Una tendencia viral que parece inofensiva
El uso de herramientas de inteligencia artificial para «mejorar» fotografías—retocar fotos corporativas, generar versiones creativas para campañas o estilizar imágenes de equipos—se ha convertido en un recurso habitual en marketing y recursos humanos. La petición suele sonar inocente: «Pásame esta foto por IA para…».
Sin embargo, cuando en esa imagen hay personas identificables, estamos ante datos personales. Y, cuando esa imagen se sube a un sistema de IA, el perímetro del tratamiento se amplía y el control se complica. Así lo advierte la Guía de la AEPD sobre el uso de imágenes de terceros en sistemas de IA, que analiza los riesgos y obligaciones derivados de estas prácticas.
Si hay personas identificables, hay protección de datos
La imagen de una persona es un dato personal en la medida en que permite su identificación directa o indirecta (art. 4 RGPD). No es necesario que se trate de datos «sensibles» o biométricos en sentido técnico: basta con que la persona sea reconocible.
En entornos corporativos esto es especialmente relevante. Fotografías de empleados, candidatos, clientes o asistentes a eventos forman parte del ámbito de aplicación del Reglamento (UE) 2016/679 (RGPD) y de la LOPDGDD. Subir esas imágenes a una herramienta de IA implica una comunicación de datos a un tercero (el proveedor del sistema), lo que exige:
- Base jurídica adecuada (consentimiento válido u otra legitimación del art. 6 RGPD).
- Información clara sobre el tratamiento (arts. 13 y 14 RGPD).
- Contrato de encargo de tratamiento si el proveedor actúa como encargado (art. 28 RGPD).
La aparente «simplicidad» tecnológica no elimina estas exigencias.
Riesgos visibles e invisibles: más allá del retoque
La guía de la AEPD subraya que el uso de imágenes en sistemas de IA puede generar riesgos que van más allá de la finalidad inicial. Entre ellos:
- Pérdida de control y difusión no prevista: la imagen puede almacenarse, reutilizarse o incorporarse al entrenamiento de modelos si no existen garantías contractuales claras.
- Retención indefinida: desconocimiento sobre cuánto tiempo conservará el proveedor las imágenes.
- Inferencias automatizadas: a partir de una fotografía, los sistemas pueden inferir edad, género, estado de ánimo u otros atributos, con posibles impactos discriminatorios.
- Reutilización para fines distintos: marketing, mejora de algoritmos o generación de nuevos contenidos.
En contextos de RRHH, estos riesgos se intensifican. La relación de desequilibrio entre empresa y empleado cuestiona la validez del consentimiento, lo que obliga a extremar las cautelas.
El perímetro se amplía cuando entra la IA
Subir una imagen a una plataforma de IA no es equivalente a almacenarla en un servidor interno. Supone introducirla en un ecosistema tecnológico complejo, a menudo con proveedores ubicados fuera del Espacio Económico Europeo.
Esto obliga a analizar, entre otras cuestiones:
- Transferencias internacionales de datos (arts. 44 y ss. RGPD).
- Medidas técnicas y organizativas del proveedor.
- Posible necesidad de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) si el tratamiento entraña alto riesgo (art. 35 RGPD).
El «atajo» creativo puede convertirse en una cadena de responsabilidades difícil de gestionar.
Conclusión: creatividad sí, pero con gobernanza del dato
La inteligencia artificial ofrece oportunidades indiscutibles para la comunicación y la gestión del talento. Pero utilizar imágenes de personas en sistemas de IA sin un análisis previo es abrir un melón jurídico con implicaciones en control, derechos y responsabilidad corporativa.
La clave no es renunciar a la innovación, sino integrarla en una estrategia de cumplimiento y gobernanza del dato: revisar bases jurídicas, contratos con proveedores, políticas internas y criterios de minimización.
Porque en protección de datos, lo que parece un gesto técnico menor—«pásame esta foto por IA»— puede convertirse en un tratamiento complejo con consecuencias legales, reputacionales y económicas relevantes.
Como siempre, cuidad los datos y ¡cuidaos!
