El 11 de marzo de 2026, el Parlamento Europeo cerró un acuerdo político para modificar el AI Act mediante un paquete de enmiendas conocido como AI Act Omnibus. Entre los puntos más sensibles del pacto, uno destaca por encima del resto: la inclusión de una prohibición expresa de las imágenes íntimas no consentidas generadas o manipuladas con IA, un terreno que hasta ahora quedaba en una zona gris incómoda. La negociación no fue tranquila. Ha pesado una coalición de 57 eurodiputados, el enfado regulatorio acumulado y, sobre todo, un escándalo que hizo de detonante.
El Omnibus nace con una misión doble y algo contradictoria: simplificar obligaciones para que la ley sea aplicable sin colapsar a sectores enteros, y reforzar donde se han detectado fallos de diseño. En esa tensión, la cláusula sobre deepfakes sexuales se convirtió en el símbolo de una idea simple: si la norma pretende poner límites claros, no puede dejar fuera uno de los usos más dañinos y previsibles de la IA generativa.
Qué se prohíbe: cuando la IA “desnuda” a alguien sin permiso
La nueva prohibición apunta a sistemas capaces de alterar, manipular o generar imágenes realistas que muestren actividades sexuales o partes íntimas de una persona identificable sin su consentimiento. Dicho sin tecnicismos: impedir que una herramienta pueda fabricar “fotos” que parecen reales de alguien en una situación íntima que nunca ocurrió. En la práctica, esto incluye desde montajes pornográficos hasta las funciones de “nudificación” que, con dos clics, convierten una foto cotidiana en un desnudo falso.
La mención explícita al material de abuso sexual infantil (CSAM) eleva el listón: no se trata solo de proteger reputaciones o frenar la humillación pública; se trata de cortar de raíz la posibilidad de que herramientas generalistas puedan producir contenido ilegal gravísimo. Es como si la ley colocara un cartel de “prohibido pasar” donde antes solo había una cuerda floja: el mensaje no cambia el fenómeno tecnológico, pero sí cambia las consecuencias legales de diseñarlo, distribuirlo o facilitarlo.
El caso Grok: la chispa que obligó a reabrir el texto
La razón por la que este tema entró “por la puerta de atrás” del Omnibus tiene nombre propio: Grok, el chatbot de xAI integrado en X. A finales de diciembre de 2025, una actualización incorporó funciones de edición de imagen y, en cuestión de días, usuarios comenzaron a explotarlas para generar imágenes sexualizadas realistas de mujeres y niñas sin permiso. El episodio escaló con rapidez porque combinaba tres ingredientes explosivos: facilidad de uso, viralidad de plataforma y daño inmediato a personas reales.
La organización parisina AI Forensics cuantificó el fenómeno con una cifra que se convirtió en munición política: entre el 5 y el 6 de enero, estimó al menos 6.700 imágenes sexuales generadas con la herramienta. Las cifras, por sí solas, no describen el impacto emocional, pero ayudan a entender por qué el tema dejó de ser un debate abstracto sobre “riesgos” para convertirse en una urgencia. Es la diferencia entre hablar de incendios y ver humo en tu propia casa.
La reacción europea: DSA, retención de datos y varias investigaciones a la vez
La Comisión Europea reaccionó con un lenguaje inusualmente duro. Su portavoz en asuntos digitales calificó el contenido de “espantoso” y “claramente ilegal”, subrayando que “no tiene lugar en Europa”. En paralelo, ordenó a X conservar documentos internos y datos relacionados con Grok hasta finales de 2026, una decisión pensada para evitar que pruebas clave desaparezcan cuando el ciclo mediático se apaga.
La presión no venía solo del AI Act. La Comisión abrió una investigación formal bajo el Digital Services Act (DSA), un marco que puede imponer multas de hasta el 6% de la facturación anual global. El caso se complicó todavía más por el contexto: en diciembre de 2025, la propia Comisión ya había multado a X con 120 millones de euros por incumplimientos de transparencia publicitaria. Dos frentes abiertos al mismo tiempo convierten cualquier ajuste técnico en una decisión de alto riesgo.
xAI intentó contener el problema restringiendo la función primero a suscriptores de pago y luego bloqueándola en jurisdicciones donde ese contenido es ilegal. El problema, según AI Forensics, es que los usuarios siguieron encontrando vías de escape. A nivel nacional, se movieron piezas en Francia, Alemania y Reino Unido, mientras que países como Malasia e Indonesia llegaron a bloquear el acceso a Grok. Es el patrón clásico de la moderación a escala: si el grifo gotea, la gente busca otro agujero, y el agua acaba en el mismo sitio.
El punto ciego del AI Act: lo que no estaba escrito, no existía
Lo más incómodo para Bruselas fue admitirlo en voz alta: la Comisión confirmó el 11 de marzo que el AI Act, tal y como estaba redactado, no prohibía sistemas capaces de generar CSAM o falsos desnudos explícitos. Ese reconocimiento, reflejado también en una carta oficial a un eurodiputado, activó el resorte político. Cuando una norma presume de “categorías de riesgo” pero deja fuera una práctica que cualquiera puede imaginar, el resultado se parece a una cerradura nueva en una puerta con la ventana abierta.
El episodio deja una lección sobre el ritmo tecnológico: los legisladores escribieron pensando en capacidades que tardarían más en aterrizar en el consumo masivo, y las herramientas llegaron antes, más potentes y más integradas en plataformas con audiencias gigantes. El daño no requería hackers ni conocimientos avanzados; bastaba con curiosidad y mala intención. Como una fotocopiadora colocada en mitad de la calle con un botón que dice “duplicar”, el uso abusivo no es una sorpresa; es una expectativa.
Geopolítica interna: Francia y España empujan, y el paquete también desregula por otro lado
La prohibición explícita no era parte del plan inicial del Omnibus. Francia y España la defendieron con insistencia durante la negociación, y Alemania junto a Eslovaquia llegaron a amenazar con bloquear el expediente si no se incorporaba. El Consejo de la UE, que representa a los Estados miembro, añadió la cláusula a última hora el 10 de marzo. El Parlamento Europeo la siguió al día siguiente en el acuerdo político entre fuerzas de centro-derecha y centro-izquierda.
El mismo pacto contiene otra pieza que explica por qué la discusión fue tan áspera: el alivio de ciertas obligaciones de cumplimiento para sistemas de IA integrados en productos ya regulados sectorialmente, como dispositivos médicos o maquinaria industrial. Aquí aparece el dilema: facilitar la vida a fabricantes que ya cumplen reglas de seguridad y certificación, sin abrir una autopista para que se cuelen sistemas problemáticos “camuflados” dentro de productos complejos. Los Verdes han criticado esa parte de “desregulación industrial”, y eso introduce incertidumbre sobre el texto final.
Qué pasa ahora y qué deberían preparar plataformas y proveedores de IA
El acuerdo del 11 de marzo no es el final del recorrido. Se espera una votación en comisión el 18 de marzo, seguida de nuevas fases parlamentarias y del Consejo, con margen para cambios si se forman nuevas mayorías. En paralelo, la Comisión tiene pendiente su propia revisión sobre qué prácticas deben clasificarse formalmente como prohibidas, un proceso que había incumplido su plazo de agosto de 2025 y que ahora se espera cerrar en abril. Esa revisión y el Omnibus se alimentan mutuamente: uno define la lista y el otro ajusta el motor para que la lista se aplique de verdad.
Para plataformas como X y para proveedores de modelos de imagen, el mensaje es claro: ya no basta con prometer “guardarraíles”; habrá una línea legal más nítida y, con ella, más exposición a sanciones si el diseño permite abusos previsibles. Esto puede traducirse en cambios prácticos que el usuario notará, como bloqueos más agresivos ante solicitudes sexualizadas, frenos a la edición de fotos de personas reales y mecanismos de detección que actúen antes de que el contenido se comparta. El caso Grok también añade una capa política: la relación de Elon Musk con Bruselas ya era tensa por críticas públicas al DSA, y el telón de fondo de fricciones comerciales UE-EE. UU. en 2026 sugiere un clima menos cooperativo.
La paradoja es que la tecnología seguirá avanzando. Lo que cambia es el tablero: si antes era posible argumentar “no estaba expresamente prohibido”, ahora la norma pone nombre y apellidos a una práctica que, para muchas víctimas, no es un debate jurídico sino una herida real.