El uso de sistemas de IA para generar imágenes se está integrando rápidamente en los procesos de negocio de las empresas (marketing, comunicación, formaciones, diseño, etc.). Desde la perspectiva de GRC, este uso no es únicamente una decisión tecnológica, sino la incorporación de nuevos escenarios de riesgo que deben ser tenidos en cuenta mediante gobernanza, evaluación continua y un control estructurado a nivel organizativo.
La AEPD recuerda en esta guía/documento informativo que toda imagen o vídeo de una persona identificada o identificable constituye un dato personal, y que su uso en sistemas de IA supone un tratamiento de datos. Este hecho activa de manera directa obligaciones en materia de protección de datos, gestión de proveedores y seguridad de la información, que deben abordarse de forma integrada desde GRC.
Gobernanza
A nivel de Gobernanza, el uso de e IA con imágenes exige que la organización defina normas y reglas previas de carácter preventivo. Esto incluye la existencia de políticas de uso claras donde se determine qué tipo de imágenes pueden utilizarse, con qué finalidad y en qué contextos.
Asimismo, este uso debe integrarse en la gestión de proveedores, al tratarse de terceros de alto riesgo, estableciendo controles sobre la finalidad del tratamiento, la retención y reutilización de datos, la intervención de subprocesadores, las transferencias internacionales y las medidas de seguridad aplicables.
Una gobernanza débil en el uso de IA puede traducirse en riesgos regulatorios, reputacionales y operativos que posteriormente resultan difíciles de revertir. Por ello, es conveniente que, ante el potencial uso o uso efectivo de IA —ya sea con imágenes u otro tipo de contenidos de carácter personal—, exista una política interna clara, alineada con el contexto y las partes interesadas, que priorice un enfoque preventivo frente a actuaciones reactivas, aun asumiendo que la IA conlleva un riesgo inherente.
Riesgos
Desde la visión de la gestión de riesgos, debe tenerse en cuenta que el riesgo inherente es, con carácter general, alto, dado que el uso de sistemas de IA con imágenes de terceros facilita la pérdida de control sobre los datos personales y amplifica el impacto potencial del tratamiento.
Este impacto no deriva únicamente de usos aparentemente neutros, sino también de escenarios de difusión masiva, daño reputacional y, especialmente, de incidentes o brechas de seguridad en los que puedan verse comprometidas bases de datos o repositorios de los sistemas de IA.
Nos encontramos, por tanto, ante riesgos propios del cumplimiento de la normativa de protección de datos, entre los que destacan:
• el riesgo de falta de transparencia, cuando el interesado desconoce que su imagen está siendo utilizada en un sistema de IA, con qué finalidad real, durante cuánto tiempo y por quién, en incumplimiento de los artículos 12 y 14 del RGPD;
• el riesgo de generación de nuevos tratamientos no autorizados, derivados de inferencias, análisis automáticos y generación de metadatos que constituyen tratamientos adicionales no informados ni evaluados previamente;
• y el riesgo de imposibilidad o dificultad real en el ejercicio de derechos, como consecuencia de la opacidad técnica, la intervención de múltiples actores y la pérdida de trazabilidad del dato.
Adicionalmente, estos riesgos se ven agravados cuando concurren factores como la afectación a colectivos vulnerables, la reutilización de imágenes para finalidades distintas a las inicialmente previstas o la imposibilidad efectiva de supresión de los datos, lo que exige considerar la aplicación de medidas de control y seguridad reforzadas desde una perspectiva de responsabilidad proactiva.
Cumplimiento
Desde el ámbito del cumplimiento, la empresa debe traducir estos riesgos en políticas claras y operativas. Esto implica, entre otros aspectos, limitar el uso de estas herramientas, estableciendo prohibiciones expresas sobre determinados tipos de contenido o conductas; definir criterios claros de legitimación, evitando asumir que el consentimiento original cubre el uso en IA; y reforzar la transparencia y el ejercicio de derechos, facilitando información adecuada y mecanismos reales para su ejercicio.
Asimismo, resulta clave mejorar las medidas de seguridad aplicables a estos tratamientos y, de forma especialmente relevante, realizar evaluaciones de impacto previas antes de implantar soluciones de IA que impliquen el tratamiento de imágenes o contenidos de carácter personal.
Conclusión
El uso de imágenes en sistemas de IA debe entenderse como un escenario de riesgo específico, que incluso puede considerarse segregado del riesgo general asociado al uso de IA, por el impacto que puede generar sobre los interesados, especialmente en términos de difusión, reputación y pérdida de control del dato.
Desde una perspectiva de GRC, resulta clave abordar este uso de forma estructurada, integrando gobernanza, gestión de riesgos y cumplimiento normativo, con un enfoque preventivo que permita anticipar impactos, establecer límites claros y reducir la exposición de la organización frente a riesgos regulatorios, operativos y reputacionales.
