Imagina que mañana aparece en LinkedIn un vídeo del CEO de tu empresa anunciando un ERTE. El vídeo es falso, generado con inteligencia artificial. Pero para cuando alguien lo desmiente, ya ha llegado a cientos de empleados, clientes y proveedores.
Esto ya no es ciencia ficción. Es el escenario que la Agencia Española de Protección de Datos (AEPD) lleva advirtiendo con creciente urgencia, y que en 2026 ha convertido en prioridad institucional.
Captura de pantalla.
¿Qué es exactamente un deepfake?
Un deepfake es un contenido audiovisual —vídeo, imagen o audio— generado o manipulado mediante algoritmos de inteligencia artificial, capaz de replicar con gran realismo el rostro, la voz o los gestos de una persona real.
La tecnología tiene usos legítimos: cine, educación, accesibilidad. El problema surge cuando se usa sin consentimiento, con fines de suplantación, descrédito o manipulación.
Y aquí está la clave que muchas empresas pasan por alto: un deepfake no es solo un problema reputacional. Es, en la mayoría de los casos, un tratamiento ilícito de datos personales.
Lo que dice la AEPD en 2026 sobre deepfakes y protección de datos
El 17 de marzo de 2026, la AEPD lanzó la iniciativa ‘Los deepfakes no son una broma‘, con el objetivo de concienciar sobre los riesgos de crear y difundir contenidos generados mediante estas técnicas.
Pero la señal de alarma llegó antes. En enero de 2026, la Agencia publicó una nota informativa que analiza las implicaciones del uso de imágenes de terceros en sistemas de inteligencia artificial, incluyendo los riesgos que se producen incluso en contextos aparentemente triviales o lúdicos.
Lo más relevante para las empresas es esto: una imagen —ya sea fotografía o vídeo— en la que una persona es identificada o identificable constituye un dato personal. No es necesario que aparezca el nombre: basta con que sea reconocible por su rostro, voz, gestos o entorno.
Puedes consultar la guía completa de la AEPD aquí: El uso de imágenes de terceros en sistemas de IA y sus riesgos visibles e invisibles
Los dos tipos de riesgo que debes conocer
La AEPD distingue dos planos de impacto, y ambos afectan directamente a las empresas:
Riesgos visibles
Son los que ocurren cuando el contenido se difunde: daño reputacional, atribución de declaraciones falsas, descontextualización de imágenes corporativas o de empleados. El riesgo aumenta si no es posible retirar de forma efectiva el contenido, ya que las medidas de retirada ofrecidas por las plataformas no siempre garantizan la eliminación total de copias o reenvíos.
Riesgos invisibles
Estos son más desconocidos y, por eso, más peligrosos. Se producen por el mero hecho de subir una imagen o un vídeo a un sistema de IA, aunque el resultado no se publique. La Agencia Española de Protección de Datos incluye la pérdida de control sobre la imagen, la retención de copias no visibles, la generación de metadatos o el riesgo de identificación persistente.
Es decir: el daño puede existir antes de que nadie vea nada.
¿Qué responsabilidad tiene tu empresa?
Aquí es donde muchas pymes se sienten seguras sin estarlo. Veamos tres escenarios concretos:
Escenario 1: un empleado crea un deepfake de un compañero
Si lo hace desde dispositivos o plataformas de la empresa, la organización puede verse arrastrada en una reclamación ante la AEPD. El RGPD no solo afecta a los responsables del tratamiento formales: la cadena de responsabilidad puede extenderse.
Escenario 2: alguien usa imágenes de tus empleados publicadas en la web corporativa
Las fotos del equipo en tu web son datos personales. Si un tercero las usa para generar contenido con IA, tu empresa puede necesitar actuar como afectada. ¿Tienes un protocolo para eso? ¿Sabes cómo ejercer los derechos de supresión ante plataformas de IA?
Escenario 3: tu empresa usa IA para generar imágenes de personas reales en materiales de marketing
Aunque parezca una práctica menor —un avatar, una imagen retocada, una voz sintética basada en alguien real—, el simple hecho de subir una imagen a una herramienta de IA para generar contenido implica riesgos significativos para la privacidad y otros derechos fundamentales, incluso con fines aparentemente triviales.
Las sanciones no son hipotéticas
El RGPD prevé multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global por infracciones graves. El tratamiento ilícito de datos biométricos —categoría en la que puede encuadrarse el uso de imagen y voz para generar deepfakes— está entre las conductas de mayor riesgo regulatorio.
Además, en algunos casos no solo se aplican las normas de protección de datos, sino también otros cuerpos legales, incluido el Código Penal, cuando las imágenes afectan a derechos fundamentales como el honor, la intimidad o la propia imagen.
¿Qué puede hacer tu empresa ahora mismo para evitar deepfakes?
No hace falta ser una gran corporación para tomar medidas preventivas. Estas son las más urgentes para una pyme:
1. Revisa qué imágenes de personas tienes publicadas — web, redes, materiales de marketing— y asegúrate de que cuentas con consentimiento explícito y actualizado para su uso.
2. Forma a tu equipo sobre los riesgos de subir imágenes de compañeros, clientes o directivos a herramientas de IA, aunque sea “para probar” o con fines lúdicos.
3. Establece un protocolo de respuesta ante la aparición de deepfakes que afecten a tu empresa o a personas de tu organización: ¿quién decide? ¿quién comunica? ¿cómo se ejercen derechos ante las plataformas?
4. Incorpora cláusulas específicas en tus contratos y políticas internas sobre el uso de IA generativa con datos de personas.
5. Consulta con un especialista en protección de datos antes de que el problema llegue, no después.
Conclusión: los deepfakes son un problema de datos, no solo de imagen
La AEPD lo ha dejado claro: la proliferación de deepfakes en el entorno digital exige una revisión constante de los hábitos de consumo y comunicación online, y demanda una mayor responsabilidad tanto de quienes generan contenido como de quienes lo comparten.
Para las empresas, esto se traduce en una pregunta muy concreta: ¿estás gestionando los datos de imagen de tus empleados y directivos con las garantías que exige la normativa vigente?
Si no tienes una respuesta clara, es el momento de actuar.
En VOCEMDAT ayudamos a empresas como la tuya a entender sus obligaciones en materia de protección de datos y a implementar medidas proporcionales y efectivas. Si tienes dudas sobre cómo afecta la IA y los deepfakes a tu organización, contáctanos.
CONTACTA
CON NUESTROs expertos
