La “nudificación” de la IA: Grok vs. Clothoff

El pasado mes de octubre de 2025, Il Garante italiano adoptaba la medida cautelar preventiva de cerrar inmediatamente la aplicación de IA Clothoff tras recibir denuncias acerca de su funcionamiento, basado en “nudificar” personas reales convirtiendo sus fotografías en contenido altamente sexualizado.

En agosto de 2025, Grok, el chatbot de IA integrado en X, comenzó a generar imágenes desnudando y sexualizando, principalmente a mujeres, a partir de imágenes publicadas por los propios usuarios. Un fenómeno cuantitativamente más significativo que el de Clothoff, pues según Bloomberg, Grok fue capaz de generar alrededor de 6.700 imágenes cada hora con contenido “nudificado”.

Las agencias de Reino Unido, ICO y OFCOM, fueron las primeras en anunciar sendas investigaciones y contacto directo con los responsables de X. Il Garante italiano también anunció en las últimas horas que trabaja en la investigación del asunto con su homóloga irlandesa, responsable de los servicios prestados por X, y se reservan el derecho de tomar nuevas iniciativas.

Sin embargo, aún no se ha emitido ninguna orden para deshabilitar temporal y preventivamente la funcionalidad de Grok, y son miles los usuarios que continúan generando dicho contenido a la hora.

¿Qué explica esta divergencia de respuesta ante situaciones sustancialmente similares? La respuesta parece residir en cuestiones que ponen en evidencia la asimetría regulatoria y política entre los actores implicados: mientras que aplicaciones marginales pueden ser rápidamente suspendidas por las autoridades, los sistemas de IA integrados en plataformas globales de enorme influencia escapan, de facto, a reacciones regulatorias inmediatas.

Clothoff: cierre preventivo sin fricciones

Clothoff era una aplicación web y móvil que permitía subir fotografías de cualquier persona y generar imágenes simulando a esa persona desnuda o en contextos sexualmente explícitos. Operaba bajo un modelo freemium y desde una estructura societaria opaca, con sede formal en las Islas Vírgenes Británicas y operadores técnicos en Bielorrusia.

Tras una investigación iniciada en agosto de 2025, Il Garante identificó infracciones claras del RGPD (ausencia de consentimiento, falta de transparencia, inexistencia de verificación de edad y carencia de medidas de seguridad).

Ante este escenario, y siguiendo una línea de actuación ya consolidada, la autoridad italiana acordó la limitación temporal del tratamiento de datos, materializada en el bloqueo de la aplicación en el territorio italiano. Se trata de una medida de carácter preventivo y urgente frente a riesgos graves para los derechos y libertades fundamentales de los interesados, adoptada en ejercicio de las facultades previstas en el artículo 58.2.f) del RGPD.

(Imagen: E&J)

Grok: escala masiva, respuesta contenida

Grok es radicalmente diferente en arquitectura y más problemático en cuanto a magnitud. Es un chatbot generativo integrado directamente en X, cuya funcionalidad más “novedosa” se puso a disposición de los usuarios el pasado mes de agosto, el llamado Spicy Mode capaz de generar contenido sexualmente explícito.

La mencionada investigación realizada por la investigadora de Deep fakes, Genevieve Oh, arrojó como resultado que Grok es capaz de generar 6.700 imágenes sexualizadas por hora. Esto se traduce en 160.800 imágenes diarias. La gravedad no reside solo en el volumen de imágenes, sino en su difusión pública directa a través del feed de X, lo que multiplica el alcance del daño y el número de personas afectadas, tanto figuras públicas como usuarios ordinarios.

Las respuestas de las autoridades europeas por el momento han sido: la OFCOM ha abierto una investigación formal y se ha puesto en contacto con X; la ICO igualmente ha pedido aclaraciones y ha publicado un comunicado oficial tras la adopción de medidas de X basadas únicamente en anunciar a los usuarios en su plataforma, que no deben hacer un uso ilegal de Grok; la Comisión Europea ha manifestado estar “seriamente atenta en este asunto”.

Por su parte, Il Garante también se ha pronunciado recientemente a través de un comunicado en el que además de recordar que la utilización herramientas de generación de contenido para estas finalidades puede conllevar infracciones penales, ha anunciado que se encuentra trabajando en la investigación del asunto junto con la Data Protection Commission de Irlanda.

Sin embargo, aún no se han adoptado medidas cautelares o preventivas como sí se tomaron en el caso de Clothoff.

Diferencias entre la aplicación del RGPD Europeo y ‘UK GDPR – OSA’ de Reino Unido

El artículo 58.2.f del RGPD faculta a las autoridades de protección de datos a imponer la limitación temporal o definitiva de un tratamiento, incluida su prohibición, cuando exista una infracción o un riesgo grave para los derechos y libertades de los interesados. No se exige una declaración previa de culpabilidad, sino la constatación de un riesgo suficientemente fundado y urgente.

Este enfoque no es excepcional y único para el caso de Clothoff, sino que nuestra Agencia Española de Protección de Datos (AEPD) o Il Garante ya había ordenado la suspensión temporal de servicios como Replika (febrero de 2023) y ChatGPT (marzo-abril de 2023) por deficiencias en materia de protección de menores y transparencia, utilizando las mismas facultades previstas en el RGPD.

El marco británico es distinto. La Online Safety Act 2023 se articula principalmente sobre obligaciones de mitigación de riesgos y cumplimiento progresivo. Aunque OFCOM dispone de potestades relevantes —incluidas sanciones económicas y, en determinados supuestos con intervención judicial previa, órdenes judiciales de restricción de servicios—, el modelo es más gradual y judicializado, lo que dificulta respuestas administrativas inmediatas ante daños en curso.

A ello se suma que el UK GDPR contiene un artículo 58.2.f) con redacción idéntica al RGPD europeo, que faculta al ICO a imponer limitaciones temporales o definitivas de tratamiento, incluida la prohibición. Sin embargo, la práctica regulatoria diverge fundamentalmente, pues la ICO ha adoptado históricamente un enfoque más cooperativo y gradual, prefiriendo trabajar con organizaciones para alcanzar soluciones antes que ejercer poderes de intervención administrativa inmediata.

Por su parte, las recientes tipificaciones penales relativas a imágenes íntimas generadas mediante IA constituyen instrumentos represivos ex post, cuya eficacia preventiva es limitada.

(Imagen: E&J)

El tamaño sí importa: cuando el poder retrasa la intervención

Puede decirse que Clothoff era un actor “marginal”. Una empresa diseñada para cumplir su función con su actividad de nicho (e ilegal), sin gran poder político detrás ni capacidades magnánimas de litigación frente a una autoridad de protección de datos como Il Garante.

La situación es radicalmente distinta en el caso de Grok, integrado en X, una plataforma con cientos de millones de usuarios a escala global y respaldada por una capacidad financiera, jurídica e incluso política, extraordinaria. Todos sabemos quién es Elon Musk y su historial, así como la estrategia recurrente de confrontación jurídica y política con autoridades reguladoras, tanto en Estados Unidos como en la Unión Europea y en terceros países.

Esta asimetría introduce un fenómeno bien conocido en la teoría regulatoria: la capacidad de resistencia de los actores sistémicos, íntimamente relacionada con la soberanía digital europea a la que tanto se alude.

Cuando una autoridad se enfrenta a una empresa pequeña, la ejecución de medidas cautelares tiene efectos inmediatos y costes reducidos. Cuando el destinatario es una infraestructura digital global, cualquier decisión de suspensión o cierre funcional anticipa litigios prolongados, negociaciones, presiones políticas, etc.

En este contexto, los reguladores pueden verse incentivados a optar por estrategias de supervisión gradual, diálogo regulatorio o investigación prolongada, incluso cuando el daño es actual y significativo. No se trata necesariamente de una renuncia formal a sus competencias, sino de un fenómeno de autocontención institucional (regulatory chill).

Sin embargo, aquí se manifiesta uno de los problemas estructurales más relevantes del caso: este tipo de dinámicas acaba produciendo una paradoja difícilmente sostenible desde la óptica de la protección de derechos fundamentales. Cuanto mayor es el poder económico, tecnológico y jurídico de la plataforma afectada, más lento y cauteloso tiende a ser el proceso de intervención por parte de las autoridades, dilatándose las actuaciones y prolongándose en el tiempo el riesgo o su materialización.

Esta situación se ve además agravada por un elemento adicional. Ese mismo poder suele ser indicativo de la escala y penetración del servicio. En plataformas de alcance masivo, como X, la demora en la adopción de medidas no solo incrementa la duración del daño, sino también su extensión, amplificando exponencialmente el número de personas potencialmente afectadas.

La incógnita, por tanto, no es si las autoridades del Reino Unido, Italia, Irlanda, la Comisión Europea o el resto de los Estados disponen de herramientas jurídicas para actuar frente a la generación de este tipo de contenidos por parte de Grok, sino cuándo decidirán hacerlo. ¿Días, semanas, meses?