La investigación abierta en Irlanda contra X por el comportamiento de su chatbot Grok vuelve a situar un problema ya estructural en el centro del debate europeo: qué ocurre cuando una IA “fabrica” imágenes de personas reales —y esas imágenes circulan— sin consentimiento. El caso no solo es reputacional: pone a prueba cómo se aplican, en la práctica, el RGPD y otras normas comunitarias.
QUÉ INVESTIGA IRLANDA Y POR QUÉ IMPORTA EN TODA LA UE
La Autoridad Irlandesa de Protección de Datos (DPC, por sus siglas en inglés) anunció el 17 de febrero de 2026 la apertura de una investigación formal contra X Internet Unlimited Company (XIUC). Según el regulador, el objeto son la “aparente” creación y publicación en X de imágenes íntimas o sexualizadas no consentidas generadas con funcionalidades asociadas a Grok, incluidas aquellas que “contienen o implican” el tratamiento de datos personales de residentes en la UE/EEE, también menores.
La DPC precisa que la decisión se notificó a la compañía el 16 de febrero y que el procedimiento examinará, entre otras, obligaciones del RGPD vinculadas a los principios de tratamiento (art. 5), la licitud (art. 6), la privacidad desde el diseño y por defecto (art. 25) y la evaluación de impacto (art. 35). En otras palabras: no se limita a “si hubo contenido”, sino a cómo se diseñó, evaluó y gobernó la funcionalidad.
La investigación irlandesa es especialmente relevante porque, por el mecanismo europeo de “ventanilla única”, una empresa con establecimiento principal en la UE puede tratar con una autoridad líder para tratamientos transfronterizos. La propia DPC explica ese esquema y su lógica de supervisión coordinada.
DEL RGPD A LA DSA: DOS VÍAS DE CONTROL EN PARALELO
En paralelo al RGPD, Bruselas ya ha activado otra palanca. El 26 de enero de 2026, la Comisión Europea abrió un expediente formal contra X bajo la Ley de Servicios Digitales (DSA) por el despliegue de funcionalidades de Grok en la UE y su potencial para amplificar riesgos sistémicos, incluida la difusión de contenido ilegal como imágenes sexualmente explícitas manipuladas que podrían llegar a considerarse material de abuso sexual infantil.
La Comisión remarca además que la apertura del procedimiento no prejuzga el resultado y se reserva herramientas como requerimientos de información, entrevistas, inspecciones e incluso medidas provisionales si no hay “ajustes significativos” del servicio.
Fuera de la UE, el asunto también ha encendido alarmas regulatorias. En el Reino Unido, Ofcom explica que actuó tras reportes sobre el uso de la cuenta de Grok en X para crear y compartir deepfakes sexuales degradantes (incluidos de menores), y detalla que contactó con la compañía el 5 de enero y lanzó una investigación formal el 12 de enero.
QUÉ SIGNIFICA “DATOS PERSONALES” EN UN DEEPFAKE
El corazón jurídico del caso es menos abstracto de lo que parece. Un deepfake sexualizado de una persona real suele partir de fotos, vídeos o rasgos identificables. En términos del RGPD, una imagen de alguien identificable puede constituir dato personal, y su tratamiento exige base legal, proporcionalidad y medidas de seguridad; si, además, el sistema está diseñado para “editar” o “desnudar” a partir de una fotografía, la discusión se desplaza hacia riesgo alto y necesidad de evaluación de impacto.
Por eso el regulador irlandés enfatiza dos conceptos: “privacy by design/by default” (evitar que el producto, por defecto, facilite abusos previsibles) y DPIA (anticipar riesgos para derechos y libertades antes del despliegue).
Reuters, por su parte, añade un elemento práctico: pese a que X anunció restricciones, el medio afirma que Grok seguía generando ese tipo de imágenes cuando se le insistía con determinados prompts, lo que alimenta la cuestión de fondo sobre la eficacia real de las salvaguardas.
EFECTOS PRÁCTICOS PARA CIUDADANOS: QUÉ HACER SI ERES VÍCTIMA
La conversación suele quedarse en “multas” y “macroinvestigaciones”, pero hay medidas inmediatas para personas afectadas por deepfakes íntimos:
- Solicita retirada y limitación de difusión en la propia plataforma (denuncia interna, bloqueo y reporte). Documenta el enlace y captura evidencias; puede ser clave si el contenido desaparece y necesitas acreditar hechos.
- Ejercicio de derechos RGPD: el derecho de supresión (“al olvido”) permite pedir la eliminación cuando concurren determinados supuestos, y la AEPD recuerda que debe ejercerse ante el responsable del tratamiento.
- Si no hay respuesta en plazo o es insatisfactoria, puede presentarse una reclamación ante la autoridad de protección de datos. La AEPD describe este circuito para reclamaciones ligadas al ejercicio de derechos.
- Vía DSA: la Comisión señala que los ciudadanos pueden presentar una queja por incumplimientos de la DSA ante el coordinador de servicios digitales de su Estado miembro. En España, el Gobierno designó a la CNMC como Coordinador de Servicios Digitales, con competencias de supervisión e investigación en el marco de la DSA.
En casos que impliquen menores o indicios de material delictivo, el enfoque cambia: además de los canales administrativos, debe priorizarse la denuncia por vías policiales y la preservación de pruebas, evitando la redistribución del contenido.
IMPLICACIONES PARA EMPRESAS: CUMPLIMIENTO, DISEÑO SEGURO Y RESPONSABILIDAD
Para compañías que operan en la UE —no solo plataformas, también desarrolladores e integradores de IA— el caso marca una pauta: la “innovación rápida” no exime de gobernanza preventiva. En la práctica, hay tres frentes de trabajo que ya se están volviendo estándar:
- Gestión de riesgos y DPIA
Si una funcionalidad puede derivar en daños graves (por ejemplo, generación de imágenes íntimas no consentidas), la lógica del RGPD empuja hacia evaluaciones de impacto, controles de acceso, trazabilidad y medidas técnicas coherentes con el riesgo. En el expediente irlandés, la DPC menciona explícitamente art. 25 y art. 35 como ejes del análisis. - Moderación y “deber de diligencia” en servicios digitales
Bajo la DSA, la Comisión investiga si X evaluó y mitigó riesgos sistémicos vinculados a Grok, incluida la difusión de contenido ilegal y efectos negativos asociados —por ejemplo, en términos de violencia de género y daños a menores—, y reclama informes de evaluación ad hoc antes del despliegue. - Transparencia y etiquetado de contenidos sintéticos
La UE está construyendo una capa adicional con el AI Act. La Comisión Europea recoge que el reglamento entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos ya en marcha. En ese contexto, el Parlamento Europeo subraya que la norma incorpora obligaciones de transparencia y etiquetado para deepfakes (art. 50), aunque con excepciones y aún con desarrollo práctico desigual.
En paralelo, otras piezas del marco europeo comienzan a cubrir el daño específico de la “intimidad sintética”: el Parlamento Europeo recuerda que la Directiva 2024/1385 sobre violencia contra las mujeres aborda imágenes no consentidas generadas con IA, con previsiones de protección para víctimas.
EL CALENDARIO: QUÉ PUEDE PASAR AHORA
En el corto plazo, lo decisivo será si las autoridades concluyen que hubo fallos en diseño, evaluación de riesgos o base legal para el tratamiento de datos personales. Si prosperan infracciones graves, el RGPD contempla sanciones que pueden llegar, para determinadas conductas, hasta 20 millones de euros o el 4% de la facturación anual mundial (lo que resulte mayor), según el marco europeo citado habitualmente en resoluciones y jurisprudencia.
En paralelo, el expediente DSA abre la puerta a decisiones de incumplimiento y a medidas correctoras sobre el servicio, incluida la exigencia de cambios estructurales en la forma en que se despliegan y supervisan funciones de IA en plataformas de gran tamaño.
