sistema, identificadas incluso en informes de auditoría previos y (iii) que procesaba datos altamente sensibles (incluido el estado de discapacidad), lo que agrava el impacto del incidente. El RGPD contempla sanciones significativas por fallos en la protección de datos, que pueden alcanzar hasta 20 millones € o 4 % del volumen de negocio global anual, dependiendo de la gravedad y del tipo de infracción. Esto es importante porque demuestra que la seguridad no es opcional: debe adaptarse al estado del arte tecnológico, al contexto del tratamiento y al nivel de riesgo para las personas, que los procesadores y editores de software utilizados en sectores sensibles (como servicios sociales) necesitan evaluaciones de riesgo robustas, revisiones continuas y auditorías de seguridad y que las autoridades europeas continúan reforzando el cumplimiento del RGPD con sanciones destacadas, especialmente cuando se exponen datos personales sensibles.

Claves de la nueva Política de la AEPD sobre IA generativa en procesos administrativos

29 diciembre 2025 No hay comentarios

La reciente publicación por la Agencia Española de Protección de Datos de su Política general para el uso de IA generativa en procesos administrativos constituye, a mi juicio, un hito especialmente relevante desde una doble perspectiva: institucional y académica. No es habitual que una autoridad de control, llamada precisamente a supervisar y sancionar usos indebidos de tecnologías intensivas en datos, se sitúe de forma tan explícita en la posición de usuario responsable de dichas tecnologías, y lo haga además mediante un documento público, sistemático y jurídicamente fundamentado. Como profesor de Derecho, valoro muy positivamente que la AEPD no haya optado por un enfoque meramente tecnológico o experimental, sino que haya articulado el uso de la IA generativa desde los principios clásicos del Derecho público y de la protección de datos: legalidad, finalidad, proporcionalidad, seguridad jurídica y, muy especialmente, responsabilidad proactiva. La política no pretende “normalizar” el uso de la IA por razones de eficiencia administrativa, sino someterlo a límites claros y verificables, recordando que la automatización nunca puede sustituir al juicio humano cuando están en juego derechos fundamentales. Uno de los aspectos más interesantes del documento es su insistencia en que la IA generativa no puede intervenir en la toma de decisiones administrativas con efectos jurídicos directos, ni condicionar resoluciones, informes o actuaciones que afecten a los derechos de los ciudadanos. Esta afirmación, que puede parecer obvia, resulta crucial en un contexto en el que muchas administraciones —y también empresas privadas— tienden a difuminar la frontera entre herramientas de apoyo y sistemas de decisión automatizada. Desde el punto de vista del Derecho administrativo, la AEPD refuerza aquí una idea esencial: la potestad pública es indelegable en algoritmos. Asimismo, la política conecta de forma coherente con el marco europeo existente, en particular con el Reglamento General de Protección de Datos (RGPD) y con el futuro Reglamento de Inteligencia Artificial. No se trata de anticipar la aplicación del AI Act, sino de demostrar que sus principios —evaluación de riesgos, supervisión humana, trazabilidad, gobernanza— ya pueden y deben integrarse en la práctica administrativa cotidiana. En este sentido, la AEPD predica con el ejemplo y ofrece un modelo exportable al resto del sector público. Desde una óptica docente, considero que este documento tiene un enorme valor pedagógico. Permite explicar a los estudiantes —y también a los operadores jurídicos— que la IA generativa no es un “territorio sin ley”, sino un fenómeno tecnológico que debe leerse a la luz de categorías jurídicas ya conocidas. Transparencia, motivación de los actos administrativos, control jurisdiccional o protección de datos personales no desaparecen con la IA: al contrario, se vuelven más exigentes. Finalmente, creo que esta política interna lanza un mensaje claro al tejido empresarial y profesional: si la autoridad de control se impone a sí misma límites estrictos, evaluaciones previas y controles reforzados, resulta difícil justificar usos opacos o irresponsables de IA generativa en el ámbito privado. La innovación jurídica y tecnológica no consiste en hacer “todo lo posible”, sino en hacer solo lo jurídicamente legítimo y socialmente aceptable. En definitiva, estamos ante un documento que merece ser leído con atención, no solo como una guía interna de la AEPD, sino como una pieza doctrinal de referencia sobre cómo integrar la inteligencia artificial en el funcionamiento de las instituciones sin erosionar el Estado de Derecho.