AEPD: Guía sobre el uso de imágenes de terceros en sistemas de IA y sus riesgos


Manuel Castilleja Toscano     15/01/2026


Guía sobre el uso de imágenes de terceros en sistemas de inteligencia artificial (IA) y sus riesgos

La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía sobre el uso de imágenes de terceros en sistemas de inteligencia artificial (IA) y sus riesgos en la que analiza las implicaciones legales y los riesgos de utilizar imágenes o vídeos de otras personas en sistemas que incorporen IA.

Los aspectos esenciales que se analizan en la guía son:

1. La imagen como dato personal

Una imagen (foto o vídeo) es un dato personal siempre que permita identificar a una persona, ya sea por su rostro, voz, gestos o incluso entorno. El uso de herramientas de IA para transformar, generar o simplemente subir estas imágenes constituye por tanto un tratamiento de datos personales.

2. Impactos visibles: riesgos al generar y difundir contenido

Cuando se comparte contenido generado o modificado por IA, como la difusión masiva de falsedades o contenido sexual sintético, surgen riesgos directos para la privacidad y la reputación de los afectados:

  • Expectativa razonable y legitimación para el uso concreto: falta de legitimación, el haber compartido una foto en un grupo privado no autoriza a otros a usarla en herramientas de IA.
  • Alcance y facilidad de difusión: importa tanto el número de destinatarios como la facilidad de reenvío.
  • Persistencia y posibilidad real de retirar el contenido: el riesgo aumenta si no es posible retirar de forma efectiva el contenido y sus copias, o si el material se vuelve fácilmente localizable.
  • Sexualización y contenido íntimo sintético: la creación de desnudos o escenas eróticas mediante IA es un riesgo de extrema gravedad por su potencial de acoso y chantaje.
  • Atribución de hechos no reales y efectos reputacionales ampliados: la IA puede atribuir hechos falsos pero verosímiles a una persona, afectando su vida profesional y social.
  • Descontextualización y reinterpretación: una imagen o un vídeo generados con IA pueden causar daño si se presentan fuera de su contexto original o acompañados de textos, títulos o comentarios que alteran su significado.
  • Vulnerabilidad: se debe extremar la prudencia con menores de edad y personas con discapacidad, ya que el impacto del acoso o la estigmatización es mayor en estos grupos.
  • Impacto especial en la persona: si se ha producido un daño constatable en sus relaciones personales o sociales, en la integridad física, en el ámbito laboral y profesional, daños psicológicos, en el contexto educativo, suplantación de identidad, y cualquier otro efecto negativo jurídico que afecte significativamente de modo similar.
  • Personas fallecidas: aunque como regla general el RGPD no se aplica a personas fallecidas, la manipulación y difusión mediante IA de la imagen de una persona fallecida puede causar daños intensos a familiares y allegados, activando derechos afines a la protección de datos como el honor, la intimidad, la propia imagen o la memoria familiar.

3. Impactos invisibles: riesgos al subir contenido

Incluso si el resultado no se publica, el simple hecho de cargar una imagen en un sistema de IA conlleva riesgos técnicos ocultos:

  • Pérdida de control: el contenido pasa a manos de un proveedor externo que decide cómo tratarlo.
  • Retención técnica: muchos sistemas conservan copias de seguridad o registros temporales de forma invisible para el usuario.
  • Finalidades añadidas: los proveedores pueden usar las imágenes para mejorar sus algoritmos, detectar usos indebidos o generar metadatos e inferencias internas.
  • Metadatos e inferencias internas: durante el procesamiento, los sistemas de IA suelen analizar automáticamente el contenido y generar metadatos técnicos asociados a la solicitud. Aunque estos análisis tengan una finalidad funcional, constituyen tratamientos adicionales y dejan rastro.
  • Riesgo de identificación persistente en sistemas generativos: algunos sistemas de IA están diseñados para que una persona aparezca de forma coherente en varias imágenes o vídeos generados a partir de una sola fotografía. Esto implica que la imagen deja de usarse una sola vez y pasa a funcionar como una base estable a partir de la cual pueden generarse múltiples contenidos. Esta reutilización facilita que la persona sea reconocida o recreada de forma repetida, incrementando el riesgo de reidentificación, de pérdida de control y de usos posteriores no previstos por la persona afectada.
  • Asimetría informativa y dificultad real de ejercer derechos: el afectado suele desconocer qué sistema tiene su imagen o cómo ejercer sus derechos de supresión u oposición.
  • Riesgo de exposición por errores o incidentes de seguridad: aunque no sea lo más frecuente, los sistemas de IA pueden sufrir brechas de seguridad, con un impacto elevado para la persona afectada.
  • Efecto multiplicador y conexión con daños posteriores: una vez que una imagen se ha subido a un sistema de IA, resulta muy sencillo generar múltiples variantes en poco tiempo, aumentando la probabilidad de que, en alguna iteración posterior, aparezcan resultados lesivos, y explica por qué muchos daños visibles (suplantaciones, sexualización, atribuciones falsas) se apoyan en riesgos técnicos previos que no eran perceptibles al inicio.

4. Criterios de actuación de la AEPD

Aunque el uso estrictamente personal o doméstico suele quedar fuera del ámbito de aplicación del RGPD, la AEPD interviene cuando el riesgo es elevado. Situaciones como la pérdida efectiva de control, la sexualización, la humillación o el impacto en entornos profesionales son especialmente relevantes para la autoridad de control. Además, si existen indicios de delito, la competencia se traslada a las autoridades policiales y judiciales.