Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Riesgos del uso de imágenes de terceros en sistemas de IA

Grok, la herramienta de IA de Elon Musk, lanzó en agosto de 2025 una funcionalidad llamada «Spicy mode» (modo picante) en su herramienta de generación de imágenes y vídeos Grok Imagine, que permitía generar contenido más sugerente, incluso desnudos. No es único modelo de IA de generación de imágenes que puede producir contenido explícito si no están limitados por filtros. 

En enero de 2026, la AEPD publicó una nota informativa sobre el uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles, incluso en contextos aparentemente triviales o lúdicos, en la que advierte: «Subir, reenviar a plataformas, redes o sistemas de IA, transformar o generar contenidos visuales a partir de la imagen de una persona supone un tratamiento de datos personales, con independencia de la finalidad perseguida o del carácter aparentemente trivial del uso. Además, en la mayoría de los casos, supone utilizar la imagen de una persona sin su conocimiento para que sea tratada por un servicio de Internet, tanto para la generación de nuevo contenido, como para potenciales tratamientos adicionales de la propia plataforma, ya se trate de aprendizaje, conservación o comunicación a terceros. Y todo ello tendría lugar sin conocimiento de la persona afectada cuya imagen o vídeo se ha generado».

Riesgos visibles

La AEPD formula una serie de advertencias, respecto a los riesgos visibles, que no debemos pasar por alto:

  • Que una fotografía circule en un grupo de mensajería o en redes sociales no equivale a un consentimiento general para cargarla en herramientas de IA, transformarla, generar variantes o difundir el resultado.
  • Cuanto más se aleje el uso del contexto original, y cuanto menor sea el control de la persona sobre ese uso, más exigente debe ser la base de legitimación y mayor el nivel de riesgo.
  • Importa tanto el número de destinatarios como la facilidad de reenvío, copia, captura y republicación. 
  • El riesgo aumenta si no es posible eliminar el contenido y sus copias, o si el material es fácilmente localizable. 
  • Es especialmente grave la desnudez, erotización, insinuación sexual o escenas íntimas generadas a partir de una imagen neutra.
  • Aunque muchos usos triviales o humorísticos están amparados legalmente, el riesgo surge cuando el contenido atribuye a una persona hechos o escenas falsas, pero verosímiles o socialmente creíbles.
  • El umbral de prudencia debe ser máximo con menores, personas mayores, con discapacidad u otras situaciones de especial vulnerabilidad. 
  • La manipulación y difusión de la imagen de una persona fallecida puede causar daños intensos a familiares y allegados, activando derechos afines a la protección de datos como el honor, la intimidad, la propia imagen o la memoria familiar.

Riesgos invisibles

Se trata de riesgos reales que afectan a la persona cuya imagen se sube a un sistema de IA, incluso cuando el uso es trivial y el resultado no se publica. La AEPD advierte:

  • Al subir una imagen o vídeo a un sistema de IA, el contenido deja de estar bajo control y pasa a ser tratado por un proveedor externo. Para la persona que aparece en la imagen, esto supone una pérdida real de control sobre dónde está su imagen y qué ocurre con ella, aunque el uso pretendido sea inocuo.
  • Muchos sistemas de IA conservan temporalmente las imágenes o vídeos subidos. Esta retención es invisible y no verificable para la persona afectada, lo que dificulta saber si la imagen ha sido realmente eliminada y durante cuánto tiempo ha permanecido almacenada.
  • El tratamiento no se limita a una única entidad: suelen intervenir infraestructuras de nube, servicios de almacenamiento, herramientas de seguridad o moderación y, en algunos casos, personal técnico de soporte, ampliando los puntos de acceso potenciales.
  • Los proveedores pueden reutilizar las imágenes o vídeos para otras finalidades, como evaluar la calidad del sistema o mejorar su funcionamiento, prolongando su conservación más allá de lo esperado.
  • Durante el procesamiento, se generan metadatos y análisis automáticos para detectar rostros, cuerpos, rasgos, etc. Aunque estos análisis tengan una finalidad funcional, constituyen tratamientos adicionales y dejan rastro, incluso cuando el resultado final parece inofensivo.
  • Algunas herramientas están diseñadas para que una persona aparezca de forma coherente en varias imágenes o vídeos generados a partir de una sola fotografía. Para lograrlo, el sistema reutiliza la imagen, lo que incrementa el riesgo de reidentificación, pérdida de control y usos posteriores no previstos por la persona afectada.
  • Con frecuencia, la persona afectada desconoce qué sistema se ha utilizado, qué ha ocurrido con su imagen, cuánto tiempo se ha conservado o a quién dirigirse para solicitar su supresión, limitando el ejercicio de los derechos de acceso, supresión u oposición.
  • Los sistemas pueden sufrir fallos técnicos, accesos indebidos o brechas de seguridad. En esos casos, las imágenes o vídeos subidos —y los resultados generados— pueden quedar expuestos, con un impacto elevado para la persona afectada.
  • El bajo coste de repetición en la generación de variantes aumenta la probabilidad de que aparezcan resultados lesivos.

A modo de ejemplo, dejo enlazada aquí la política de Gemini, concretamente el apartado «Información que conservamos hasta que tú la eliminas».

Conclusión

La AEPD recuerda que muchos casos quedan fuera del ámbito de la normativa de protección de datos, especialmente cuando el uso es personal o doméstico (sin difusión más allá de ese entorno) o afecta a personas fallecidas. Esto no exime de responsabilidad, ya que pueden resultar vulnerados derechos fundamentales como el honor, la intimidad o la propia imagen, pudiendo aplicarse otras normas del ordenamiento jurídico, incluido el Código Penal.

Añado un consejo de cosecha propia: no jueguen con estas herramientas de IA, que no son inofensivas.

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es