Imágenes de terceros en sistemas de inteligencia artificial: implicaciones jurídicas y exigencias de gobernanza a la luz de la nueva Guía de la AEPD

Imágenes de terceros en sistemas de inteligencia artificial: implicaciones jurídicas y exigencias de gobernanza a la luz de la nueva Guía de la AEPD

• Espacios de Relación AEC
• Comunidades
• Comités

/ Espacios de relación / Comunidades / Comunidad AEC Inteligencia Artificial / Blog IA / Imágenes de terceros en sistemas de inteligencia artificial: implicaciones jurídicas y exigencias de gobernanza a la luz de la nueva Guía de la AEPD

Imágenes de terceros en sistemas de inteligencia artificial: implicaciones jurídicas y exigencias de gobernanza a la luz de la nueva Guía de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía específica sobre el uso de imágenes de terceros en sistemas de inteligencia artificial (IA)

Introducción

«La sociedad del riesgo» (1986) del sociólogo alemán Ulrich Beck se postula como una obra fundamental para entender lo que se ha dado en llamar «la modernidad avanzada» en la que se ha pasado de distribuir riqueza a producir riesgos globales.

Riesgos que Beck reparte en una duplicidad existencial entre lo que él da en llamar un mundo visible y otro invisible del riesgo, y de cómo ciertos riesgos se vuelven socialmente "invisibles" u "ocultos" aunque existan materialmente.

La proliferación de herramientas de inteligencia artificial capaces de generar, manipular y analizar imágenes ha abierto un nuevo frente en materia de protección de datos personales. La facilidad con que cualquier usuario -individual o corporativo- puede hoy cargar una fotografía en un sistema de IA y obtener variaciones, reencuadres, descripciones o incluso recreaciones sintéticas de esa imagen plantea interrogantes jurídicos de primera magnitud que el marco normativo general no resolvía con suficiente concreción.

En este contexto, la Agencia Española de Protección de Datos (AEPD) ha publicado su Guía sobre el uso de imágenes de terceros en sistemas de inteligencia artificial, que viene a colmar, al menos parcialmente, ese vacío interpretativo. La Guía no crea nuevas obligaciones legales en sentido estricto, pero sí establece criterios de evaluación del riesgo y pautas de actuación que las organizaciones deben integrar en sus sistemas de gestión si quieren garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Desde la perspectiva de la calidad y la innovación responsable, la Guía de la AEPD es también un instrumento de gestión del riesgo organizacional. Ignorarla no solo expone a la organización a sanciones administrativas, sino que puede comprometer su reputación, generar responsabilidades civiles y penales, y erosionar la confianza de clientes, empleados y partes interesadas.

El presente artículo se estructura en cinco apartados. Tras esta introducción, se analiza el marco normativo aplicable (apartado 2), se exponen los principales contenidos de la Guía (apartado 3), se identifican las implicaciones jurídicas más relevantes -evidentes y no tan evidentes- (apartado 4) y se proponen claves prácticas de gobernanza para las organizaciones (apartado 5). El artículo concluye con unas reflexiones finales sobre la necesaria integración de la privacidad en los ciclos de vida de los proyectos de IA.

Marco normativo de referencia

El tratamiento de imágenes de personas físicas en el contexto de sistemas de IA se inscribe en un entramado normativo de varias capas que conviene precisar antes de analizar la Guía.

2.1. Reglamento General de Protección de Datos (RGPD)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, constituye la norma de referencia fundamental. Su artículo 4.1 define dato personal como «toda información sobre una persona física identificada o identificable», lo que abarca con claridad toda imagen en que una persona pueda ser reconocida por sus rasgos físicos, voz, vestimenta, entorno o relaciones. El artículo 4.2 define el tratamiento de manera amplísima, incluyendo la recogida, el almacenamiento, la modificación, la consulta y cualquier otra operación realizada sobre los datos.

El RGPD impone a los responsables del tratamiento una serie de principios -licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad- recogidos en su artículo 5, cuya observancia es exigible desde el momento mismo en que se inicia cualquier operación de tratamiento, incluida la mera carga de una imagen en un sistema de IA.

Especialmente relevantes son el artículo 9, que establece una protección reforzada para las categorías especiales de datos -entre las que se incluyen los datos biométricos cuando se utilicen para identificar de manera unívoca a una persona física-, y el artículo 35, que impone la realización de una Evaluación de Impacto en la Protección de Datos (EIPD) cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

2.2. Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, complementa el RGPD en el ordenamiento español y atribuye a la AEPD competencias de supervisión, investigación y sanción. Su Título X regula los derechos digitales de ciudadanos y trabajadores, con especial atención a la protección de los menores en el entorno digital (art. 84) y a las garantías en el ámbito laboral (arts. 87-91).

2.3. Reglamento de Inteligencia Artificial de la Unión Europea

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA o AI Act), categoriza los sistemas de IA en función del nivel de riesgo que presentan e impone obligaciones específicas a proveedores y usuarios de sistemas de alto riesgo. El artículo 10 establece requisitos de gobernanza de datos aplicables a los sistemas de IA de alto riesgo, mientras que el artículo 52 regula las obligaciones de transparencia para ciertos sistemas de IA, incluidos los que generan contenido sintético de imágenes o vídeos. Las disposiciones sobre sistemas de identificación biométrica remota (arts. 5 y 26) son también pertinentes cuando el sistema de IA utilizado permite la identificación de personas a través de imágenes

2.4. Normativa sobre derechos de la personalidad

La Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, protege la imagen de las personas físicas frente a intromisiones ilegítimas, con independencia de que concurra o no un tratamiento de datos personales en el sentido del RGPD. Su artículo 7 tipifica como intromisiones ilegítimas, entre otras, la captación, reproducción o publicación de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, así como la divulgación de expresiones o hechos de una persona que la denigre o la haga desmerecer en la consideración ajena.

En el plano penal, el Código Penal (Ley Orgánica 10/1995, de 23 de noviembre, en su redacción vigente) tipifica delitos relevantes como la revelación de secretos (arts. 197 y ss.), los delitos contra el honor -calumnias e injurias- (arts. 205 y ss.), y los delitos de acoso (art. 172 ter). La Ley Orgánica 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual, ha reforzado la protección frente a la difusión no consentida de imágenes de contenido sexual, incluyendo las generadas mediante IA.

2.5. Guías y directrices de la AEPD

En el ejercicio de sus funciones de orientación y supervisión, la AEPD ha publicado diversas guías que, sin tener fuerza normativa vinculante, sirven de referencia interpretativa para las organizaciones y son tenidas en cuenta en los procedimientos sancionadores. La Guía sobre el uso de imágenes de terceros en sistemas de inteligencia artificial, objeto del presente artículo, se enmarca en esta categoría y complementa orientaciones anteriores de la Agencia sobre inteligencia artificial, evaluaciones de impacto y responsabilidad proactiva.

Contenido de la Guía de la AEPD: estructura y principales criterios

3.1. Premisa fundamental: toda imagen identificable es dato personal

El punto de partida de la Guía es la afirmación de que toda imagen o vídeo en que una persona sea identificada o identificable constituye un dato personal, incluso si ha sido alterada o generada mediante IA. Esta calificación opera tanto si los rasgos identificadores son directos -rostro, voz- como si son indirectos -cuerpo, vestimenta, entorno, relaciones-. La consecuencia jurídica inmediata es que cualquier operación sobre esa imagen -cargarla, reenviarla, transformarla, utilizarla para generar contenido nuevo- activa la aplicación del RGPD y de la LOPDGDD desde el instante mismo en que se produce.

Esta premisa es de alcance mayor de lo que pudiera parecer en una primera lectura, pues implica que el tratamiento no comienza en el momento de publicar o difundir el resultado, sino en el de la carga inicial de la imagen en la herramienta de IA, aunque el resultado nunca llegue a salir de los servidores del proveedor.

3.2. La distinción entre riesgos visibles y riesgos silenciosos

La aportación más novedosa de la Guía desde el punto de vista analítico es la distinción entre dos planos de riesgo que hasta ahora la regulación general no articulaba con suficiente claridad.

Los riesgos visibles son aquellos derivados de generar y difundir imágenes o vídeos con IA. La Guía repasa aquí criterios ya presentes en la jurisprudencia y en las directrices del Comité Europeo de Protección de Datos: la expectativa razonable de uso; el alcance y facilidad de difusión; la persistencia del contenido y la posibilidad real de retirarlo; la sexualización y el contenido íntimo sintético; la atribución de hechos no reales; la descontextualización; la vulnerabilidad de la persona afectada; y el impacto concreto sobre sus intereses -reputacionales, laborales, psicológicos, riesgo de suplantación-.

Los riesgos silenciosos son aquellos que se producen por el mero hecho de cargar la imagen en el sistema, con independencia del resultado. La Guía identifica un catálogo detallado: pérdida de control al intervenir un tercero tecnológico; retención técnica y copias no visibles para el usuario; intervención de múltiples actores -proveedor de la nube, equipos de seguridad y soporte-; finalidades propias del proveedor, como la mejora de modelos o el análisis de calidad; generación de metadatos e inferencias sobre la persona; identificación persistente derivada de las capacidades de los sistemas generativos; asimetría informativa entre el usuario y la persona cuya imagen se carga; riesgos de seguridad ante posibles brechas; y el efecto multiplicador inherente a la facilidad para generar múltiples variantes a partir de una sola imagen.

3.3. Supuestos de especial relevancia para la AEPD

La Guía identifica una serie de supuestos que la Agencia considera prioritarios desde la perspectiva de la protección de datos, bien por la gravedad del daño potencial, bien por la especial vulnerabilidad de las personas implicadas. Estos supuestos son: la pérdida efectiva de control sobre la imagen; la sexualización o el contenido íntimo sintético; la atribución de hechos falsos pero verosímiles con impacto significativo; la implicación de menores o personas en situación de especial vulnerabilidad; la humillación o el descrédito de la persona afectada; y la difusión en entornos de alto impacto personal, social o profesional.

La Guía precisa también que determinados usos estrictamente personales o domésticos pueden quedar fuera del ámbito de aplicación del RGPD, conforme a la excepción prevista en su artículo 2.2.c). Sin embargo, esta exclusión no implica impunidad: dichos usos pueden activar otros derechos -honor, intimidad, propia imagen- e incluso responsabilidad penal.

Implicaciones jurídicas: lo evidente y lo que no lo es tanto

4.1. Las cuestiones evidentes

Entre las implicaciones jurídicas más directas que se derivan de la Guía cabe destacar las siguientes.

En primer lugar, la necesidad de identificar y documentar una base jurídica válida para cada uso de imágenes de terceros en sistemas de IA. El artículo 6 del RGPD establece un listado tasado de bases de legitimación -consentimiento, contrato, obligación legal, interés vital, misión de interés público o interés legítimo-, y ninguna de ellas opera de forma automática. En particular, la mera circulación previa de una fotografía en redes sociales o aplicaciones de mensajería no autoriza por sí sola su carga en una herramienta de IA: cuanto más alejado esté el nuevo uso del contexto original, más exigente será la justificación requerida. Cuando la base invocada sea el interés legítimo, deberá documentarse el correspondiente test de ponderación conforme al artículo 6.1.f) del RGPD.

En segundo lugar, el principio de minimización de datos, recogido en el artículo 5.1.c) del RGPD, impone la obligación de valorar si existen alternativas menos intrusivas que alcancen la misma finalidad sin necesidad de tratar imágenes de personas identificables. Cuando existan dudas razonables sobre la proporcionalidad del tratamiento, la Guía recomienda recurrir a técnicas de anonimización robusta o, en su defecto, recabar un consentimiento válido y específico.

En tercer lugar, la sexualización y el contenido íntimo sintético se configuran como señales de riesgo muy alto que, además de comprometer el cumplimiento del RGPD, pueden activar la responsabilidad civil por intromisión ilegítima en la intimidad y la propia imagen, así como la responsabilidad penal en virtud de la Ley Orgánica 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual.

En cuarto lugar, la generación de imágenes verosímiles que atribuyen a una persona hechos o conductas no ocurridas conecta con el régimen de responsabilidad por difusión de contenidos engañosos o difamatorios, y puede dar lugar a acciones por intromisión ilegítima en el honor al amparo de la Ley Orgánica 1/1982.

En quinto lugar, el umbral de prudencia es máximo cuando intervienen menores o personas en situación de especial vulnerabilidad. La LOPDGDD presta una atención específica a la protección de los menores en el entorno digital (art. 84), y la Guía subraya que incluso usos aparentemente inocuos pueden desencadenar procesos de acoso o estigmatización con consecuencias graves.

4.2. Las cuestiones no tan evidentes

Junto a las implicaciones anteriores, la Guía permite identificar otras de lectura más técnica que resultan igualmente relevantes para la gestión del cumplimiento.

La primera, y quizás la más disruptiva desde el punto de vista operativo, es la obligación de registrar y gestionar los tratamientos silenciosos. El artículo 30 del RGPD impone a los responsables del tratamiento el mantenimiento de un registro de actividades que debe reflejar todas las operaciones de tratamiento. La Guía deja claro que la carga de imágenes en herramientas de IA constituye por sí misma una operación de tratamiento que debe constar en dicho registro, con indicación de las categorías de afectados, las finalidades, las bases jurídicas, los destinatarios -incluidos proveedores de nube y subencargados-, los plazos de conservación y las posibles transferencias internacionales.

La segunda cuestión relevante es la delimitación del rol jurídico del proveedor de IA. El RGPD distingue entre el responsable del tratamiento -quien determina los fines y medios- y el encargado del tratamiento -quien trata los datos por cuenta del responsable-. Sin embargo, cuando el proveedor utiliza las imágenes cargadas para finalidades propias -mejora de modelos, análisis de calidad, entrenamiento-, puede convertirse en corresponsable del tratamiento o incluso en responsable independiente, con las implicaciones contractuales y de transparencia que ello conlleva. Las organizaciones deben revisar sus contratos con proveedores de IA para clarificar esta cuestión y limitar contractualmente las finalidades secundarias, con previsión de mecanismos de opt-out y garantías de supresión efectiva.

La tercera cuestión es el riesgo de identificación persistente y construcción de un perfil visual. Determinadas herramientas de IA son capaces de reutilizar los rasgos de una persona a partir de una sola fotografía para generar múltiples imágenes consistentes entre sí. Esta capacidad puede equivaler al tratamiento de datos biométricos a efectos del artículo 9 del RGPD -que los incluye en la categoría de datos especialmente protegidos- con los consiguientes requisitos reforzados de base jurídica y, en su caso, de evaluación de impacto conforme al artículo 35.

La cuarta cuestión concierne a la asimetría informativa. La persona cuya imagen se carga en una herramienta de IA suele ignorar qué sistema se ha utilizado, qué ocurre con su imagen durante y después del proceso, y cuánto tiempo se conserva. Esta asimetría pone en cuestión la suficiencia de las cláusulas informativas genéricas y exige diseñar mecanismos de transparencia reforzada y canales efectivos para el ejercicio de los derechos de acceso, rectificación, supresión y oposición reconocidos en los artículos 15 a 21 del RGPD.

La quinta cuestión es el efecto multiplicador del daño potencial. La facilidad para generar múltiples variantes de una imagen a bajo coste incrementa exponencialmente la probabilidad de que se produzcan resultados lesivos en iteraciones sucesivas. Desde la perspectiva de la responsabilidad, esto complica tanto la valoración de la proporcionalidad del tratamiento como la determinación del alcance del daño a efectos de reparación.

Finalmente, la Guía anticipa la necesidad de articular mecanismos de gobernanza de IA que van más allá del puro cumplimiento en materia de protección de datos: comités de IA, registros de casos de uso, evaluaciones de impacto específicas para proyectos con imágenes, y revisión periódica de los criterios de admisibilidad de cada uso. Estos mecanismos se conectan con las obligaciones de gobernanza de datos establecidas en el artículo 10 del Reglamento de IA de la Unión Europea para los sistemas de alto riesgo.

Claves prácticas de gobernanza para las organizaciones

La Guía de la AEPD no es solo un documento de interpretación normativa: es también una hoja de ruta para la gestión del riesgo en el uso de herramientas de IA con imágenes. Las organizaciones que quieran integrar adecuadamente sus prescripciones en sus sistemas de gestión deben actuar sobre al menos seis ejes.

5.1. Política interna de uso de IA con imágenes

El primer paso es disponer de una política interna que defina con claridad qué casos de uso se permiten -por ejemplo, marketing, formación, pruebas internas con datos anonimizados- y cuáles se prohíben expresamente -sexualización, contenido íntimo sintético, uso de imágenes de menores salvo en supuestos muy acotados y con base jurídica reforzada-. La política debe establecer la regla de que no se cargan imágenes de personas identificables en herramientas de IA sin que previamente se haya identificado y documentado una base jurídica válida y se haya verificado la expectativa razonable de uso. Los casos dudosos o de alto riesgo deben someterse a consulta del Delegado de Protección de Datos (DPD) o del comité de IA.

5.2. Gobernanza y registros de tratamiento

Las actividades de tratamiento que consisten en cargar imágenes en herramientas de IA deben inscribirse en el registro previsto en el artículo 30 del RGPD, con descripción detallada de los tipos de imágenes, las categorías de personas afectadas, las finalidades, las bases jurídicas, los destinatarios -incluidos proveedores de nube y subencargados-, los plazos de conservación y las transferencias internacionales, si las hubiere. Los riesgos silenciosos identificados por la Guía -retención técnica, metadatos, finalidades del proveedor, identificación persistente- deben documentarse junto con las medidas de mitigación adoptadas. Deben establecerse criterios claros para determinar cuándo resulta obligatoria la realización de una evaluación de impacto en protección de datos, con especial atención a los supuestos de alto riesgo previstos en el artículo 35 del RGPD y en las listas publicadas por la AEPD.

5.3. Contratos con proveedores de herramientas de IA

La relación con los proveedores de herramientas de IA debe formalizarse mediante contratos que se ajusten a los requisitos del artículo 28 del RGPD cuando el proveedor actúe como encargado del tratamiento. Dichos contratos deben delimitar con precisión las finalidades para las que el proveedor puede utilizar las imágenes, prohibir expresamente el uso para entrenamiento de modelos salvo autorización explícita y con previsión de mecanismos de opt-out, y establecer garantías de supresión efectiva al término del servicio. Deben también exigir transparencia sobre los plazos de conservación, las ubicaciones de tratamiento, los subencargados y las medidas de seguridad, incluyendo el protocolo de gestión de brechas.

5.4. Cláusulas informativas y bases de legitimación

Las cláusulas informativas dirigidas a empleados, clientes, usuarios y otros colectivos deben revisarse para incorporar de forma clara y accesible la posibilidad de que sus imágenes sean tratadas mediante herramientas de IA, las finalidades específicas de ese tratamiento, las categorías de proveedores implicados y la posibilidad de pérdida de control sobre la imagen. Cuando la base de legitimación sea el consentimiento, este debe ser específico para el uso con IA -no genérico para el uso de imagen en general-, informado, libre y revocable, conforme a los requisitos del artículo 7 del RGPD. La cláusula debe incluir también referencia a los riesgos silenciosos y a las vías prácticas para el ejercicio de derechos.

5.5. Procedimientos operativos y formación

La gestión cotidiana del riesgo requiere procedimientos internos para tramitar las solicitudes de uso de herramientas de IA con imágenes -alta del caso de uso, revisión de riesgos, aprobación por el comité de IA o el DPD cuando proceda- y flujos de respuesta rápida ante incidentes, que incluyan la detección de contenidos lesivos, la retirada en plataformas, la notificación a la AEPD en caso de brecha conforme al artículo 33 del RGPD y el apoyo a la persona afectada. La formación de la plantilla debe cubrir qué se considera imagen de un tercero a estos efectos, cuáles son los riesgos visibles e invisibles, cuáles son las prohibiciones aplicables y cuáles son los canales de consulta disponibles.

5.6. Evaluaciones de impacto y comités de IA

Para los casos de uso que presenten un alto riesgo previsible, debe realizarse una evaluación de impacto en protección de datos que contemple escenarios de abuso, riesgos reputacionales y el efecto multiplicador propio de los sistemas de IA. La evaluación debe integrarse en el ciclo de vida del proyecto -no realizarse a posteriori- y debe incluir una fase de consulta previa a la AEPD cuando no sea posible mitigar adecuadamente los riesgos identificados, conforme al artículo 36 del RGPD. Las organizaciones con un volumen significativo de proyectos de IA que impliquen imágenes de terceros deben crear o fortalecer un comité de IA que supervise estos proyectos, establezca criterios de admisibilidad y lleve a cabo revisiones periódicas.

Reflexiones finales

La Guía de la AEPD sobre el uso de imágenes de terceros en sistemas de inteligencia artificial llega en un momento de aceleración tecnológica que ha dejado rezagadas a muchas organizaciones en materia de cumplimiento. Su principal valor no reside tanto en la novedad del marco jurídico aplicable -el RGPD lleva en vigor desde 2018- como en la concreción de criterios de evaluación del riesgo adaptados a la realidad específica de los sistemas de IA generativa.

Desde una perspectiva de gestión de la calidad, la Guía invita a incorporar la privacidad como un atributo de calidad del producto o servicio digital, no como un obstáculo regulatorio. Los principios de privacidad desde el diseño y por defecto recogidos en el artículo 25 del RGPD, que la Guía reitera y concreta, son perfectamente compatibles con los enfoques de mejora continua y gestión por procesos que caracterizan a las organizaciones certificadas en estándares de calidad.

La distinción entre riesgos visibles y silenciosos que articula la Guía es, en este sentido, una herramienta analítica de gran utilidad para los profesionales de la calidad y el cumplimiento: permite mapear el ciclo de vida completo del tratamiento, identificar los puntos de control críticos y asignar responsabilidades con precisión. Su integración en los sistemas de gestión existentes no requiere construir estructuras paralelas, sino enriquecer y adaptar las que ya existen.

El reto pendiente es cultural tanto como técnico. Las organizaciones que lograrán un cumplimiento sostenible no serán las que reaccionen ante cada nueva guía o reglamento, sino las que hayan interiorizado que tratar imágenes de personas con sistemas de IA no es un acto inocuo, y que la confianza de quienes les confían su imagen es un activo que merece la misma atención que cualquier otro activo estratégico.

En definitiva, a la hora de interpretar los riesgos en privacidad sobre el uso de imágenes de terceros en sistemas de inteligencia artificial, hemos de recordar a Beck cuando sostiene "Lo visible no puede porfiar con lo invisible… Este resto de actividad a la vista del resto de riesgo existente realmente tiene en la inimaginabilidad e imperceptibilidad del peligro sus cómplices más poderosos". Pues el uso de la IA no está exenta de riesgos, sean éstos evidentes o no evidentes.

Referencias normativas y documentales

Normativa de la Unión Europea

-Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, RGPD). DOUE L 119, de 4 de mayo de 2016.

-Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial). DOUE L, de 12 de julio de 2024.

Normativa española

-Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. BOE núm. 115, de 14 de mayo de 1982.

-Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. BOE núm. 281, de 24 de noviembre de 1995 (en su redacción vigente).

-Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 6 de diciembre de 2018.

-Ley Orgánica 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual. BOE núm. 218, de 7 de septiembre de 2022.

Documentos de la AEPD

-Agencia Española de Protección de Datos (AEPD). Guía sobre el uso de imágenes de terceros en sistemas de inteligencia artificial. Madrid: AEPD. Disponible en: https://www.aepd.es

-Agencia Española de Protección de Datos (AEPD). Guía de Evaluaciones de Impacto en la Protección de Datos. Madrid: AEPD.

-Agencia Española de Protección de Datos (AEPD). Guía sobre el uso de inteligencia artificial y protección de datos. Madrid: AEPD.

Documentos del Comité Europeo de Protección de Datos

-European Data Protection Board (EDPB). Guidelines 3/2019 on processing of personal data through video devices. Adoptadas el 29 de enero de 2020.

-European Data Protection Board (EDPB). Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement. Adoptadas el 26 de abril de 2023.

José Ramón Moratalla
Vicepresidente Comunidad AEC de Inteligencia Artificial

• Compártelo