Análisis de la Guía del uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles en invisibles

La AEPD mantiene los criterios clásicos de análisis del impacto de la difusión de contenidos visuales, plenamente aplicables cuando el material es generado o modificado por IA, y advierte de que los filtros técnicos de las plataformas no eliminan todos los riesgos, especialmente cuando el resultado es verosímil o se reutiliza fuera del contexto inicial. Entre los criterios destacan: la expectativa razonable y la legitimación para el uso concreto (no se puede asumir autorización por el mero hecho de que la imagen ya circule), el alcance y la facilidad de difusión, y la persistencia y posibilidad real de retirada del contenido y sus copias. La Guía subraya como señales de riesgo muy alto la sexualización y el contenido íntimo sintético, con graves efectos prácticos por su potencial de chantaje, acoso o difusión no controlada. También escala el riesgo la atribución de hechos no reales verosímiles por su impacto reputacional y social, y la descontextualización o reinterpretación mediante títulos o comentarios que alteran el significado del contenido. El umbral de prudencia debe ser máximo cuando la persona afectada pertenece a colectivos vulnerables (menores, mayores, discapacidad), y el análisis debe atender al daño específico en esferas personales, laborales, educativas, psicológicas o de suplantación de identidad; incluso tratándose de personas fallecidas, pueden activarse derechos afines como honor, intimidad, propia imagen o memoria familiar.

En usos legítimos con interés público o finalidades informativas, resulta clave la proporcionalidad del tratamiento, el respeto a los límites de contextualización y la adopción de medidas de mitigación (p. ej., técnicas de anonimización robusta cuando sea viable sin frustrar la finalidad). Cuando existan dudas razonables, debe optarse por alternativas menos intrusivas o por recabar consentimiento válido y verificable si es la base jurídica idónea.

La Guía destaca que una parte esencial del riesgo se produce desde que la imagen se incorpora a la plataforma, incluso sin difusión posterior: ello implica una pérdida efectiva de control al intervenir un tercero tecnológico que decide cómo procesa el archivo; retenciones técnicas y copias no visibles que dificultan verificar la supresión; y la intervención de múltiples actores (nube, seguridad, soporte) que amplía el perímetro de acceso. Además, los proveedores suelen incorporar finalidades propias y añadidas (seguridad, calidad, mejora de modelos), conservando ejemplos o reutilizándolos internamente más allá de lo que el afectado puede imaginar, y generando metadatos e inferencias que, aunque funcionales, constituyen tratamientos adicionales. Ciertas herramientas posibilitan la identificación persistente de una persona en múltiples generaciones a partir de una sola foto, lo que facilita la reutilización y eleva el riesgo de reidentificación y pérdida de control. A ello se suma la asimetría informativa que dificulta el ejercicio de derechos, el riesgo de exposición por incidentes de seguridad, y un efecto multiplicador que posibilita la generación de variantes y conecta con daños posteriores. Esta lectura técnica-jurídica es coherente con el análisis especializado que enfatiza la opacidad técnica, la trazabilidad limitada y la multiplicación de usos más allá de la finalidad inicial del usuario.

Conviene inventariar estos riesgos "silenciosos" en los registros de actividades, documentar si existe entrenamiento o afinado con imágenes aportadas por usuarios y exigir, cuando proceda, opt-outs efectivos para usos secundarios. La descripción granular de flujos de datos, retenciones y subencargos facilita la justificación de decisiones y la atención de reclamaciones.

La AEPD prioriza supuestos con pérdida efectiva de control, sexualización sintética, atribución de hechos falsos, menores o vulnerables, humillación o descrédito, y difusión en entornos de alto impacto personal, social o profesional. Si bien algunos usos pueden quedar fuera del RGPD por ser estrictamente domésticos, ello no excluye la posible afectación de derechos fundamentales afines y la aplicación del Código Penal, con intervención de Fuerzas y Cuerpos de Seguridad, Fiscalía y órganos judiciales, fuera del ámbito de la AEPD.

También pueden concurrir normas sectoriales (p. ej., consumo, laboral, propiedad intelectual) y expectativas regulatorias emergentes en IA que inciden en etiquetado y transparencia del contenido sintético, así como en los deberes de diligencia de proveedores y usuarios empresariales. En paralelo, prácticas de explotación de imágenes en plataformas con poder significativo de mercado requieren un análisis adicional sobre condiciones de servicio, consentimiento y equidad en el tratamiento.

• La subida o transformación de imágenes de terceros en herramientas de IA es, per se, un tratamiento de datos personales que exige un análisis de riesgos y garantías desde el diseño, incluso si el uso es trivial y no hay difusión.
• No existe una autorización general por el hecho de que la imagen ya circule; cuanto mayor sea la desconexión respecto del contexto original y menor el control de la persona, más exigente debe ser la justificación del uso y mayor es el nivel de riesgo.
• El análisis de riesgo debe ponderar: la facilidad de difusión y persistencia del contenido; la posibilidad real de retirada; y si concurren señales rojas como sexualización sintética, atribuciones verosímiles de hechos o afectación a colectivos vulnerables.
• En la relación con proveedores, debe anticiparse la pérdida de control, las copias técnicas, la intervención de subencargados y las finalidades añadidas (seguridad, mejora), así como la generación de metadatos y el riesgo de identificación persistente si la herramienta lo permite.
• La asimetría informativa y la dificultad de ejercer derechos exigen reforzar cláusulas y procesos de gestión con el proveedor, atendiendo también a la exposición por incidentes de seguridad y al efecto multiplicador de la tecnología.

En tratamientos que impliquen reconocimiento o verificación biométrica, o que puedan inferir rasgos sensibles, debe analizarse si concurren categorías especiales y si existe una base habilitante adecuada. Cuando el interés legítimo se invoque, la prueba de necesidad y el test de equilibrio deben estar sólidamente documentados y respaldados por medidas de minimización.

Los supuestos con alto riesgo previsible requieren evaluación de impacto de protección de datos, inventariando escenarios, medidas técnicas y residuales. Es recomendable establecer comités de IA y flujos de aprobación previos al uso de herramientas que procesen imágenes de terceros, con revisiones periódicas y criterios de retirada.

• Identificar si la imagen contiene o puede contener elementos de identificación del sujeto, incluso tras alteraciones o en combinación con contexto.
• Confirmar si el caso presenta factores de alto riesgo: sexualización, hechos no reales verosímiles, descontextualización, vulnerabilidad o daño específico constatable.
• Evaluar el riesgo no visible: pérdida de control, copias no visibles, intervención de múltiples actores, finalidades añadidas del proveedor y metadatos/inferencias.
• Verificar si la herramienta posibilita identificación persistente o reutilización técnica de rasgos, incrementando el riesgo de recreación recurrente.
• Analizar la difusión potencial y la persistencia del contenido, así como la reversibilidad práctica del daño mediante retirada o supresión.
• Comprobar la base jurídica aplicable, la necesidad de consentimiento y, en su caso, la concurrencia de categorías especiales o elementos biométricos.
• Definir plazos de conservación, criterios de borrado verificable y mecanismos de desindexación cuando sea posible.
• Establecer cláusulas contractuales con el proveedor sobre usos secundarios, subencargos, transferencias y medidas de seguridad, con auditorías proporcionales.