Take It Down Act 2026: 48 horas para retirar deepfakes

Qué es la Take It Down Act y por qué entra en vigor hoy

El 19 de mayo de 2026 marca el deadline final: todas las plataformas cubiertas por la Take It Down Act deben tener operativo su sistema de notificación y eliminación de deepfakes íntimos. La ley, promulgada por el presidente Trump el 19 de mayo de 2025, establece un plazo máximo de 48 horas para retirar contenido una vez recibida una solicitud válida de la víctima.

Para founders de startups tech con usuarios en Estados Unidos, esto no es opcional. La FTC ya tiene facultades para investigar y sancionar, y el primer condenado bajo esta ley fue sentenciado en abril de 2026. Si tu producto permite subir imágenes, videos o usa IA generativa, necesitas entender esto hoy.

¿Qué establece exactamente la ley?

La Take It Down Act es la primera ley federal de EE.UU. diseñada específicamente para combatir la difusión no consentida de imágenes íntimas reales o generadas por IA (NCII, por sus siglas en inglés). Los puntos clave:

• Tipifica como ilegal publicar o distribuir a sabiendas imágenes o videos sexualmente explícitos sin consentimiento, tanto si son reales como manipulados por IA
• Obliga a plataformas a retirar el contenido en 48 horas tras recibir una solicitud válida
• Aplica a menores y adultos, con penas más severas para casos que involucren menores
• Da enforcement a la FTC para investigar y sancionar incumplimientos
• Exige medidas para evitar re-subidas del mismo material

Las plataformas excluidas son proveedores de acceso a internet, correo electrónico, y sitios cuyo contenido sea principalmente preseleccionado por el proveedor. Pero si tu startup aloja UGC (contenido generado por usuarios), estás cubierto.

¿Cuáles son las multas y consecuencias por incumplimiento?

Las sanciones son significativas y operan en dos niveles:

Para distribuidores individuales:

• Hasta 2 años de prisión para casos que involucren adultos
• Hasta 3 años de prisión para casos que involucren menores
• Sanciones económicas federales

Para plataformas y startups:

• Investigaciones de la FTC por prácticas engañosas o injustas
• Órdenes de cese y desistimiento
• Litigios civiles paralelos de víctimas
• Daño reputacional severo
• Riesgo de bloqueo operativo en el mercado estadounidense

Un punto crítico: la Section 230 (que tradicionalmente protege a plataformas de responsabilidad por contenido de terceros) está bajo debate jurídico. No asumas que te protege automáticamente frente a esta ley.

¿Cómo afecta a startups hispanohablantes que operan en EE.UU.?

Aquí está lo que muchos founders pasan por alto: la ley tiene alcance extraterritorial práctico. No importa si tu startup está incorporada en México, España, Argentina o Colombia. Si cumples alguna de estas condiciones, estás expuesto:

• Tienes usuarios ubicados en Estados Unidos
• Tu app está disponible en tiendas de EE.UU. (App Store, Google Play)
• Usas infraestructura o hosting en territorio estadounidense
• Monetizas tráfico proveniente de EE.UU.
• Almacenas o procesas contenido que afecta a víctimas en EE.UU.

Según análisis del NCMEC (National Center for Missing & Exploited Children), la Take It Down Act está diseñada para tener impacto internacional. Las plataformas deben retirar contenido en respuesta a solicitudes válidas, independientemente de dónde resida la víctima o quien publicó el material.

Para startups latinoamericanas y españolas que buscan escalar en el mercado estadounidense, esto representa un requisito de compliance obligatorio antes de buscar inversión o expansión.

¿Qué están haciendo ya las grandes tecnológicas?

Las empresas establecidas no están esperando. Estos son los casos documentados:

• Meta: Ha expandido herramientas de detección de contenido manipulado y etiquetas de IA, integrando clasificación de medios alterados
• Google/YouTube: Usa detección y etiquetado de contenido sintético, con políticas reforzadas sobre medios engañosos
• OpenAI: Ha impulsado trazabilidad y watermarking en sus productos, restringiendo usos de imagen y voz
• Microsoft: Trabaja en provenance, watermarking y detección de contenido sintético para ecosistemas empresariales

Startups especializadas como Reality Defender, Sensity, Hive y Truepic ya ofrecen servicios de detección de deepfakes que empresas pueden integrar para compliance y trust & safety.

Contexto global: ¿Cómo se compara con UE y Latinoamérica?

Unión Europea: El Digital Services Act (DSA) obliga a plataformas a tener mecanismos de notice-and-action, pero no establece un plazo tan específico como las 48 horas de EE.UU. El AI Act europeo exige transparencia en contenidos sintéticos, pero no crea un régimen tan operativo para deepfakes íntimos.

Latinoamérica: El panorama es fragmentado. México tiene la Ley Olimpia como referente contra violencia digital. Argentina, Brasil, Colombia y Chile combinan protección de privacidad, honor y datos personales, pero ninguna tiene una ley federal equivalente a la Take It Down Act con plazos específicos y enforcement claro.

Esto significa que startups que operan globalmente deben cumplir con el estándar más alto: el de EE.UU.

¿Qué significa esto para tu startup? 7 acciones concretas

Si tu startup tiene exposición al mercado estadounidense, implementa esto en los próximos 30-60 días:

1. Formulario específico de takedown para NCII/deepfakes: No uses el mismo flujo que para DMCA. Crea uno dedicado, fácil de encontrar y en inglés/español.
2. SLA interno de 48 horas: Tu equipo de trust & safety debe poder revisar y actuar dentro de este plazo, incluyendo fines de semana.
3. Sistema de hashing perceptual: Para identificar y bloquear re-subidas del mismo material. No necesitas construirlo desde cero: integra proveedores como Reality Defender o Hive.
4. Playbook legal y de escalamiento: Define cuándo escalar a counsel externo, cómo preservar evidencia y qué documentación mantener.
5. Registro de evidencia y auditoría: Loguea cada solicitud, tiempo de respuesta, acción tomada y resultado. La FTC puede pedir esto.
6. Política de apelación clara: Permite que usuarios apelem decisiones de takedown legítimas para evitar falsos positivos.
7. Revisión de TOS y jurisdicción: Actualiza tus términos de servicio para reflejar estas obligaciones. No asumas que la Section 230 te protege automáticamente.

Costo estimado para startups early-stage: Entre $5,000 y $20,000 USD iniciales para implementación básica (formulario, workflow, integración de API de detección, counsel legal inicial). El costo de incumplimiento es exponencialmente mayor.

Conclusión

La Take It Down Act no es una regulación más: es un cambio estructural en cómo las plataformas deben operar en Estados Unidos. Con el deadline de hoy, 19 de mayo de 2026, no hay margen para esperar. La primera condena ya ocurrió en abril de 2026, y la FTC tiene facultades activas.

Para founders hispanohablantes, la clave es actuar con anticipación. El mercado estadounidense representa oportunidades enormes, pero también exige cumplimiento riguroso. Invertir en trust & safety no es un gasto: es un requisito para escalar.

Si tu startup está construyendo productos con IA generativa, UGC o cualquier forma de contenido visual, este es el momento de auditar tu compliance. Tus futuros inversores te lo van a preguntar en due diligence.

Fuentes

1. https://www.theverge.com/policy/933518/take-it-down-act-notice-removal-social-media-deepfake (fuente original)
2. https://elpais.com/us/2025-05-20/take-it-down-act-la-ley-que-criminaliza-los-deepfakes-y-la-pornovenganza.html (El País)
3. https://www.orrick.com/en/Insights/2025/05/TAKE-IT-DOWN-Act-Becomes-Law (Orrick)
4. https://globalchildexploitationpolicy.org/content/gpp-ncmec/us/es/articles/us-take-it-down-act-to-have-global-impact.html (NCMEC)

Artículos relacionados:

Take It Down Act 2026: Guía para founders sobre deepfakes H.R.8250: verificar edad en iOS, Android y Windows Digital Age Assurance Act: Impacto en FOSS y Startups 2027 Ley de IA, agentes autónomos y el 80% que no cambia el modelo AI Act Omnibus: prohíbe deepfakes sexuales sin consentimiento