Los deepfakes o deepnudes son una práctica cada vez más controlada y perseguida por nuestro ordenamiento jurídico.
Ahora, en una reciente resolución de la Agencia Española de Protección de Datos (AEPD), el organismo que vela por la protección y la seguridad de nuestros datos ha confirmado que la manipulación mediante Inteligencia Artificial (IA) y el posterior envío de la imagen por redes sociales constituye un tratamiento de datos personales.
Es decir, la persona realiza esa actividad en su condición de responsable de tratamiento, dado que es quien determina los fines y medio de tal acción en virtud del artículo 4.7 del Reglamento General de Protección de Datos (RGPD).
Un menor alteró una imagen que una menor había subido a su red social para quitarle la ropa
El origen de este caso tiene lugar cuando la madre de una chica menor de edad recibicito una captura de pantalla de un amigo para advertirle que ese mismo día un compañero de su hija estaba difundiendo una fotografía de la menor manipulada artificialmente para que apareciera desnuda.
Ante tal atrocidad, se abrieron dos vías de sanción paralelas: la primera, por la vía del Juzgado de Menores y la otra por la protección de datos ante la AEPD.
La primera vía, mediante el Juzgado de Menores, concluyó el procedimiento con un acuerdo de conciliación/mediación entre las partes, en el que el menor agresor reconocía el daño causado y se disculpó ante la víctima, aceptando esta las mismas, Por lo que su castigo quedó reducido a realizar determinadas acciones en beneficio de la afectada o la comunidad.
La AEPD acredita que la manipulación de imágenes con IA y su posterior difusión por WhatsApp es una acción de tratamiento de datos
Sin embargo, lo relevante del caso está en la investigación realizada por la AEPD tras recibir la queja de la madre.
En el expediente nºEXP202314956, difundido en redes por la abogada Catalina Pou, la autoridad confirma que capturar una imagen de una red social, manipularla mediante una herramienta de IA y compartirla por mensajería constituye un tratamiento de datos sometido al RGPD.
La Agencia considera suficiente el envío acreditado para analizar el caso desde la óptica de protección de datos. De este modo, siente un precedente: el problema no es la viralización de las imágenes, sino el propio tratamiento ilícito de la imagen.
Por tanto, el menor «realizó esta actividad en su condición de responsable del tratamiento, dado que era quien determinaba los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD», señala la resolución.
Este pronunciamiento sienta una base para futuras actuaciones frente a fenómenos de deepfakes sexuales entre menores.
Sin embargo, en este caso, la AEPD no sanciona y archiva el procedimiento. Se debe a que, según la agencia, al haber alcanza un pacto de conciliación por la vía judicial, la finalidad análoga a la pretendida con la sanción —castigar— ya se ha alcanzado por esta parte.
