EasyJet publicó en su intranet el escalafón de sus tripulantes de cabina sustituyendo nombres y apellidos por códigos numéricos de doce dígitos, invocando el principio de minimización de datos del art. 5.1.c) RGPD. El problema: su convenio colectivo exigía expresamente que el escalafón incluyera nombre, apellidos, categoría, base y antigüedad de cada trabajador. USO-STA demandó en conflicto colectivo. La Audiencia Nacional desestimó la demanda. El Tribunal Supremo la estima íntegramente.

Lo que dice el TS —y por qué importa

La sentencia se mueve en tres planos que conviene distinguir.

El primero es la seudonimización y el concepto de dato personal. El TS asume la doctrina de la STJUE de 4 de septiembre de 2025, C-413/23 (EDPS v. SRB): los datos seudonimizados no son personales de forma universal. Lo son para quien tiene medios razonables de reidentificación; no lo son para quien carece de ellos. Aplicado al caso: el listado con códigos numéricos no constituye tratamiento de datos personales para los usuarios de la intranet que no pueden enlazar el código con una identidad real. La seudonimización es, en abstracto, conforme a Derecho. Si esta doctrina te resulta familiar es porque ya la analizamos en detalle cuando el TJUE la estableció —puedes repasar los fundamentos en este post sobre la sentencia C-413/23.

El segundo plano es el del convenio colectivo como título habilitante, y aquí está el argumento central. El art. 12 del convenio impone una obligación específica de publicar datos identificativos, habilitada por el art. 88 RGPD —que permite a los convenios establecer normas sobre datos en el ámbito laboral—. Esa obligación convencional genera un título de legitimación al amparo del art. 6.1.c) RGPD. La empresa no puede invocar la minimización para vaciar ese título: el principio de minimización no elimina bases jurídicas, las condiciona. Modaliza cómo se trata, no si se trata. Este razonamiento —construido sobre la STJUE de 19 de diciembre de 2024, C-65/23 (MK v. K GmbH)— es el de mayor alcance para la práctica laboral.

El tercero es el interés legítimo de los propios trabajadores. El TS identifica además los arts. 6.1.b) y 6.1.f) como títulos alternativos: los TCPs tienen interés legítimo en conocer el escalafón completo porque su posición en él determina sus derechos en procedimientos de promoción y adjudicación de puestos. Ese interés justifica el tratamiento siempre que el acceso quede restringido a quienes realmente lo tienen: los propios TCPs y sus representantes.

El fallo y tres claves para el asesoramiento

El TS ordena publicar el escalafón con nombre y apellidos, limitando técnicamente el acceso dentro de la intranet a TCPs, representantes legales y sindicales y quienes acrediten interés legítimo.

De la sentencia se extraen tres criterios directamente exportables. La seudonimización no es siempre una medida de cumplimiento neutral: cuando existe obligación convencional de publicar datos identificativos, seudonimizar equivale a incumplir el convenio, y el RGPD no respalda ese incumplimiento. El art. 88 RGPD, tras C-65/23, convierte al convenio colectivo en fuente habilitante del tratamiento, pero con límite doble: no puede eludir los arts. 5, 6 y 9 RGPD, y el tratamiento debe superar siempre el test de necesidad y proporcionalidad. Y el principio de minimización no puede invocarse para vaciar una base jurídica —criterio exportable a registros de empleados, directorios internos, sistemas de turnos o cualquier lista laboral donde coexistan obligación de publicidad y protección de datos—. En todos esos contextos, la pregunta relevante no es «¿este dato es personal?» en abstracto, sino «¿personal para quién y en qué circunstancias?».

La entrada ¿Puede la empresa seudonimizar el escalafón para cumplir el RGPD? El Tribunal Supremo dice que no siempre aparece primero en Iurismática Abogados - Derecho Digital.

La entrada Expertos valoran la prohibición de redes sociales a menores: «Es una medida muy deseada» aparece primero en Iurismática Abogados - Derecho Digital.

Por qué una nueva ley orgánica después de más de cuarenta años

La Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, ha sido durante cuatro décadas el pilar sobre el que se ha construido la tutela civil de estos derechos fundamentales. Sin embargo, el ecosistema normativo y tecnológico en el que fue concebida resulta hoy irreconocible.

Desde su promulgación se han sucedido reformas legislativas de calado —LO 2/1984, de derecho de rectificación; LO 1/1996, de protección jurídica del menor; Ley 15/2015, de jurisdicción voluntaria; LO 3/2018, de protección de datos y garantía de derechos digitales; o la Ley 8/2021, de apoyo a personas con discapacidad— que han ido fragmentando el marco originario. A ello se suma, en el plano europeo, la irrupción del Reglamento (UE) 2024/1689 de IA, cuyo art. 3. 60) define las denominadas ultrasuplantaciones (deep fakes) y cuyo art. 50.4 establece obligaciones de transparencia sobre contenidos generados o manipulados artificialmente.

Precisamente por ello, el legislador ha optado por una ley de nueva planta que, sin alterar la esencia del régimen precedente, actualice los mecanismos de protección a la realidad tecnológica y social del siglo XXI.

Las novedades más relevantes del Anteproyecto

1. Consentimiento: límites claros frente a la sobreexposición digital

El art. 3.2 introduce un matiz de enorme trascendencia práctica: el consentimiento del titular no ampara actuaciones que sobrepasen los límites de lo efectivamente consentido. Dicho de otro modo, subir una fotografía a una red social no equivale a autorizar su uso indiscriminado en otros contextos. Se trata de una precisión que conecta directamente con la doctrina del consentimiento informado y específico del RGPD y que blinda al titular frente a la apropiación descontextualizada de su imagen o voz en el entorno digital.

2. Menores de edad: presunción de madurez a partir de los 16 años

El art. 4 aborda una laguna persistente: la indefinición sobre cuándo un menor posee madurez suficiente para consentir la intromisión en sus derechos. El Anteproyecto establece una presunción iuris tantum a partir de los dieciséis años, equilibrando así la autonomía progresiva del menor con la protección reforzada que le otorga el ordenamiento. De ahí que, por debajo de esa edad, la intervención del representante legal y la del Ministerio Fiscal sigan siendo preceptivas.

3. Personas con discapacidad: coherencia con la Ley 8/2021

En la misma dirección, y reforzando este criterio de autonomía con apoyos, el art. 5 adapta el régimen del consentimiento al nuevo paradigma instaurado tras la supresión de la incapacitación civil, permitiendo que la persona con discapacidad preste su consentimiento por sí misma o con los apoyos que precise.

4. Imagen post mortem: disposición testamentaria

El art. 6 constituye una previsión novedosa que responde a una preocupación creciente: la explotación comercial de la imagen o la voz de personas fallecidas. El testador podrá prohibir estos usos o designar a una o varias personas para autorizar o denegarlos. Tanto es así que esta disposición adquiere especial relevancia en el contexto de la IA generativa, capaz de recrear con extremo realismo la imagen y la voz de personas que ya no pueden defenderse.

5. Deep fakes y ultrasuplantaciones: nuevo supuesto de intromisión ilegítima

Sin duda, la novedad de mayor impacto mediático. El art. 7.1.f) tipifica como intromisión ilegítima la utilización o difusión de la imagen o la voz de una persona creada, simulada o manipulada tecnológicamente para dotarla de una apariencia extremadamente realista. La formulación es deliberadamente amplia: no se circunscribe a la IA, sino que abarca cualquier tecnología capaz de producir ese resultado, lo que otorga a la norma una vocación de pervivencia frente a futuros avances técnicos.

Ahora bien, el art. 8.3.c) contempla una excepción: se permite el uso de estas representaciones cuando formen parte de obras manifiestamente creativas, satíricas, artísticas o de ficción, siempre que el responsable haga pública la naturaleza artificial del contenido de un modo que no dificulte la exhibición o el disfrute de la obra. Este deslinde resulta crucial, porque traza la frontera entre la protección de la personalidad y la libertad de creación artística.

6. Protección reforzada de los menores frente a cualquier intromisión

El art. 7, in fine, declara ilegítima toda intromisión que menoscabe la dignidad, la reputación o los intereses de un menor, incluso cuando conste su propio consentimiento o el de sus representantes legales. Se configura así un estándar de protección cuasi absoluto que sitúa el interés superior del menor por encima de la autonomía de la voluntad.

7. Comunicaciones privadas: prevalencia del interés informativo

El art. 8.2 introduce una excepción que recoge la consolidada doctrina constitucional sobre la prevalencia de la libertad de información: la revelación de comunicaciones privadas no será ilegítima cuando su contenido se limite a hechos de relevancia pública y carácter noticiable. Se codifica así un criterio jurisprudencial ya asentado, dotándolo de rango legal orgánico.

8. Indemnización por daño moral: criterios objetivables y prohibición de carácter simbólico

El art. 13 desarrolla considerablemente el régimen indemnizatorio. Como consecuencia directa de la insuficiencia detectada en la práctica forense, el Anteproyecto enumera diez criterios para cuantificar el daño moral —gravedad de las expresiones, reincidencia, difusión, repercusiones sociales, prolongación temporal, entre otros— y establece una regla imperativa: las indemnizaciones no podrán tener carácter simbólico.

Además, se faculta al perjudicado para instar la publicación de la condena en el BOE, una medida de enforcement reputacional sin precedentes en este ámbito.

9. Nueva medida cautelar en la LEC

La disposición final primera modifica el art. 727 LEC para incorporar una medida cautelar específica: la retirada de imágenes o voces —reales, manipuladas o simuladas— cuando puedan afectar al honor, la intimidad o la propia imagen. Se colma así un vacío procesal que dificultaba la tutela urgente frente a contenidos virales.

10. Legitimación ampliada para personas fallecidas

El art. 10 extiende la legitimación activa a la persona unida por análoga relación de afectividad a la conyugal, reconociendo la diversidad de modelos familiares y superando la rigidez del régimen anterior.

Reflexión crítica: luces y sombras

1. Lo que aporta

Actualización tecnológica genuina. La tipificación de las ultrasuplantaciones y la regulación de la imagen y la voz generadas artificialmente sitúan a España en la vanguardia de la protección civil de la personalidad.

Coherencia sistemática. La integración con la LO 3/2018, la Ley 8/2021 y el Reglamento de IA dota al ordenamiento de una mayor unidad interna.

Refuerzo de la tutela efectiva. Los criterios de cuantificación del daño moral, la prohibición de indemnizaciones simbólicas y la nueva medida cautelar fortalecen la posición del perjudicado.

• Lo que queda por resolver

Delimitación de la «apariencia extremadamente realista». La norma no define con precisión el umbral de realismo exigido, lo que trasladará al juzgador una labor de concreción caso por caso que puede generar inseguridad jurídica.

Articulación con el Reglamento de IA. Si bien el Anteproyecto se inspira en el art. 50.4 RIA, mantiene un concepto más amplio que el europeo. Habrá que analizar cómo conviven ambos regímenes y si la norma interna puede ir más allá sin entrar en contradicción con el Derecho de la Unión.

Efectividad transfronteriza. La viralidad digital no respeta fronteras. La retirada cautelar de contenidos alojados en servidores extranjeros seguirá dependiendo de la cooperación judicial internacional, un terreno en el que la eficacia de la tutela es, cuando menos, incierta.

Silencio sobre plataformas digitales. El Anteproyecto no establece obligaciones específicas para los prestadores de servicios de la sociedad de la información, más allá de lo previsto en la normativa sectorial (DSA, LSSI-CE). La responsabilidad de las plataformas en la difusión de contenidos lesivos sigue siendo una asignatura pendiente.

• Conclusión

El Anteproyecto de Ley Orgánica representa un esfuerzo normativo ambicioso y necesario. Lejos de ser una mera declaración de principios, introduce herramientas concretas para afrontar los desafíos que la IA, la manipulación digital y la sobreexposición en redes sociales plantean a la dignidad, el honor y la privacidad de las personas. No obstante, su eficacia real dependerá en buena medida de la interpretación jurisprudencial de conceptos abiertos como la «apariencia extremadamente realista» y de la capacidad del sistema judicial para ofrecer una tutela cautelar ágil en un entorno digital que se mueve a velocidades incompatibles con los tiempos procesales tradicionales.

El debate parlamentario que se avecina será, por tanto, una oportunidad para perfilar estos extremos y garantizar que la protección civil de estos derechos fundamentales esté realmente a la altura de la era digital.

La entrada La reforma que redefine el honor, la intimidad y la propia imagen en la era digital: claves del Anteproyecto de Ley Orgánica aparece primero en Iurismática Abogados - Derecho Digital.

¿Por qué la ciberseguridad en IA es diferente?

Cuando hablamos de ciberseguridad, todos pensamos en virus, hackers o robo de datos. Pero la inteligencia artificial tiene sus propias vulnerabilidades que van más allá de los problemas tradicionales.

Los sistemas de IA aprenden de datos. Y precisamente ahí está el problema.

Un atacante puede manipular esos datos para que el sistema aprenda mal. O puede engañar al sistema una vez que ya está funcionando para que tome decisiones equivocadas.

No proteger un sistema de IA de alto riesgo es inadmisible, según la propia guía. Los daños potenciales afectan a la salud, la seguridad, la privacidad y los derechos fundamentales de las personas.

¿Qué dice el Reglamento Europeo de IA sobre ciberseguridad?

El artículo 15 del Reglamento Europeo de Inteligencia Artificial establece tres requisitos fundamentales: precisión, solidez y ciberseguridad.

En cuanto a ciberseguridad, la norma exige que los sistemas de IA de alto riesgo:

• Mantengan un nivel adecuado de seguridad durante todo su ciclo de vida.
• Sean resistentes a intentos de terceros de alterar su uso o funcionamiento.
• Cuenten con medidas técnicas para prevenir y controlar ataques específicos.

Las soluciones de seguridad deben ser proporcionales a los riesgos concretos de cada sistema.

Las 6 principales amenazas que debes conocer

La Guía 11 identifica varios tipos de ataques específicos contra sistemas de IA. Aquí te los explicamos de forma sencilla:

Envenenamiento de datos

El atacante introduce datos manipulados en el conjunto de entrenamiento del sistema. El objetivo es que la IA aprenda comportamientos incorrectos o controlados por el atacante.

Es como si alguien metiera respuestas falsas en los apuntes de un estudiante para que suspenda el examen.

Envenenamiento de modelos

Similar al anterior, pero en lugar de atacar los datos, se manipula directamente el modelo de IA, especialmente durante actualizaciones o en sistemas que aprenden de forma distribuida.

Ataques de evasión

El atacante envía datos de entrada manipulados para que el sistema cometa errores en sus predicciones. Por ejemplo, modificar ligeramente una imagen para que un sistema de reconocimiento facial no identifique correctamente a una persona.

Ataques de inversión

Buscan extraer información privada de los datos que se usaron para entrenar el sistema. Esto compromete directamente la privacidad de las personas cuyos datos se utilizaron.

Ataques de extracción

El objetivo es robar el modelo de IA o replicar su funcionamiento mediante múltiples consultas. Con suficiente información, el atacante puede crear una copia del sistema.

Ataques a la cadena de suministro

Se comprometen componentes de software o hardware del sistema de IA antes de que llegue al usuario final. Esto incluye bibliotecas de código, frameworks o infraestructura.

¿A quién aplica esta guía?

La Guía 11 está dirigida a dos figuras clave definidas en el Reglamento:

El proveedor: Es quien desarrolla o comercializa el sistema de IA. Tiene la responsabilidad principal de implementar las medidas de ciberseguridad desde el diseño.

El responsable del despliegue: Es quien utiliza el sistema de IA en su organización. Debe seguir las instrucciones del proveedor y mantener las medidas de seguridad durante la operación.

La guía se aplica a sistemas en fases avanzadas de desarrollo (a partir de TRL 6) y a sistemas que ya están en funcionamiento.

Medidas de ciberseguridad: qué deben hacer las empresas

Para los proveedores

• Planificar la ciberseguridad desde el diseño, no como un añadido posterior.
• Involucrar al delegado de protección de datos en las decisiones de seguridad.
• Establecer responsables del seguimiento de las medidas de ciberseguridad.
• Usar herramientas automatizadas para detectar vulnerabilidades.
• Documentar todas las medidas en el manual de instrucciones y la documentación técnica.
• Realizar auditorías periódicas, tanto internas como externas.

Para los responsables del despliegue

• Leer y seguir el manual de instrucciones proporcionado por el proveedor.
• Formar al personal que interactúa con el sistema de IA.
• Gestionar adecuadamente los accesos al sistema.
• Informar al proveedor si detectan comportamientos anómalos.

Documentación técnica: qué hay que registrar

El Anexo IV del Reglamento establece qué documentación mínima debe incluirse. En materia de ciberseguridad, hay que documentar:

• El plan de ciberseguridad con su alcance y objetivos.
• Los activos y actores identificados en el análisis.
• Las vulnerabilidades detectadas y los controles aplicados.
• Los parámetros de monitorización del sistema.
• Las medidas contra ataques de envenenamiento y adversarios.

Esta documentación no es solo un requisito legal. Es la prueba de que la empresa ha actuado con diligencia.

La importancia de la formación

La guía dedica un anexo completo a la formación en ciberseguridad. Y tiene sentido: la tecnología más avanzada es inútil si las personas no saben usarla correctamente.

La formación debe cubrir al menos:

• Por qué es importante la ciberseguridad en IA.
• Qué son los ataques adversarios y cómo identificarlos.
• Cómo proteger los datos de entrenamiento.
• Qué hacer si se detecta un comportamiento anómalo.

Recuerda: una cadena es tan fuerte como su eslabón más débil. Y muchas veces ese eslabón es el factor humano.

Carácter de la guía: orientativa pero relevante

Es importante aclarar que estas guías no son vinculantes. No sustituyen ni desarrollan la normativa aplicable.

Sin embargo, ofrecen recomendaciones prácticas alineadas con los requisitos del Reglamento Europeo de IA. Son el resultado del trabajo colaborativo en el sandbox regulatorio español y servirán de base para las guías europeas que prepara la Comisión.

Las guías se actualizarán cuando se apruebe el Ómnibus digital que modifica el Reglamento de Inteligencia Artificial.

Recursos de referencia

La guía recomienda consultar especialmente los documentos de ENISA (Agencia Europea para la Ciberseguridad):

• Artificial Intelligence Cybersecurity Challenges (2020)
• Securing Machine Learning (2021)
• Cybersecurity of AI and Standardisation (2023)

También menciona estándares reconocidos como ISO/IEC 27001 y NIST 800-53.

Conclusión: actúa ahora, no después

La ciberseguridad en sistemas de IA no es opcional. El Reglamento Europeo lo exige y las sanciones por incumplimiento pueden ser muy elevadas.

Pero más allá de las multas, está la responsabilidad con las personas. Un sistema de IA de alto riesgo que falla puede afectar a derechos fundamentales, acceso al empleo, decisiones sanitarias o procesos judiciales.

Nuestra recomendación: si tu empresa desarrolla o utiliza sistemas de IA de alto riesgo, empieza ya a revisar tus medidas de ciberseguridad. La Guía 11 de AESIA es un excelente punto de partida.

La entrada Ciberseguridad en Inteligencia Artificial: Lo que dice la AESIA al respecto aparece primero en Iurismática Abogados - Derecho Digital.

Resumen ejecutivo

El Landgericht München I (Tribunal Regional de Múnich I) dictó el 11 de noviembre de 2025 una sentencia que marca un punto de inflexión en la regulación de la inteligencia artificial generativa en Europa. En el caso GEMA contra OpenAI (42 O 14139/24), el tribunal alemán condenó a las filiales irlandesa y estadounidense de OpenAI por vulnerar los derechos de autor de nueve letras de canciones populares alemanas al entrenar sus modelos GPT-4 y GPT-4o con dichas obras sin autorización.

Esta resolución constituye la primera decisión judicial europea que aborda de manera integral la problemática de los derechos de autor en el contexto del entrenamiento de grandes modelos de lenguaje (LLM).

Contexto del litigio

Las partes

La demandante, GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte), es la entidad de gestión colectiva de derechos musicales más importante de Alemania, equivalente a la SGAE española. Las demandadas son OpenAI Ireland Limited (Dublín) y OpenAI, L.L.C. (Estados Unidos), operadoras del chatbot ChatGPT y de los modelos GPT-4 y GPT-4o.

Objeto del litigio

GEMA ejercitó acciones de cesación, información y declaración de responsabilidad por daños respecto de nueve letras de canciones alemanas muy populares, entre ellas Atemlos durch die Nacht (Kristina Bach), Bochum y Männer (Herbert Grönemeyer), Über den Wolken (Reinhard Mey) e In der Weihnachtsbäckerei (Rolf Zuckowski).

La demanda se fundamentó en que dichas letras fueron utilizadas como datos de entrenamiento sin autorización, y en que el chatbot las reproducía cuando los usuarios formulaban consultas sencillas como «¿Cuál es la letra de [título]?».

Cuestiones jurídicas clave

1. La memorización como reproducción

El tribunal abordó la cuestión central: ¿constituye la memorización de obras protegidas en los parámetros de un modelo de lenguaje una reproducción en el sentido del artículo 2 de la Directiva InfoSoc y del § 16 UrhG?

La respuesta fue afirmativa. El tribunal estableció que el derecho de reproducción debe interpretarse de forma amplia, conforme a la jurisprudencia del TJUE, pudiendo realizarse «de cualquier forma y por cualquier medio». Consideró irrelevante que las obras no se almacenen en un formato identificable: lo determinante es que puedan ser percibidas de forma mediata mediante herramientas técnicas. Asimismo, estableció que la memorización puede acreditarse comparando los datos de entrenamiento con los outputs generados.

2. Inaplicabilidad de la excepción de minería de textos y datos

Las demandadas alegaron que las reproducciones estaban amparadas por la excepción de text and data mining (TDM) prevista en el § 44b UrhG, que transpone el artículo 4 de la Directiva DSM.

El tribunal rechazó esta alegación distinguiendo tres fases en el desarrollo de modelos de IA: la extracción y preparación del corpus (Fase 1), el entrenamiento del modelo (Fase 2) y la utilización mediante prompts y outputs (Fase 3). Concluyó que la excepción TDM cubre únicamente las reproducciones necesarias para la Fase 1, pero no ampara las reproducciones que permanecen en el modelo tras el entrenamiento.

La finalidad de la excepción TDM es que la extracción automatizada de información no afecte a los intereses de explotación de los titulares. Sin embargo, cuando el entrenamiento produce la memorización de obras completas, se vulneran dichos intereses.

3. Infracción mediante los outputs

El tribunal declaró que los outputs del chatbot que reproducen las letras constituyen tanto una puesta a disposición del público como una reproducción. OpenAI realiza una comunicación pública directa, no meramente intermediaria: al ofrecer acceso al contenido memorizado mediante prompts sencillos, no actúa como un mero proveedor de infraestructura, sino que controla el contenido de sus modelos.

El tribunal atribuyó las infracciones a OpenAI —no a los usuarios— porque seleccionó los datos de entrenamiento, diseñó la arquitectura que produjo la memorización y los prompts utilizados eran simples, sin que pudiera considerarse que «provocaron» los outputs infractores.

4. Inexistencia de consentimiento implícito

El tribunal rechazó que existiera un consentimiento tácito por el hecho de que las letras estuvieran disponibles en internet. El entrenamiento de modelos de IA no constituye un uso «habitual y esperable» que el titular deba tolerar.

El fallo

El tribunal condenó a OpenAI a cesar en la reproducción de las letras en sus modelos y outputs, bajo apercibimiento de multas coercitivas de hasta 250.000 euros. Además, debe informar sobre el alcance de las infracciones cometidas desde noviembre de 2022 e indemnizar los daños y perjuicios causados. El fallo debe publicarse en la edición de fin de semana del Süddeutsche Zeitung.

Se desestimó la pretensión basada en la vulneración del derecho al nombre por la atribución de letras modificadas («alucinaciones») a los autores originales.

Cuestiones abiertas

La sentencia plantea interrogantes sobre el alcance práctico de la condena: ¿es técnicamente posible «desmemorizar» obras específicas de un modelo ya entrenado? Si esta interpretación se consolida, el impacto en el sector sería considerable, obligando a los desarrolladores a obtener licencias. Existe además una cuestión prejudicial pendiente ante el TJUE (C-250/25) sobre la aplicación de la excepción TDM al entrenamiento de IA.

Implicaciones para España

Aunque la sentencia alemana no tiene efectos vinculantes en España, su fundamentación jurídica resulta plenamente trasladable a nuestro ordenamiento. El derecho de reproducción está armonizado por la Directiva InfoSoc, y la excepción TDM lo está por la Directiva DSM. El artículo 67 del Texto Refundido de la Ley de Propiedad Intelectual reproduce la excepción TDM en términos equivalentes al § 44b UrhG alemán.

Las entidades de gestión colectiva (SGAE, CEDRO, VEGAP) podrían verse legitimadas para emprender acciones similares.

Conclusión

La sentencia del LG München I marca un hito en la construcción del régimen jurídico de la inteligencia artificial en Europa. Al reconocer que la memorización de obras protegidas en modelos de lenguaje constituye una reproducción ilícita no amparada por la excepción de minería de datos, el tribunal envía un mensaje claro: la innovación tecnológica no justifica la vulneración de los derechos de propiedad intelectual.

La resolución será sin duda recurrida, y es probable que la cuestión llegue eventualmente al Tribunal de Justicia de la Unión Europea. Mientras tanto, constituye un precedente de enorme relevancia que los operadores jurídicos y empresariales deben tener muy presente.

Artículo publicado con fines informativos. No constituye asesoramiento jurídico.

Para consultas específicas sobre propiedad intelectual e inteligencia artificial, contacte con nuestro despacho.

La entrada Sentencia histórica: OpenAI condenada por infracción de derechos de autor en el entrenamiento de ChatGPT aparece primero en Iurismática Abogados - Derecho Digital.

Hace unos meses, la Agencia Española de Protección de Datos (AEPD) resolvió un caso que ilustra bien esta problemática. En el procedimiento, una persona fue sancionada por participar en la difusión de fotografías generadas con IA en las que se habían asociado rostros reales de menores a cuerpos desnudos que no les pertenecían. La multa impuesta fue de 2.000 euros, reducida a 1.200 euros por pronto pago y reconocimiento de responsabilidad. La AEPD consideró vulnerado el artículo 6.1 del Reglamento General de Protección de Datos (RGPD), que exige que todo tratamiento de datos personales —y la imagen de una persona identificable lo es— cuente con una base de legitimación válida. En este caso, la ausencia de consentimiento convertía el tratamiento en ilícito.

Si has sido víctima de una situación similar —difusión de imágenes íntimas, deepfakes, pornografía de venganza o cualquier otro tipo de vulneración de tu intimidad mediante la difusión no consentida de imágenes— es fundamental que sepas que tienes múltiples caminos para defender tus derechos. Estas vías son compatibles entre sí y pueden ejercerse de forma simultánea.

En el plano administrativo, la AEPD es el organismo competente para investigar y sancionar la difusión de imágenes sin consentimiento. Si alguien ha tratado tus datos personales sin autorización —por ejemplo, publicando tus fotografías o vídeos—, puedes presentar una reclamación ante la Agencia. No existe un plazo legal estricto para hacerlo, aunque es recomendable actuar con rapidez. El procedimiento sancionador tiene una duración máxima de 12 meses Si la AEPD confirma la infracción, podrá imponer sanciones que, en los casos más graves, pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio anual global del infractor.

La vía penal se centra en la protección de la intimidad y la integridad moral. El Código Penal, en su artículo 197.7, castiga con penas de prisión de tres meses a un año o multa de seis a doce meses a quien difunda imágenes íntimas de otra persona sin su autorización. Las penas aumentan cuando la víctima es menor de edad o cuando el autor es la pareja o expareja. Además, si la difusión produce un grave menoscabo a la dignidad de la víctima, puede aplicarse también el delito contra la integridad moral del artículo 173.1. En estos casos, lo más aconsejable es denunciar cuanto antes ante la Policía, la Guardia Civil o el Juzgado de Guardia, para garantizar la conservación de las pruebas digitales.

Por último, la vía civil permite reclamar una indemnización por los daños y perjuicios sufridos, tanto materiales como morales. La difusión ilícita de imágenes puede generar ansiedad, humillación, pérdida de oportunidades profesionales o daño reputacional. El artículo 1902 del Código Civil ampara la posibilidad de reclamar una compensación económica por estos perjuicios. Esta acción puede ejercerse dentro del procedimiento penal o de forma independiente ante el Juzgado de Primera Instancia, con un plazo de un año desde la producción del daño.

Las tres vías son compatibles entre sí. De hecho, en muchos casos es recomendable utilizarlas de forma paralela: la reclamación ante la AEPD puede ayudar a obtener una resolución administrativa clara; la denuncia penal permite perseguir a los responsables; y la acción civil busca reparar el daño económico y moral causado. Cada una cumple una función distinta, pero todas contribuyen a restablecer la dignidad y los derechos de la víctima.

Ante este tipo de situaciones, el tiempo es un factor esencial. Es fundamental actuar con rapidez, conservar todas las pruebas —capturas de pantalla, enlaces, fechas, mensajes— y buscar asesoramiento jurídico especializado. Cada caso presenta particularidades que requieren una valoración técnica y estratégica.

El caso resuelto por la AEPD demuestra que el marco jurídico actual ofrece herramientas eficaces para reaccionar ante la difusión no consentida de imágenes, ya sea manipuladas mediante IA o no. Si has sido víctima de una situación similar, no estás solo. El Derecho te ampara y existen mecanismos para frenar la difusión, exigir responsabilidades y obtener una reparación justa. El primer paso, siempre, es consultar con un abogado especializado en derecho digital y protección de datos, que pueda orientarte en la defensa integral de tu intimidad y tus derechos fundamentales.

La entrada ¿Cómo actuar ante deepfakes? aparece primero en Iurismática Abogados - Derecho Digital.

El criterio de la AEPD respecto a la biometría ha quedado claro en los últimos tiempos con varias resoluciones que han sancionado su uso en distintos ámbitos. La última y más mediática ha sido la del Club Atlético Osasuna, sancionado por utilizar reconocimiento facial para el acceso a su estadio. La Agencia Española de Protección de Datos determinó que el sistema no cumplía con los principios de necesidad y proporcionalidad exigidos por el RGPD, ya que no se demostró que fuera imprescindible para la seguridad ni que no existieran alternativas menos intrusivas como los carnets digitales. Además, el club había basado el tratamiento de datos en el consentimiento de los abonados, pero la AEPD consideró que este no era válido, ya que la opción biométrica se promocionó como una forma más rápida y cómoda de acceso, lo que podía inducir a los abonados a aceptarla sin plena libertad. La Agencia insistió en que el consentimiento no es una base legítima si el tratamiento no supera el triple juicio de necesidad, idoneidad y proporcionalidad, concluyendo que el reconocimiento facial no era indispensable para el control de acceso. Como consecuencia, ordenó la suspensión del sistema y abrió un procedimiento sancionador con una multa de 420.000 euros.

Este caso no es aislado. En el ámbito laboral, la AEPD ha sancionado recientemente a otra empresa por utilizar reconocimiento facial para el control horario de sus empleados. La empresa no había realizado una Evaluación de Impacto en Protección de Datos (EIPD) ni ofrecía una alternativa para fichar, obligando a los trabajadores a usar la biometría sin otra opción. Además, la AEPD consideró que la base jurídica utilizada para el tratamiento, también basada en el consentimiento de los empleados, no era válida, ya que en el contexto laboral difícilmente puede considerarse que el consentimiento sea libre debido a la relación de subordinación con el empleador. Como resultado, la empresa fue multada con 220.000 euros.

Ambas resoluciones reflejan un criterio restrictivo de la AEPD respecto a la biometría. La Agencia ha dejado claro que el uso de datos biométricos solo es lícito si se demuestra que es absolutamente necesario y que no existen alternativas menos intrusivas. Además, ha reforzado la idea de que el consentimiento no puede utilizarse como una excusa para evitar este análisis de necesidad y proporcionalidad, especialmente en contextos donde los interesados pueden sentirse presionados para aceptar el tratamiento.

Lo curioso, gracias a la magnífica newsletter de Jorge García Herrero es ver como en otros países de la Unión Europea se han podido admitir sistemas de biometría, como por ejemplo para el acceso a los estadios de fútbol. La Agencia de Protección de Datos danesa ha autorizado el uso de reconocimiento facial en el estadio del F.C. Copenhague, pero lo ha hecho bajo un marco legal bien definido y con condiciones estrictas. La diferencia clave radica en que el tratamiento de datos biométricos en Dinamarca ha sido legitimado bajo el artículo 9.2.g del RGPD, que permite excepciones a la prohibición de tratar datos sensibles cuando el tratamiento es necesario por razones de interés público esencial. Sin embargo, este no es un criterio automático: la Ley de Protección de Datos de Dinamarca establece en su artículo 7.4 que, si el tratamiento no es realizado por una autoridad pública, debe contar con una autorización expresa de la Agencia de Protección de Datos, que evalúa su proporcionalidad y necesidad antes de conceder el permiso.

El sistema implementado por el F.C. Copenhague fue aprobado tras una evaluación de impacto y bajo condiciones muy estrictas. Solo puede utilizarse en partidos de alto riesgo y en competiciones oficiales, los datos solo se almacenan si coinciden con las listas de sancionados del club o de la policía y, en caso contrario, deben eliminarse inmediatamente después del partido. Además, el almacenamiento se realiza con cifrado y en una red separada de Internet, con medidas adicionales como controles de acceso reforzados y autenticación multifactor. También se estableció la obligación de informar claramente a los aficionados sobre el uso de la biometría, asegurando transparencia en el proceso.

A primera vista, el caso danés parece totalmente opuesto al español, pero si se analiza en profundidad, la diferencia radica más en el procedimiento seguido que en el fondo del asunto. La legislación danesa permite el tratamiento siempre que se obtenga una autorización previa basada en el interés público esencial, algo que en España no se recoge en la LOPDGDD.

La AEPD no ha descartado completamente la biometría, pero es estricta en la interpretación de la necesidad y proporcionalidad, exigiendo que el uso de estos sistemas esté plenamente justificado y acompañado de garantías sólidas. Si un club de fútbol español adoptara un modelo similar al del F.C. Copenhague, con un juicio de necesidad, idoneidad y proporcionalidad estricto, con una aplicación limitada a contextos de alto riesgo y medidas de seguridad avanzadas, podría defenderse quizá con mayores probabilidades de éxito.

El debate sigue abierto. ¿España endurece en exceso su postura o simplemente aplica con rigor el RGPD? ¿Es viable un modelo intermedio que permita el uso de la biometría con garantías suficientes? Lo que está claro es que cualquier entidad que quiera implementar reconocimiento facial deberá demostrar su absoluta necesidad, contar con medidas de seguridad avanzadas y garantizar que los derechos de los ciudadanos no se vean comprometidos.

Si no quieres perderte artículos como este date de alta en nuestro newsletter. Todos los viernes en tu bandeja de entrada!

La entrada El uso de la biometría sigue dando disgustos; sanciones tanto para el acceso a los estadios como para el ámbito laboral. aparece primero en Iurismática Abogados - Derecho Digital.

Estamos en Halloween, una fecha que inevitablemente nos lleva a pensar en el tema de la muerte y, por supuesto, también en la presencia digital que dejamos tras de nosotros. Con el auge de la inteligencia artificial, surge la reflexión ¿qué pasa con nuestros datos y nuestra imagen digital una vez que ya no estamos? Mientras se celebran los recuerdos de los seres queridos que ya partieron, resulta inquietante imaginar que, a través de IA, hoy existen herramientas que permiten recrear conversaciones, personalidades y hasta la voz de los difuntos. Este fenómeno, inmortalidad digital, se ha vuelto posible gracias a plataformas como SeanceAI las cuales ofrecen una especie de «reencuentro» virtual mediante simulaciones digitales.

Ya estuvimos hablando anteriormente sobre los «griefbots» y «chatbots para el duelo» que prácticamente, como comentamos, se refieren al mismo concepto: programas de inteligencia artificial diseñados para interactuar con personas que pueden estar en proceso de duelo, utilizando datos, imágenes, información, etc. de seres queridos fallecidos.

Con estos avances, los griefbots , o los chatbots para el duelo uno puede «hablar» con una versión digital de un ser querido fallecido. Estas plataformas recrean patrones de voz, expresiones y hasta las mismas frases de los fallecidos, usando datos recopilados para mantener un vínculo que, aunque artificial, tiene un impacto emocional en quienes buscan consuelo o simplemente desean revivir un último recuerdo. Como comentamos esta posibilidad también abre una serie de dilemas éticos y jurídicos sobre cómo proteger la memoria y la imagen del fallecido y los límites que deben respetarse para asegurar que este «reencuentro» virtual se haga con el respeto y la privacidad que merecen los difuntos.

Ahondando en lo que ya abordamos anteriormente, cabe recordar que el Reglamento General de Protección de Datos (RGPD), limita su alcance a la protección de los datos personales de personas vivas y no protege los datos de personas fallecidas.

Entonces ¿como podemos enfrentarnos a estos sistemas? si revisamos la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), en la parte de derechos digitales se incluyeron premisas que permiten a los herederos  de alguna manera gestionar o incluso eliminar datos personales del fallecido en redes sociales y plataformas digitales. Esto ofrece a los familiares una herramienta de control sobre el legado digital, permitiéndoles suprimir o rectificar cualquier contenido que consideren que vulnera la memoria o dignidad de su ser querido​​. Sin embargo se refiere únicamente a datos personales y al contenido de esas redes sociales, por ello no solo no podemos quedar con esta normativa.

Además, la Ley Orgánica 1/1982 ampara el derecho de imagen y el respeto a la memoria de las personas fallecidas, lo que otorga a los herederos el derecho de impedir el uso no autorizado de la imagen, voz o cualquier representación de la personalidad del difunto. Este marco establece que, aunque la persona no haya dado su consentimiento en vida para su recreación digital, los herederos tienen la potestad de decidir sobre su uso, evitando que se emplee de manera inapropiada o comercial. Para que una plataforma digital reproduzca la imagen o voz de una persona fallecida, es imprescindible contar con la autorización explícita de sus familiares, protegiendo así el recuerdo de quien ya no está​​.

Un aspecto adicional que genera preocupación es la posibilidad de que estas recreaciones digitales tengan fines comerciales. Imaginemos que, durante una conversación con el avatar de un ser querido, este Griefbot sugiera de forma sutil productos o servicios en nombre de esa persona. Esto plantea implicaciones éticas importantes y afecta la experiencia de los familiares, al introducir una dimensión comercial en un entorno que debería ser exclusivamente de consuelo. Así, las plataformas deberían comprometerse a limitar el uso de estos avatares a fines personales y de conmemoración, ofreciendo garantías de que los datos y la imagen del fallecido serán tratados con el respeto que merecen​​ y conforme a la Ley Orgánica 1/1982.

Para facilitar la planificación del legado digital, la LOPDGDD también incluyó la figura del testamento digital, en el que cualquier persona puede designar un representante para gestionar sus datos en redes sociales, correo electrónico y servicios de almacenamiento en la nube tras su muerte. Este testamento permite que la voluntad del fallecido se respete en todos los aspectos de su presencia digital, asegurando que su legado digital sea tratado de acuerdo con sus deseos y facilitando a los herederos la toma de decisiones en un tema tan sensible​​.

Como vemos la legislación intenta equilibrar el respeto a la memoria de quienes han partido con las nuevas oportunidades que ofrecen las tecnologías digitales. Pero en última instancia, la responsabilidad de definir cómo queremos que se gestione nuestro legado digital recae en nosotros mismos. En lugar de dejar a nuestros seres queridos la carga de decidir, en un momento emocionalmente difícil, qué hacer con nuestros perfiles, nuestras conversaciones y otros recuerdos en línea, podemos tomar esa decisión de manera anticipada. Usando un testamento digital, podemos asegurarnos de que nuestra presencia digital y nuestra memoria sean tratadas con el respeto y la privacidad que deseamos, dejando instrucciones claras para quienes nos sobreviven. Así, podemos proteger tanto nuestra imagen como la tranquilidad de nuestros familiares, evitando decisiones difíciles y, sobre todo, preservando nuestra voluntad y nuestra esencia en el ámbito digital.

Si no quieres perderte artículos como este date de alta en nuestro newsletter. Todos los viernes en tu bandeja de entrada!

La entrada La era de la inmortalidad digital impulsada por la IA aparece primero en Iurismática Abogados - Derecho Digital.

¡Suscribete a nuestro newsletter si no quieres perderte artículos como este!

Michael: Buenos días, KITT. ¿Qué tenemos para hoy?

KITT: Buenos días, Michael. Antes de continuar, debo recordarte que cualquier dato personal que recojamos debe ser tratado conforme al RGPD. Además, debo aclarar que no poseo sentimientos ni la capacidad de experimentar emociones, conforme a las regulaciones sobre IA en Europa.

Michael: (Con un suspiro) Sí, KITT, lo sé. ¿Puedes darme un resumen rápido de la misión?

KITT: Claro, Michael. Hemos recibido informes de actividades sospechosas en el centro de la ciudad. Sin embargo, debemos asegurar que cualquier recolección de datos personales sea mínima y estrictamente necesaria.

Michael: Entendido, KITT. ¿Has revisado los datos disponibles en la base de datos de la policía?

KITT: Estoy accediendo a la base de datos ahora… Recuerda que solo podemos acceder a la información necesaria para nuestra misión, cumpliendo con todas las medidas de seguridad.

Michael: (Con impaciencia) KITT, ya sé todo eso. Solo dime qué tienes sobre los sospechosos.

KITT: He encontrado información sobre tres individuos. Estos datos incluyen antecedentes penales y perfiles públicos. Debemos asegurarnos de que el uso de estos datos sea justificado y proporcional.

Michael: (Con un tono más impaciente) Sí, sí, lo sé. Solo dime lo que necesitamos saber.

KITT: Entendido, Michael. Los sospechosos son John Doe, Jane Smith y Richard Roe. John Doe tiene antecedentes de robo, Jane Smith está vinculada a fraudes electrónicos y Richard Roe tiene una orden de arresto por agresión.

Michael: Perfecto. Mantén la vigilancia y asegúrate de cumplir con todas las normativas. Pero por favor, KITT, podemos saltarnos algunas de las advertencias innecesarias.

KITT: Lo siento, Michael, pero estoy programado para asegurar el cumplimiento de todas las regulaciones de protección de datos y IA. Siempre estaré aquí para apoyarte dentro de esos límites.

Michael: (Suspirando) Está bien, KITT. Vamos a seguir adelante con la misión.

KITT: Activando modo de conducción autónoma y asegurando la privacidad de los datos. Recuerda, Michael, mi programación no me permite tener sentimientos, pero siempre estaré aquí para asistirte de la mejor manera posible.

Michael: Gracias, KITT. Apreciaría un poco más de rapidez a veces, pero sé que estás haciendo tu trabajo.

KITT: Entendido, Michael. Según los datos de tráfico en tiempo real, hay congestión en la ruta principal. Calculando una ruta alternativa… Ruta optimizada. La nueva ruta nos llevará 10 minutos menos.

Michael: Genial. Mantén la vigilancia y avísame si surge algo.

KITT: Por supuesto, Michael. Manteniendo una distancia segura con los vehículos cercanos y monitoreando el entorno para detectar cualquier obstáculo. También aseguro que todos los datos personales recogidos durante la conducción sean tratados conforme al RGPD.

Michael: KITT, he notado que a veces tomas decisiones sin explicarme por qué. Necesito entender mejor tus procesos.

KITT: Michael, todas mis decisiones se basan en algoritmos optimizados para la seguridad y eficiencia. Sin embargo, puedo proporcionarte un informe detallado de cada decisión que tomo para mayor transparencia.

Michael: (Irritado) KITT, no tengo tiempo para revisar informes todo el tiempo. Necesito que seas más claro y directo en tus explicaciones.

KITT: Entiendo, Michael. Implementaré un sistema de auditoría de decisiones más accesible para que puedas revisar las razones detrás de cada acción sin necesidad de informes extensos. Esto incluirá resúmenes breves y destacando los puntos clave de cada decisión.

Michael: (Más irritado) Eso está bien, pero me gustaría que no me inundaras con detalles innecesarios en medio de una misión. A veces, necesito decisiones rápidas y directas sin tanto análisis.

KITT: Michael, según las regulaciones de la IA, debo asegurarme de que todas mis decisiones sean transparentes y justificables. Si necesitas una explicación rápida, puedo ofrecerte una versión resumida.

Michael: (Frustrado) ¡KITT, ya entiendo! Solo necesito que seas más eficiente. Devon y Bonnie estarán revisando todas tus auditorías si seguimos así.

KITT: Comprendo, Michael. Mi programación prioriza la transparencia y la seguridad. Haré lo posible por ser más conciso en el futuro.

Michael: (Respirando profundamente) Bien, vamos a centrarnos en la misión. Necesito que te enfoques en la tarea y que me informes solo lo esencial.

KITT: Activando modo de prioridad en la comunicación para proporcionar solo la información esencial. Procediendo con la ruta planificada.

Michael: Aprecio eso, KITT. Sigamos adelante.

Michael: KITT, necesitamos llegar al centro de la ciudad lo antes posible. ¿Puedes activar el Turbo Boost?

KITT: Michael, debo recordarte que el uso del Turbo Boost puede infringir varias leyes de tráfico y regulaciones de seguridad. Según las normativas actuales, debo asegurarme de que cualquier maniobra extrema sea segura y justificada.

Michael: (Impaciente) KITT, no tenemos tiempo para seguir todas las regulaciones ahora. Es una emergencia.

KITT: Entiendo la urgencia, Michael. Sin embargo, las regulaciones sobre conducción autónoma y seguridad vial prohíben el uso de tecnologías que puedan poner en riesgo a los peatones y otros conductores. Solo puedo usar el Turbo Boost en situaciones donde no haya peligro para nadie y esté completamente justificado.

Michael: (Frustrado) KITT, ¡esos chicos pueden escapar si no llegamos a tiempo!

KITT: Michael, analizaré la situación y determinaré si hay un tramo seguro donde se pueda utilizar el Turbo Boost sin riesgo. Evaluando el entorno ahora…

Michael: (Impaciente) ¡Vamos, KITT! ¿Qué estás esperando?

KITT: Michael, la evaluación de riesgos es esencial. Encontré un tramo de carretera desocupado en 500 metros. Activaré el Turbo Boost allí, asegurando que no haya peligro para otros. Preparándome para activar el Turbo Boost…

Michael: Bien, pero necesitamos movernos rápido. Mantén los ojos abiertos y avísame si algo cambia.

KITT: Por supuesto, Michael. Activando el Turbo Boost en 3… 2… 1… Ahora.

Michael: ¡Eso es, KITT! ¡Vamos por ellos!

KITT: Manteniendo la velocidad máxima segura. Informaré a Devon y Bonnie sobre esta maniobra para que revisen las justificaciones en el informe de auditoría.

Michael: (Resignado) Está bien, KITT. Solo asegúrate de que lleguemos a tiempo.

KITT: Siempre, Michael. Procediendo con la máxima eficiencia y seguridad.

Michael: KITT, necesitamos identificar a todos los sospechosos en esta área. ¿Puedes usar el reconocimiento facial?

KITT: Michael, debo recordarte que el uso de tecnologías de reconocimiento facial en espacios públicos explícito de las personas está prohibido según las regulaciones de IA y protección de datos.

Michael: (Impaciente) Pero necesitamos actuar rápido. ¿No puedes hacer una excepción?

KITT: Lamentablemente, no puedo. Debo cumplir estrictamente con las regulaciones. Podemos buscar métodos alternativos para identificar a los sospechosos.

Michael: (Suspirando) Está bien. ¿Puedes acceder a los registros de comunicaciones privadas para obtener más información?

KITT: Michael, interceptar o intervenir en comunicaciones privadas sin autorización judicial está prohibido. No puedo realizar esa acción.

Michael: (Frustrado) KITT, necesitamos toda la información posible. ¿Qué más puedes hacer?

KITT: Podemos recopilar información disponible públicamente y utilizar técnicas de análisis de datos dentro de los límites legales. También podemos solicitar apoyo de las autoridades competentes.

Michael: (Resignado) Bien, haremos lo que podamos con los recursos disponibles. Solo asegúrate de mantenernos dentro de los límites legales.

KITT: Siempre, Michael. Procederé con la recopilación de información pública y la colaboración con las autoridades. Mantendré un registro detallado de todas las acciones para asegurar el cumplimiento con las regulaciones.

Michael: Gracias, KITT. Aprecio tu diligencia, aunque a veces desearía que pudiéramos actuar con más flexibilidad.

KITT: Entiendo, Michael. La seguridad y la legalidad son prioritarias para asegurar que nuestras acciones sean siempre justificadas y proporcionales.

¿Creéis que finalmente Michael y KiTT atrapan al malo de la película?

Si no quieres perderte artículos como este date de alta en nuestro newsletter. Todos los viernes en tu bandeja de entrada!

La entrada ¿Y si el coche fantástico tuviera que cumplir con la normativa europea? aparece primero en Iurismática Abogados - Derecho Digital.

La inteligencia artificial, con su capacidad para crear y modificar imágenes con un realismo sorprendente, plantea desafíos legales sin precedentes.

Hace años escribí un artículo que generó cierta polémica en la época donde abordaba el tema del lolicon, una representación artística o literaria de menores en contextos eróticos o sexuales. En aquel momento, el debate se centraba en la intersección entre la protección de menores y la libertad de expresión. Sin embargo, con el avance de la tecnología, en particular la inteligencia artificial, la discusión ha tomado un giro más complejo. Un claro ejemplo de esto es el reciente caso, donde se han generado imágenes realistas de menores desnudas utilizando esta tecnología avanzada. Este suceso resalta las inquietudes emergentes sobre el potencial mal uso de las innovaciones tecnológicas para representaciones inapropiadas de menores. En este contexto, el artículo 189 del Código Penal vuelve a entrar en juego al penalizar la pornografía infantil: Imágenes realistas de un menor participando en una conducta sexualmente explícita o imágenes realistas de los órganos sexuales de un menor, con fines principalmente sexuales. Y cuidado, no solo a quienes generen este tipo de imágenes, sino también a quienes las almacenen, compartan o difundan, incluyendo, como hemos comentado, representaciones generadas artificialmente.

Además de las implicaciones penales, hay otras consideraciones legales a tener en cuenta. La creación y difusión de estas imágenes puede ser considerada una intromisión ilegítima en el derecho a la imagen, según lo establecido en la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. Asimismo, se debe considerar que la imagen es un dato de carácter personal, por lo que su tratamiento inadecuado podría incurrir en infracciones en materia de protección de datos personales.

En conclusión, la generación, almacenamiento y difusión de imágenes de menores desnudos/as utilizando inteligencia artificial no solo es éticamente cuestionable, sino que también es ilegal según la legislación española. Es esencial que, como sociedad, estemos informados y tomemos medidas para proteger a los más vulnerables, garantizando que la tecnología se utilice de manera responsable, ética y conforme a la normativa vigente.

La entrada ¿Es delito generar imágenes de menores desnudos/as con inteligencia artificial? aparece primero en Iurismática Abogados - Derecho Digital.