Desde Albania hasta Uruguay — y con Noruega en la lista. Un llamamiento de coalición históricamente amplio de 61 autoridades de protección de datos de todo el mundo dirige ahora fuertes críticas a los productores de herramientas de IA generativa, con los deepfakes como la principal amenaza para la privacidad y la integridad de la información.
La Autoridad Noruega de Protección de Datos (Datatilsynet) se encuentra entre los firmantes, según Digi.no, y la señal del mercado es clara: las empresas tecnológicas que desarrollan y ofrecen herramientas para crear contenido manipulado artificialmente se enfrentarán a una resistencia coordinada e internacional.
¿Cuál es exactamente el problema con los deepfakes?
Los deepfakes – videos, audios o imágenes manipulados digitalmente que representan a personas reales en situaciones en las que nunca estuvieron – han existido durante algunos años, pero la calidad y disponibilidad de las herramientas han explotado en el último año. Esto hace que el problema sea mucho más apremiante que antes.
Las autoridades de protección de datos señalan una serie de consecuencias graves: la propagación de desinformación, el robo de identidad, el fraude y, no menos importante, las imágenes íntimas no consensuadas – la llamada «pornografía deepfake» – que afectan gravemente a las personas.
– Esto dice algo sobre la gravedad del desarrollo, según las fuentes que cubren la iniciativa global.
La legislación existente ya se aplica, pero rara vez se cumple
Un punto central de la iniciativa es que los deepfakes que involucran a personas reconocibles ya están regulados bajo la legislación de protección de datos existente. En Europa, esto significa el RGPD.
Cuando una herramienta de deepfake utiliza el rostro, la voz o el cuerpo de alguien de manera reconocible, es por definición un tratamiento de datos personales, y esto requiere una base legal, en la mayoría de los casos el consentimiento explícito de la persona en cuestión.
La Autoriteit Persoonsgegevens (AP) de los Países Bajos y el Comité Europeo de Protección de Datos (CEPD) han enfatizado previamente este punto. Los datos biométricos, como los rasgos faciales, son una categoría particularmente sensible según el Artículo 9 del RGPD, y el tratamiento de dichos datos está, en principio, prohibido sin consentimiento explícito.
El Reglamento de IA de la UE establece nuevos estándares
El Reglamento de IA de la UE, que entrará en vigor gradualmente a partir de 2025, introduce requisitos vinculantes para que los sistemas de IA que generen deepfakes etiqueten claramente el contenido como producido artificialmente. Las violaciones de las disposiciones más graves pueden dar lugar a multas de hasta el seis por ciento de la facturación global de una empresa, según las fuentes disponibles.
China, por su parte, ha introducido sus propias reglas de «síntesis profunda» que exigen la marca de agua o el marcado de texto de todo el contenido generado por IA. La Ley de Seguridad en Línea del Reino Unido de 2023 obliga a las plataformas a eliminar imágenes íntimas no consensuadas, incluidos los deepfakes.
La detección se queda atrás de la tecnología
Un problema recurrente que se destaca en el material de investigación en torno a la iniciativa es que la tecnología para detectar deepfakes todavía está muy por detrás de la tecnología para crearlos. Esto subraya la necesidad de regulación y competencia digital en la población, no solo de soluciones tecnológicas.
El mensaje colectivo de las autoridades de protección de datos es que la industria no puede esperar a que las herramientas de detección se pongan al día. La responsabilidad debe recaer en quienes crean y distribuyen las herramientas, no exclusivamente en el consumidor o en la persona afectada.
¿Qué significa esto para las empresas noruegas?
Para las empresas y desarrolladores noruegos que trabajan con IA generativa, el mensaje es claro: la participación de la Autoridad Noruega de Protección de Datos en esta iniciativa internacional señala una mayor atención y, probablemente, una supervisión más estricta. Las empresas que procesan datos biométricos en relación con contenido generado por IA deben revisar sus bases legales y documentar sus evaluaciones de riesgo.
El RGPD ya se aplica, el Reglamento de IA de la UE está en camino, y ahora 61 autoridades de supervisión han indicado que van en la misma dirección, y que cooperan para aplicarlo.