Actualmente nadie puede negar el impacto en la sociedad de la Inteligencia Artificial (en adelante, IA) como una herramienta de gran potencial económico en numerosos sectores que, de entre los diferentes usos, destaca la creación de contenidos.
Gracias a la incorporación de la IA al ámbito creativo, podemos generar imágenes, audios, textos y videos de forma automática, optimizar los recursos o personalizar el marketing digital. Sin embargo, la intervención de la IA en este sector abre a su vez una puerta a una realidad cada vez más preocupante: nuevas formas de manipulación también conocido comúnmente como deepfake.
El término deepfake combina “deep learning” (aprendizaje profundo) y “fake” (falso), haciendo así referencia a la modificación de contenidos audiovisuales falsos mediante técnicas de aprendizaje automático. Y, aunque los deepfakes pueden tener un buen uso, por ejemplo, en la industria cinematográfica, en la práctica se han popularizado por su utilización ilícita en la creación y difusión de contenidos falsos, en muchos de los casos, sexuales, en los que se superpone el rostro de una persona real sobre un cuerpo ajeno.
Además, este tipo de manipulación suele realizarse sin el consentimiento ni conocimiento del afectado, constituyendo una vulneración al derecho fundamental a la protección de datos. Y, por ende, plantea importantes desafíos para la privacidad y protección de datos personales, despertando la atención y preocupación de las autoridades europeas.
En este contexto, la Agencia Española de Protección de Datos (en adelante, AEPD) ha sancionado recientemente a una entidad por la difusión de imágenes manipuladas con IA o deepfakes, sentando un precedente jurídico relevante como veremos a continuación.
Concretamente, en marzo de 2025 la AEPD inició el procedimiento sancionador EXP202503445 por la difusión de imágenes falsas de desnudos generadas mediante IA. Estas imágenes, compartidas en redes sociales y plataformas con contenido pornográfico, asociaban rostros de personas, entre ellas menores, con cuerpos desnudos ajenos, generando así un contenido falso, pero de carácter sexual.
Esta manipulación de imágenes, como hemos adelantado en párrafos anteriores, se realizó sin conocimiento ni consentimiento de los afectados, los cuales podías ser identificados al aparecer su rostro y, por este motivo, esta creación de imágenes y posterior publicación atentaba contra la intimidad y dignidad de los afectados, como en consecuencia, vulneraba su derecho fundamental a la protección de datos.
Este caso fue divulgado en diversos medios de comunicación y, ante esta alarma social, la AEPD inició actuaciones previas de investigación (art. 67 LOPDGDD) para recabar la información y pruebas visuales necesarias para la identificación de los responsables y/o implicados en la creación y difusión del material. Sin embargo, posteriormente la AEPD recibió una reclamación formal de uno de los afectados, lo que motivó la apertura oficial del procedimiento sancionador EXP202503445.
Esta resolución de la AEPD, en la que tanto Fiscalía como Agencia Tributaria intervinieron respectivamente, para determinar la afectación de menores y confirmar la identidad y localización del infractor, se sustenta en tres pilares jurídicos: Reglamento General de Proteccion de Datos (en adelante, RGPD), Ley Orgánica 3/2018 de Protección de Datos Personales y Garantías de Derechos Digitales (en adelante, LOPDGDD) y el Reglamento de Inteligencia Artificial (en adelante, RIA), articulando su decisión en lo siguiente:
- Imagen como dato personal. Toda información que permita identificar, directa e indirectamente, a una persona física es un dato de carácter personal (art. 4.1 RGPD) y, por ende, la imagen de una persona que permite su identificación es un dato personal.
- La manipulación digital de una imagen mediante IA constituye un tratamiento de datos. Aunque la creación de este tipo de imágenes se realice con fines artísticos o sin ánimo de lucro, puesto que, en los términos del art. 4.2 RGPD, toda operación realizada sobre datos personales, como la recopilación, almacenamiento, modificación, difusión o eliminación implica tratamiento de datos. Y, la recreación de imágenes a través de IA que protagonizan este procedimiento modifica unos datos (imagen de cuerpo e imagen de rostro) que permite identificar a personas concretas, aunque la imagen inicial sea alterada.
- Creación de deepfakes ilícito, es decir,sin base de legitimación. La AEPD determina que tanto la generación como difusión de estas deepfakes se han llevado a cabo sin legitimación para ello pues, en dicho tratamiento se observa la falta de alguna de las seis bases jurídicas contempladas en el art. 6.1 RGPD.
Concretamente la AEPD manifiesta que ninguna de las seis bases de legitimación del Reglamento General de Proteccion de Datos concurre en el caso analizado pues no hay consentimiento de las personas afectadas, ni mucho menos obligación legal o interés legítimo que justifique tal manipulación y publicación de las imágenes.
En consecuencia, la AEPD determina que este tratamiento de datos es ilícito y contrario a la normativa vigente en protección de datos, lo cual refuerza trayendo a colación la Sentencia del Tribunal Constitucional 292/2000, en la que se reconoce el derecho de toda persona a decidir sobre el uso de su propia imagen y a oponerse a tratamientos no consentidos.
- Protección reforzada de menores. El art. 84 LOPDGDD establece que los menores gozan de una protección reforzada en Internet, prohibiendo expresamente la difusión de imágenes o información personal que pueda menoscabar su honor o dignidad. La AEPD trasladó al Ministerio Fiscal la posible afectación a los menores de edad de esta generación de imágenes para valorar la existencia de posibles responsabilidades penales adicionales.
Al respecto, la AEPD subraya en esta Resolución, la especial vulnerabilidad de los menores pues, ni comprenden ni pueden defenderse adecuadamente ante un uso abusivo de sus datos en entornos digitales, como el acaecido en el presente procedimiento sancionador. Por este motivo, la sociedad e instituciones deben hacer un esfuerzo superior y reforzado de protección.
Consecuentemente, la AEPD concluyó sancionando con 2.000€ al infractor justificando su responsabilidad como responsable del tratamiento al haber decidido los fines (difusión de las imágenes sexuales falsas) y los medios (redes sociales y plataformas digitales) del tratamiento de datos (manipulación de imágenes con IA). Y, junto a la sanción económica, en aras de prevenir la reiteración de conductas como estas que vulneran derechos fundamentales en entornos digitales exigió al infractor abstenerse de almacenar, reproducir o compartir cualquier imagen que identifique a terceros sin una base de legitimación para ello y cesar de inmediato cualquier tratamiento ilícito de datos personales.
Con esta resolución de la AEPD marca un hito en la aplicación del derecho a la protección de datos personales frente a los nuevos desafíos de la IA. Por primera vez, la AEPD aborda explícitamente y en detalle el uso de tecnologías generativas para la creación de deepfakes confirmando que dichos deepfakes que identifican a personas físicas, constituyen tratamientos de datos personales ilícitos, cuando su práctica o creación suponen un ataque sobre la imagen, identidad y dignidad de las personas.
A través de esta resolución podemos ver como el RGPD y la LOPDGDD siguen siendo el marco normativo aplicable a tecnologías emergentes como la IA y que, el uso de la IA en la manipulación de imágenes, no exime de responsabilidad cuando a través de estas imágenes se pueden identificar a los afectados pues, pese a tales cambios, modificaciones o manipulaciones, siguen constituyendo un dato de carácter personal.
La AEPD deja un mensaje muy claro: el progreso tecnológico es legítimo con el respeto de los derechos fundamentales de las personas, por ende, el desarrollo de cualquier sistema de IA, así como su uso debe ser garante con los principios de transparencia, ética y responsabilidad reconocidos en el RIA.
