La AEPD alerta de los riesgos de usar imágenes de terceros en plataformas de IA

Isabel R. Benítez | 19 enero, 2026 | 0 comentarios

Imagina una tarde cualquiera con amigos. Estáis jugando y haciéndoos fotos y, de pronto, a alguien se le ocurre aprovechar la mejor captura para pasarla por ChatGPT y convertiros en un grupo de personajes Disney o una patrulla de superhéroes. Brillante idea. Os echáis unas risas e incluso alguno de los participantes la sube a sus redes sociales o la pone de foto de perfil. Es un acto inocente, desde luego, pero para nada inocuo.

Es la advertencia que lanza la Agencia Española de Protección de Datos (AEPD) en la guía El uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles. Un documento en el que, como su propio nombre indica, explica qué se pone en juego cuando decidimos subir contenido de familiares, amigos, conocidos o desconocidos, a plataformas como ChatGPT, Claude o Gemini.

Como recuerda el documento, «una imagen (ya sea una fotografía o un vídeo) en el que una persona sea identificada o identificable constituye un dato personal». Para ello no es necesario que en la foto aparezca el nombre del sujeto, ya que podemos ser reconocidos por nuestra cara, nuestra voz o nuestros tatuajes, así como por el contexto, nuestro entorno y relaciones. Esto aplica a imágenes reales, pero también a las generadas con IA, y significa que deberíamos tratar vídeos y fotografías propias y ajenas con la misma cautela que un número de DNI o una dirección postal, aunque no siempre lo hagamos.

En España, el uso de material gráfico de terceros está regulado en la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que desarrolla el RGPD. Esta norma ampara el tratamiento de este tipo de contenido por parte de empresas y particulares cuando existen finalidades profesionales, comerciales, promocionales o de difusión, pero excluye los usos exclusivamente domésticos, como guardar fotos familiares en el móvil sin difundirlas. El problema, señala la institución, es que incluso en esos supuestos de uso privado y libre, el mero hecho de pasar la imagen por un LLM ya entraña riesgos.

Lo que se ve

La guía de la AEPD clasifica los riesgos en dos categorías: visibles e invisibles. Tanto unos como otros están ligados a la potencial pérdida de control sobre la imagen, la opacidad técnica de las herramientas de IA y las dificultades con que suele encontrarse la persona afectada cuando quiere reaccionar a ello.

Los peligros «visibles» tienen que ver, para empezar, con el uso de esos contenidos gráficos sin consentimiento. La autoridad española de protección de datos recuerda que el hecho de «que una fotografía estuviera en un grupo de mensajería, en una red social o se hubiera enviado una vez no equivale a una autorización general para cargarla en herramientas de IA, transformarla, generar variantes o difundir el resultado».

El impacto aumenta en función del alcance y lo fácil que resulta copiar, republicar o reenviar ese contenido, y cuando no existe posibilidad real y efectiva de retirar la imagen o todas sus copias. Aquí, además, hay tirón de orejas para los operadores digitales: «Las medidas de retirada ofrecidas por las plataformas no siempre garantizan la eliminación total de copias o reenvíos, por lo que la reversibilidad práctica del daño sigue siendo un elemento central».

La agencia añade a este bloque aspectos relacionados con el propio contenido de la imagen, como su sexualización o la atribución de declaraciones o hechos no reales mediante el uso de deepfakes, o la simple descontextualización. Algo que, a su vez, puede afectar a otros derechos, como la intimidad, el honor y la propia imagen.

Lo que no se ve

Por su parte, las amenazas «invisibles» están asociadas a aquello que sucede en la trastienda del sistema de IA cuando recibe la foto o el vídeo que queremos alterar.

Desde ese momento, la imagen deja de estar solo en manos del usuario para ser tratada por un proveedor tecnológico que decide cómo se procesa, cuánto tiempo se conserva y en qué sistemas circula. A esto se suma que las imágenes suelen ser guardadas, analizadas y reutilizadas para finalidades adicionales del proveedor, como mejorar el sistema. «Esta retención suele ser invisible y no verificable para la persona afectada, lo que dificulta saber si la imagen ha sido realmente eliminada y durante cuánto tiempo ha permanecido almacenada», subraya la guía.

En ese proceso, es posible que intervengan otros actores (servicios de almacenamiento, infraestructuras en la nube) y que se generen metadatos e inferencias que dejan rastro. Todo ello incrementa el impacto potencial en caso de fallos de seguridad o ciberataques, incluso cuando nunca hubo intención de difundir el contenido.

Para la persona afectada esto supone no saber dónde está —o acabará— ese contenido ni qué se hace —o se hará— con él; una asimetría informativa que puede convertir el proceso de pedir su eliminación o limitar usos posteriores en una odisea.

En el documento, la Agencia Española de Protección de Datos recomienda actuar con especial cautela cuando se trate de material gráfico de grupos vulnerables, como menores, personas mayores o con discapacidad, o personas fallecidas. Insiste, además, en que aunque los usos mencionados están fuera del ámbito de aplicación de la LOPDGDD por ser estrictamente personales o domésticos, pueden afectarles otras normas del ordenamiento jurídico. Por ejemplo, si esas imágenes manipuladas con IA vulneran derechos fundamentales, como el honor o la intimidad o hay indicios claros de delito.