Los Deepfakes: sanciones de hasta 1.200 euros por crear imágenes que fusionan rostros reales con cuerpos o situaciones completamente ficticias
La Agencia Española de Protección de Datos condena los ahora punitivos deepfakes a fines de crear un entorno digital más seguro
Lo inofensivo que resulta preguntarle a ChatGPT que te cree una imagen en la que tu familia y tú parezca una familia de los Simpson. Desgraciadamente, esto se puede convertir en el punto de partida de una problemática jurídica y social de enorme gravedad: los deepfakes. Extorsionar o destruir la imagen de una persona está comenzando a ser realidad. La tecnología que permite crear imágenes hiperrealistas, fusionando rostros auténticos con escenarios completamente ficticios ha reducido la frontera entre lo posible y lo dañino. Cada vez más personas cruzan esa frontera con intenciones poco legítimas.
La Agencia Española de Protección de Datos (en adelante, AEPD) ha querido ponerse las pilas para condenar este nuevo paradigma tecnológico. En una reciente resolución sentenció a multa de 1.200 euros por elaborar imágenes manipuladas a través de la IA: rostros reales superpuestos sobre cuerpos desnudos que no les pertenecían. Pornografía falsa pero con identidades reales; lo que empieza somo como un simple montaje puede acabar convirtiéndose en una marca digital imborrable.
Para que la AEPD pudiese sancionar los deepfakes tuvo en cuenta diferentes artículos previstos en la normativa: primero de todo, el artículo 4.1 del RGPD, que define “dato personal” como «toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, (…)». Así pues, el RGPD considera que la imagen de una persona identificable es, por tanto, un dato personal.
Asimismo, el precepto número 6.1 de la mencionada norma explica cuándo puede considerarse lícito un tratamiento. Por ejemplo, cuando «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos». Además de esto, el artículo concreta que las situaciones en las que la normativa permite realizar el tratamiento de datos personales a un tercero, que tienen el nombre de “bases de ilicitud”. Si no concurre algunos de esos supuestos la actuación tomada se considerará ilícita.
Por último, el apartado 2 del mencionado precepto expresa que «la utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor». Podemos apreciar así cómo la norma no sanciona directamente la creación de este tipo de imágenes, sino más bien su ulterior utilización y difusión por las redes sociales u otras plataformas digitales.
Así, la AEPD puso sancionar de acuerdo con el artículo 83.5 del RGPD como «multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior» (…), los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9». Al estar infringiendo el número 6, se pudieron multar los deepfakes de manera pecuniaria con una cuantía de 1.200 euros.
Los deepfakes no solo vulneran la normativa de protección de datos: afectan directamente a derechos fundamentales como el honor, la intimidad y la propia imagen. El daño emocional, reputacional y psicológico no puede medirse únicamente en términos económicos. Por ello, cada vez más voces reclaman que estas conductas puedan derivar a penas de prisión, especialmente cuando existe intención de humillar, coaccionar o atemorizar a la víctima. Sin embargo, a esto se le suma otro desafío: la dificultad que encuentran las personas perjudicadas para denunciar. La vergüenza, el miedo a la exposición pública o la imposibilidad de identificar al autor frenan muchas reclamaciones. Mientras tanto, el contenido se replica, se comparte y se vuelve prácticamente irreversible.
Con esta premisa, resulta fundamental mencionar donde encajan los deepfakes en el marco regulatorio tanto europeo como nacional. Primeramente existen mecanismos reales de protección: denunciar ante la AEPD, ejercer el derecho al olvido, acudir a la vía penal cuando la gravedad lo exija o incluso reclamar indemnizaciones por los daños y perjuicios sufridos. Aún con estas herramientas muchas veces el Derecho sigue llegando tarde y castigando poco en un escenario donde la tecnología avanza a pasos agigantados.
Por lo tanto, hoy en día extremar la precaución ante la creación y difusión de contenidos manipulados mediante IA. Y, aún así, una sanción tan reducida pone de manifiesto la necesidad de replantearse ciertos aspectos, como por ejemplo, reforzar las sanciones, reformar el Código Penal, crear protocolos claros para plataformas digitales y, sobre todo, garantizar una respuesta jurídica que esté a la altura del daño causado.
Por ello, se percibe un hecho claro: el Derecho no puede limitarse a reaccionar cuando el daño ya está hecho. Necesita anticiparse y prevenir un marco donde la tecnología no se utilice para degradar la dignidad humana. La tecnología avanza, y la protección de datos debe avanzar con ella. No para frenar la innovación, sino para asegurar que no dejamos atrás una de las cosas más valiosas que tenemos: la dignidad, el honor y la seguridad de las personas. Quizás no podemos evitar que existan deepfakes, pero sí podemos evitar que se conviertan en un arma sin consecuencias. Esto sería, entonces, el reto jurídico actual.
Si te gustaría mantener tu imagen personal protegida, no dudes en pedir nuestro asesoramiento
Imagen: freepik
