Impacto de la IA en la protección de datos: el “caso Clothoff”.

A principios de este mes de octubre, el Garante italiano para la protección de datos (Garante), adoptó, mediante procedimiento urgente y con carácter provisional, una resolución que ordena la limitación inmediata del tratamiento de datos personales por parte de la empresa responsable de la aplicación Clothoff.

La resolución del Garante

La aplicación permite a los usuarios subir imágenes de personas y, mediante un sistema de inteligencia artificial (IA), generar nuevas imágenes, entre ellas imágenes que pueden afectar al honor de las personas físicas (p. ej. desnudos, situaciones comprometidas, etc.).

Los términos y condiciones de la aplicación prohíben el uso de imágenes de terceros sin su consentimiento, exigen la mayoría de edad para registrase y, aparentemente, prevén la implementación de medidas técnicas para evitar el uso de imágenes de menores de 20 años. No obstante, el Garante ha constatado que estas salvaguardas son insuficientes, pudiendo resultar en una infracción de la normativa de protección de datos; en concreto:

• De los principios generales del tratamiento (licitud, exactitud y responsabilidad proactiva);
• De las obligaciones de protección de datos desde el diseño y por defecto, al no impedir el acceso de menores ni el uso de imágenes de menores.

Además, el Garante ha considerado que la marca de agua incorporada en las imágenes generadas por IA no resulta eficaz para prevenir usos indebidos.

Como consecuencia de lo anterior, el Garante ha ordenado la suspensión provisional de la aplicación mientras se realizan investigaciones adicionales.

Obligaciones de los proveedores de sistemas de IA

El caso analizado por el Garante tiene una vinculación clara con las obligaciones impuestas en el Reglamento de IA.

Como ya apuntábamos en nuestro artículo Retos legales de los avatares digitales que clonan influencers las herramientas que permiten la creación de deepfakes no constituyen sistemas de riesgo alto ni están prohibidos.

Las obligaciones para los proveedores de estos sistemas se encuentran, entre otros, en el artículo 50 (de aplicación a partir del 2 de agosto de 2026) que exige, a los proveedores de sistemas de IA que generen imágenes, audio, vídeo o texto sintéticos, la implementación de soluciones técnicas eficaces –como marcas de agua legibles por máquina– para identificar que el contenido ha sido generado o manipulado artificialmente. Además, deben garantizar que estas medidas sean robustas y fiables, teniendo en cuenta el estado de la técnica y los riesgos asociados.

En el caso analizado por el Garante, se consideró que la marca de agua aplicada no minimizaba adecuadamente los riesgos para los derechos de los afectados.

Supervisión en España y perspectivas regulatorias

Cabe recordar que la AEPD es la autoridad supervisora responsable para los tratamientos de datos realizados mediante sistemas de IA, también para los usos prohibidos, en la medida en que afecten al derecho a la protección de datos.

Además, la versión actual del anteproyecto de ley de IA española –todavía pendiente de aprobación– prevé que la AEPD asuma funciones como autoridad de vigilancia del mercado en aquellos ámbitos donde el Reglamento de IA exige independencia funcional, como ocurre con ciertas categorías de sistemas prohibidos.

La resolución analizada por el Garante, de forma parecida a la precedente decisión que ya reseñábamos en nuestra entrada El Garante limita temporalmente el chabot Replika en Italia, pone de manifiesto la relación entre el marco legal de la protección de los datos personales y la regulación de los sistemas de IA, que resultan elementos claves para garantizar una adecuada tutela de los derechos de las personas interesadas.

La resolución del Garante pone de manifiesto la relevancia del principio de “privacidad desde el diseño y por defecto” como elemento fundamental en el ciclo de vida de los sistemas de inteligencia artificial. Este principio exige que las salvaguardas técnicas y organizativas sean integradas de manera proactiva (ex ante), evitando soluciones meramente reactivas (ex post) que respondan únicamente a los riesgos identificados posteriormente. Además, recalca la importancia de garantizar transparencia hacia los usuarios finales, especialmente en la información que se les comunica acerca del funcionamiento y los riesgos asociados a estas herramientas. Aunque la resolución ha sido adoptada con carácter urgente y provisional, establece un estándar de cumplimiento que debe orientar el diseño, la implementación y la comunicación de aplicaciones como Clothoff en materias sujetas a supervisión.

Autores: Pablo Tena, con la colaboración de Aurora Righi