El Garante per la protezione dei dati personali, la autoridad italiana de protección de datos, ha emitido una resolución relevante sobre el servicio ClothOff, una plataforma que utiliza la inteligencia artificial para crear imágenes de desnudos.
Este caso es un buen ejemplo para mostrar la tensión existente entre la innovación tecnológica y la protección de los derechos y libertades fundamentales, en particular, a la protección de la dignidad personal, el derecho a la privacidad y a la protección de los datos personales de los afectados.
El Garante se fundamenta en el RGPD, en el Código de Privacidad italiano aprobado por el Decreto Legislativo nº 196 del 30 de junio de 2003 y modificado por el Decreto Legislativo nº 101 del 10 de agosto de 2018, así como en el Reglamento (UE) 2024/1689, de Inteligencia Artificial (RIA).
Los considerandos 133 y 134 del RIA exigen que los proveedores de sistemas de IA integren soluciones técnicas para etiquetar los contenidos generados o manipulados por IA, por ejemplo, los «deep fakes», es decir, imágenes, vídeos o audios que simulan de manera realista personas, objetos o eventos, pero que son falsos.
Los «deep fakes» que simulan la eliminación de ropa en fotos o vídeos vulneran la dignidad personal, especialmente cuando involucran a menores. Sobre el tratamiento de la imagen de los menores, en su día, elaboré un artículo que dejo enlazado aquí.
¿Qué es ClothOff?
ClothOff emplea tecnología avanzada de inteligencia artificial para la desnudez, utilizando algoritmos de aprendizaje profundo capaces de analizar y procesar imágenes, eliminando virtualmente la ropa y generando resultados realistas.
El RGPD se aplica a ClothOff, al amparo del artículo 3.2.a), ya que ofrece servicios a interesados en la Unión Europea, aunque la compañía responsable está ubicada en las Islas Vírgenes Británicas. Los usuarios que suben o generan imágenes son «titulares de datos» según el artículo 4.1.1) del RGPD y la compañía actúa como responsable del tratamiento (artículos 4.7 y 24).
El servicio invita a los usuarios a crear una cuenta y subir imágenes de personas vestidas. A cambio, crea imágenes donde esas personas aparecen desnudas o con modificaciones adicionales. ClothOff ofrece funciones gratuitas básicas y premium de pago, con opciones de personalización, en concreto: desnudo, disfraz, pose, intercambio de caras, colección y desnudo anime.
Los Términos de Servicio prohíben los usos ilícitos, como subir fotos sin permiso, de menores o con derechos de autor, pero no proporcionan herramientas técnicas para verificar el cumplimiento, así, afirman tener «medidas técnicas de inteligencia artificial específicas para prevenir el uso de imágenes de personas menores de 20 años», pero las investigaciones del Garante revelaron que esas medidas son insuficientes.
El Garante inició una investigación el 6 de agosto de 2025, solicitando información a la compañía sobre el tratamiento de datos y los riesgos para la reputación de las personas retratadas. La solicitud, con un plazo de 30 días para responder, quedó sin contestación, lo que agravó las preocupaciones.
Las pruebas recopiladas mostraron que ClothOff no adopta medidas efectivas para:
- Excluir a menores como usuarios.
- Prevenir la subida de imágenes de menores.
La recopilación de datos personales implica una violación de los principios de licitud y lealtad. Además, no verifican la legitimidad de los datos recopilados, incluidos datos biométricos, incumpliendo la responsabilidad de implementar medidas técnicas y organizativas adecuadas.
Un punto crítico es la marca de agua en las imágenes generadas: la palabra «Fake» es opaca y apenas visible, facilitando su eliminación o recorte. El banner inferior también se puede quitar fácilmente. El RIA obliga a etiquetar los contenidos generados con inteligencia artificial de manera clara y eficaz.
La Garantía concluye que el tratamiento de datos personales por ClothOff es ilícito por violar las siguientes normas:
- Artículo 5.1.a) del RGPD: falta de licitud, lealtad y transparencia.
- Artículo 5.2) del RGPD: incumplimiento del principio de responsabilidad.
- Artículo 25 del RGPD: ausencia de protección de datos por diseño y por defecto.
Dada la gravedad de los hechos, con riesgos para un número potencialmente elevado de interesados, especialmente menores, y la naturaleza sensible de los datos, el Garante ordenó, amparándose en el artículo 58.2.f) del RGPD, una restricción inmediata del tratamiento de datos personales de usuarios italianos. Esta medida es temporal, pendiente a la conclusión de la investigación.
El incumplimiento de la medida ordenada por el Garante constituye una infracción penal prevista en el artículo 170 del Código, dando lugar a la aplicación de las sanciones administrativas previstas en el artículo 83, apartado 5, letra e), del RGPD.
Take It Down Act
El 28 de abril de 2025, el Congreso de los Estados Unidos aprobó la Ley TAKE IT DOWN que penaliza la publicación no consentida de vídeos e imágenes íntimas, incluidas las falsificaciones digitales, es decir, los «deep nudes». El presidente Trump promulgó la ley el 19 de mayo de 2025.
La Ley TAKE IT DOWN, que significa «Ley de Herramientas para Abordar la Explotación Conocida mediante la Inmovilización de Deepfakes Tecnológicos en Sitios Web y Redes», introduce dos cambios principales en la legislación federal: modifica el artículo 223 de la Ley de Comunicaciones de 1934 para añadir nuevas prohibiciones penales relacionadas con la publicación de imágenes íntimas y crea nuevos requisitos para las plataformas reguladas, que quedan bajo la supervisión de la Comisión Federal de Comercio.
La Ley prohíbe que cualquier persona utilice un servicio informático interactivo (un término interpretado ampliamente para abarcar la mayoría de las aplicaciones y servicios en línea) para publicar deliberadamente una representación visual íntima o una falsificación digital de una persona identificable. Los términos «intencionadamente» y «publicar» no se definen en la Ley ni en el estatuto que modifica. El término «representación visual íntima» incluye la representación visual de una persona identificable que participa en una conducta sexualmente explícita.
Una falsificación digital, según la Ley TAKE IT DOWN, es una representación visual íntima de una persona identificable creada o alterada mediante IA u otros medios tecnológicos. La Ley define a un «individuo identificable » como alguien «que aparece total o parcialmente en una representación visual íntima» y «cuyo rostro, imagen u otra característica distintiva (incluida una marca de nacimiento única u otro rasgo reconocible) se muestra en relación con dicha representación visual íntima».
Las prohibiciones penales comprenden siete delitos distintos que van desde la publicación de representaciones visuales íntimas realistas, tanto de menores como de adultos, hasta amenazas que involucren dichas imágenes. Al tratarse de delitos penales, corresponde al gobierno probar cada elemento del delito más allá de toda duda razonable.
La ley obliga a las plataformas a retirar los contenidos ofensivos en un plazo máximo de 48 horas. El incumplimiento puede dar lugar a duras sanciones por parte de la Comisión Federal de Comercio. Asimismo, la persona que viole uno de los delitos de publicación relacionados con representaciones de adultos está sujeta a multas penales, prisión de hasta dos años, o ambas. Las penas por publicar representaciones de menores son castigadas con penas de prisión de hasta tres años. Las amenazas de publicar representaciones visuales auténticas conllevan las mismas penas.
La ley fue aprobada casi por unanimidad en ambas cámaras del Congreso, con solo dos votos en contra en la Cámara de Representantes. Grandes empresas tecnológicas como Meta, Google, Snapchat y TikTok respaldaron la medida, al igual que más de 100 organizaciones sin ánimo de lucro.
Conclusión
Estados Unidos no cuenta con una regulación específica similar al Reglamento de Inteligencia Artificial, pero ha demostrado un compromiso claro al enfrentar el problema de los «deep nudes». Esta respuesta contundente podría servir de ejemplo para que las autoridades europeas adopten igualmente medidas firmes y efectivas.
No se pierda nuestro podcast sobre el artículo
