AEPD: Guia sobre l'ús d'imatges de tercers en sistemes d'IA i els seus riscos


Manuel Castilleja Toscano     15/01/2026


Guia sobre l'ús d'imatges de tercers en sistemes d'intel·ligència artificial (IA) i riscos

L'Agència Espanyola de Protecció de Dades (AEPD) n'ha publicat una Guia sobre l'ús d'imatges de tercers en sistemes d'intel·ligència artificial (IA) i els seus riscos en què analitza les implicacions legals i els riscos d'utilitzar imatges o vídeos d'altres persones en sistemes que incorporin IA.

Els aspectes essencials que s'analitzen a la guia són:

1. La imatge com a dada personal

Una imatge (foto o vídeo) és una dada personal sempre que permeti identificar una persona, ja sigui per la cara, la veu, els gestos o fins i tot l'entorn. L'ús d'eines d'IA per transformar, generar o simplement pujar aquestes imatges és, per tant, un tractament de dades personals.

2. Impactes visibles: riscos en generar i difondre contingut

Quan es comparteix contingut generat o modificat per IA, com ara la difusió massiva de falsedats o contingut sexual sintètic, sorgeixen riscos directes per a la privadesa i la reputació dels afectats:

  • Expectativa raonable i legitimació per a l'ús concret: manca de legitimació, haver compartit una foto en un grup privat no autoritza els altres a fer-la servir en eines d'IA.
  • Abast i facilitat de difusió: importa tant el nombre de destinataris com la facilitat de reenviament.
  • Persistència i possibilitat real de retirar el contingut: el risc augmenta si no és possible retirar de manera efectiva el contingut i les seves còpies, o si el material es torna fàcilment localitzable.
  • Sexualització i contingut íntim sintètic: la creació de nus o escenes eròtiques mitjançant IA és un risc d'extrema gravetat pel potencial d'assetjament i xantatge.
  • Atribució de fets no reals i efectes reputacionals ampliats: la IA pot atribuir fets falsos però versemblants a una persona, afectant-ne la vida professional i social.
  • Descontextualització i reinterpretació: una imatge o un vídeo generats amb IA poden causar danys si es presenten fora del seu context original o acompanyats de textos, títols o comentaris que n'alteren el significat.
  • Vulnerabilitat: cal extremar la prudència amb menors d'edat i persones amb discapacitat, ja que l'impacte de l'assetjament o l'estigmatització és més gran en aquests grups.
  • Impacte especial en la persona: si s'ha produït un dany constatable en les relacions personals o socials, en la integritat física, en l'àmbit laboral i professional, danys psicològics, en el context educatiu, suplantació d'identitat, i qualsevol altre efecte negatiu jurídic que afecti significativament de manera similar.
  • Persones mortes: encara que com a regla general el RGPD no s'aplica a persones mortes, la manipulació i difusió mitjançant IA de la imatge d'una persona morta pot causar danys intensos a familiars i familiars, activant drets afins a la protecció de dades com l'honor, la intimitat, la pròpia imatge o la memòria familiar.

3. Impactes invisibles: riscos en pujar contingut

Fins i tot si el resultat no es publica, el simple fet de carregar una imatge a un sistema d'IA comporta riscos tècnics ocults:

  • Pèrdua de control: el contingut passa a les mans d'un proveïdor extern que decideix com tractar-lo.
  • Retenció tècnica: molts sistemes conserven còpies de seguretat o registres temporals de manera invisible per a l'usuari.
  • Finalitats afegides: els proveïdors poden utilitzar les imatges per millorar els seus algorismes, detectar usos indeguts o generar metadades i inferències internes.
  • Metadades i inferències internes: durant el processament, els sistemes d'IA solen analitzar automàticament el contingut i generar metadades tècniques associades a la sol·licitud. Tot i que aquestes anàlisis tinguin una finalitat funcional, constitueixen tractaments addicionals i deixen rastre.
  • Risc d'identificació persistent en sistemes generatius: alguns sistemes d'IA estan dissenyats perquè una persona aparegui de manera coherent a diverses imatges o vídeos generats a partir d'una sola fotografia. Això implica que la imatge deixa d'usar-se una sola vegada i passa a funcionar com una base estable a partir de la qual es poden generar múltiples continguts. Aquesta reutilització facilita que la persona sigui reconeguda o recreada de manera repetida, incrementant el risc de reidentificació, de pèrdua de control i usos posteriors no previstos per la persona afectada.
  • Asimetria informativa i dificultat real d'exercir drets: l'afectat sol desconèixer quin sistema té la imatge o com exercir els drets de supressió o oposició.
  • Risc d'exposició per errors o incidents de seguretat: encara que no sigui el més freqüent, els sistemes d'IA poden patir bretxes de seguretat, amb un impacte elevat per a la persona afectada.
  • Efecte multiplicador i connexió amb danys posteriors: una vegada que una imatge ha pujat a un sistema d'IA, resulta molt senzill generar múltiples variants en poc temps, augmentant la probabilitat que, en alguna iteració posterior, apareguin resultats lesius, i explica per què molts danys visibles (suplantacions, sexualització, atribucions falses) es recolzen en riscos tècnics.

4. Criteris dactuació de l'AEPD

Tot i que l'ús estrictament personal o domèstic sol quedar fora de l'àmbit d'aplicació del RGPD, l'AEPD intervé quan el risc és elevat. Situacions com ara la pèrdua efectiva de control, la sexualització, la humiliació o l'impacte en entorns professionals són especialment rellevants per a l'autoritat de control. A més, si hi ha indicis de delicte, la competència es trasllada a les autoritats policials i judicials.