Los deepfakes han pasado de ser una curiosidad tecnológica a convertirse en una amenaza real para la privacidad, el honor y la seguridad de las personas. Con el Reglamento de Inteligencia Artificial (RIA) de la UE se establecen nuevas salvaguardas para frenar el abuso de esta tecnología, pero ¿es suficiente? En este artículo exploramos cómo el RIA aborda los deepfakes, los riesgos que suponen y las medidas que las plataformas y las víctimas pueden tomar.
El Reglamento (UE) 2024/1689 del Parlamento europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial, en adelante RIA); define los “deepfakes” (ultrasuplantación) como un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeja a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos (art. 3.60).
Se producen usando aprendizaje profundo (deep learning) y redes generativas antagónicas (GANs), que operan a través de dos redes neurales: generador (crear imágenes audios o vídeos sintéticos) y el discriminador (evalúa los resultados del generador e intenta distinguirlos de los datos reales).
Los contenidos de los deepfake se refieren a imágenes (por ejemplo, fotografías), sonidos (por ejemplo, conversaciones) o a vídeos con sonidos o textos (por ejemplo, noticias escritas). Por otro lado, pueden ser manipulados por IA, es decir, cuando el usuario aporta de forma previa documentos; o, pueden ser generados por IA, es decir, cuando es la IA la que usa datos de los que ya dispone sin que el usuario haya aportado ningún documento.
- ¿Por qué son peligrosos los deepfakes?
Cabe destacar que en un mundo como en el que vivimos ahora donde el entretenimiento ocupa un papel fundamental, los deepfakes encuentran su lugar al ser utilizados con fines de entretenimiento o creatividad. Sin embargo, lo que preocupa es cuando son utilizados de forma mal intencionada, ya que pueden afectar negativamente a personas y al interés público.
Los deepfakes son producciones sintéticas con un alto grado de realismo que pueden afectar negativamente a personas y al interés público. Suelen inducir a la desinformación o al engaño. Se han utilizado en fraudes en línea, desinformación, engaños, extorsión y pornografía de venganza. Las técnicas de entrenamiento de IA, como el aprendizaje automático, permiten incorporar decenas de fotografías a un algoritmo que crea máscaras humanas convincentes que reemplazan las caras de cualquier persona en un vídeo, mediante el uso de datos parecidos y permite que el software se capacite para mejorar con el tiempo. Por ejemplo, se ha usado mucho en vídeos falsos, en los que se cambia el rostro de una celebridad por la de una actriz de pornografía, cuyo cuerpo sí que aparece.
El primer problema que nos encontramos es que la eliminación del deepfake no resuelve los efectos perjudiciales del contenido de éste (no mejora la posición jurídica de la víctima respecto del efecto perjudicial ni la restauración de su reputación). El segundo problema es que no todas las plataformas de medios sociales lo tratan como contenido de desinformación. El tercer problema se relaciona con la conceptualización del término: su definición sigue resultando imprecisa por lo que la legislación no puede proteger eficazmente a los afectados.
También afecta a numerosas mujeres, anónimas, cuyas exparejas o amantes han usado la tecnología para vengarse de ellas y humillarlas, herirlas y degradarlas tanto en la red como en sus vidas cotidianas (en lo personal y en lo laboral).
Asimismo, no se trata solo de imágenes o escenas de contenido sexual, como ya se ha adelantado, sino de cualquier otro cuyo contenido puede afectar/manipular a la opinión pública en cualquier ámbito. Por ejemplo, un político reconociendo que la propuesta del partido contrario es mucho mejor que la suya; un grupo de seguidores de un equipo de futbol que, de forma violenta, invaden el campo y agreden a los jugadores del equipo rival… Afecta a la vida personal y profesional de una persona en la medida en que se utilizan para humillar, herir y degradar a los objetivos de estos deepfakes.
- ¿A qué derechos afectan?
La existencia de los deepfakes es muy incipiente, actualmente se dispone del RIA. Los deepfakes afectan fundamentalmente al derecho a la propia imagen, al honor, a la intimidad, puede constituir un delito de injuria, un delito de odio o atentar contra el derecho a obtener una información veraz.
Por ejemplo, a través del deepfake no se difunden imágenes íntimas reales, pero sí creadas o figuradas, para que parezcan reales, de la intimidad de las personas a las que se simula. Como suelen ser escenas eróticas o pornográficas, que atentan contra la vida privada y lesionan la dignidad de la persona, con fines de descrédito y burla, y/o lucro. Por otro lado, la injuria es la acción o expresión que lesiona la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación. Es por ello por lo que, el deepfake, perjudicaría a una persona en estos mismos términos. Asimismo, se vulnera normativa de protección de datos o privacidad ya que existe una difusión de información que, aunque sea esencialmente falsa, se aprovecha de datos personales reales, como el rostro de una persona o, en ocasiones, la voz, y esto desemboca en el tratamiento de datos personales sin el consentimiento del afectado.
- Normativa que regula o proporciona salvaguardas en relación con los deepfakes
Existen documentos que guían en este sentido (Libro Blanco sobre la IA, El Proceso de IA de Hiroshima, entre otros), sin embargo, la única regulación per se que se maneja hoy en día en relación con la IA es el Reglamento IA, no está en sí tipificado el deepfake en ninguna norma. Lo que está claro es que por el modo en el que afecta a las personas violan derechos, tales como: el derecho a la propia imagen, al honor, a la intimidad, puede constituir un delito de injuria, un delito de odio o atentar contra el derecho a obtener una información veraz.
En la regulación europea, a través del RIA, se precisa que, en vista de los efectos producidos por la diversidad de sistemas de IA, se exige a los proveedores de tales sistemas que integren soluciones técnicas que permitan marcar y detectar que el resultado de salida ha sido generado o manipulado por IA y no por un ser humano (Considerando 133). Lo mismo se dice en relación con los proveedores del sistema de IA o para los responsables del despliegue que utilicen IA para generar o manipular un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeje de forma notoria a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos (Considerando 134). También deberán indicar de forma pública, clara y distinguible, que este contenido ha sido creado o manipulado de manera artificial.
Aunque no se aplica directamente a la tecnología deepfake, sí que resulta conviene destacar la DSA (Reglamento de Servicios Digitales), que se centra en proteger los derechos fundamentales, la privacidad de los datos y la protección de las partes interesadas, regulando la evaluación de riesgos por grandes plataformas en línea.
Un ejemplo práctico centrado en un caso real en España podría ser, por ejemplo, una menor que se ve afectada por la creación y difusión de imágenes realistas de ella desnuda. Interviene la CE (art. 18, derecho al honor, intimidad personal y familiar y a la propia imagen; y, la limitación del uso de la informática y la LO 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, por llevar a cabo una intromisión ilegítima en el derecho a la propia imagen de la menor. Además, existen implicaciones penales por la vulneración de la intimidad del menor (art. 197 CP), por pornografía simulada mediante IA (art. 189 CP) y por extorsión (art. 243 CP).
Actualmente, en España, la AEPD ya impone multas por las ciberagresiones que comenten sus hijos. La AEPD inicia su propio procedimiento sancionador, si se trata de menores, los padres tienen responsabilidad subsidiaria. Tanto los padres del infractor que graba y distribuye, como los padres del menor que solo lo difunde. Por ello, estos padres, madres o tutores legales, pueden llegar a tener que responder económicamente por las infracciones administrativas y conductas delictivas de sus hijos menores de edad, así como por los daños y perjuicios materiales y morales causados. La primera sanción a padres de menores llegó en 2022 y han oscilado entre los 5.000 euros hasta los 10.000 euros.
- ¿Tienen las plataformas en línea obligación de regularla este tipo de contenido que se publica en ellas?
Hasta cierto punto existe una “obligación” de retirar el contenido, se hace una vez que se ha comprobado que es ilícito, no ante la sospecha, incluso alguna página desvincula cualquier contenido que se pueda visualizar que vaya unido al concepto “deepfake”, por ejemplo. El problema es que es un contenido al que se puede llegar desde diferentes vías y quien lo quiere consumir acaba haciéndolo. De hecho, fue un caso sonado, se llegaron a difundir vídeos deepfake de menores manteniendo relaciones y como no se podía rastrear de donde venían, la persona o personas que los pusieron a disposición de los usuarios se lucraron un montón, hasta el punto, de que hubo colas de gente esperando para poder visualizar el contenido.
El RIA establece un nuevo sistema preventivo para evitar la violación de estos derechos. Regula unas obligaciones de transparencia dirigidas a dos tipos de sujetos:
- Proveedores de sistemas de IA (personas físicas o jurídicas que desarrollen un sistema de IA o un modelo de IA). El art. 50.2 RIA establece que deben velar por que los resultados del sistema de IA estén marcados en un formato legible por máquina y que sea posible detectar que han sido generados o manipulados de manera artificial. Esto no aplicará en el caso de que los sistemas de IA se limiten a apoyar la edición estándar o no alteren de forma sustancial los datos de entrada facilitados por el responsable del despliegue o su semántica, o cuando estén autorizados por la ley para detectar, prevenir, investigar o enjuiciar delitos.
- Responsables del despliegue (personas físicas o jurídicas que usen un sistema de IA bajo su propia autoridad). En el art. 50.4 RIA se indica que deben hacer público que esos contenidos o imágenes han sido generados o manipulados de manera artificial, es decir, deben ir acompañados por una “marca de agua” que advierta que son deepfakes.
- ¿Qué puede hacer alguien afectado por un deepfake?
Si somos víctimas de un deepfake, o eso creemos, será fundamental acudir ante las Fuerzas y Cuerpos de Seguridad del Estado para denunciar lo ocurrido. A raíz de esto se podrá optar por las diferentes vías que se abran para proceder con el enjuiciamiento de los hechos que se hayan cometido.
Se puede acudir directamente al canal prioritario de la AEPD. Es un canal indicado para situaciones donde exista una sensibilidad, ya sea por cuestiones sexuales o en compartición de imágenes víctimas, o bien donde se vean agresiones, en temas da acoso escolar, fundamentalmente. Asimismo, existe una vía preferente que pone a disposición de los interesados la AEPD, en base al art. 52 de la LO de protección integral a la infancia y la adolescencia frente a la violencia.
Por su parte, el Instituto Nacional de Ciberseguridad recomienda notificar lo ocurrido al INCIBE-CERT, un servicio propio que pone a disposición de los afectados un apoyo operativo ante ciberamenazas o ante la ocurrencia de ciberincidentes.
En concreto, este servicio va dirigido a ciudadanos, empresas, instituciones, operadores esenciales o proveedores de servicios digitales que crean o tengan comprobado que están siendo víctimas de ciberataques y quieran denunciarlo.
Los afectados por el uso de deepfakes disponen de los mecanismos de defensa en relación con los prestadores de servicios de alojamiento de datos establecidos en el Reglamento (UE) 2002/2065 de Servicios Digitales. En este sentido, dichos prestadores deberán establecer mecanismos que permitan a cualquier persona que les notifique la presencia en su servicio de elementos de información que esa persona considere que se trata de contenido ilícito (art. 16.1). los prestadores de servicios de alojamiento de datos adoptarán sus decisiones respecto de esas notificaciones en tiempo oportuno y de manera diligente, no arbitraria y subjetiva.
CONCLUSIONES
La nueva regulación trata de salir del paso de los daños que los nuevos contenidos puedan generar a personas concretas y al interés público. Se trata de obligaciones preventivas basadas en advertir al público de la falsedad del contenido. El debate que se sigue manteniendo se centra en si es crucial que existan leyes que prohíban la creación y distribución de deepfakes malintencionados o si con la legislación actual es suficiente.
Resulta relevante destacar la importancia, en aras a paliar los efectos negativos de los deepfakes, del desarrollo y la implementación de tecnologías capaces de detectarlos. Esto incluye el uso de tecnología para analizar vídeos y audios en busca de signos de manipulación, para lo que resultaría esencial la colaboración entre gobiernos y la industria tecnológica, como mínimo.
También se pueden llevar a cabo campañas de información y concienciación al público sobre la existencia y los riesgos de los deepfakes. Esto ayudaría a identificar el contenido falso y a verificar la información antes de compartirla, por ejemplo. Asimismo, las grandes compañías y corporaciones tecnológicas pueden minimizar los canales de comunicación susceptibles de ser objeto de ataques de deepfake y desarrollar planes de respuesta ante la desinformación, tratándola como, por ejemplo, una brecha de seguridad.
