foto-ia-rgpd · 12 min

Foto profesional generada por IA: RGPD, derechos, lo que hay que saber

Conservación de selfies, derecho a la imagen, alojamiento, propiedad: las 5 preguntas jurídicas que hay que plantearse antes de usar una IA para la foto profesional.

Selfie Pro·
Foto profesional generada por IA: RGPD, derechos, lo que hay que saber

Contemplas usar una IA para generar tu foto de LinkedIn o tu retrato de CV. Antes de subir tu selfie, cinco preguntas jurídicas merecen una respuesta clara. Tu rostro no es un archivo cualquiera, y no todos los generadores son iguales frente al RGPD.

Por qué tu selfie no es un dato banal

Imagen = dato personal según el RGPD

Una foto que permite identificar a una persona física es un dato personal. Lo dice el artículo 4 del RGPD, y la CNIL lo recuerda en su doctrina sobre la IA generativa: voz e imagen constituyen datos personales en cuanto permiten la identificación de un individuo. Consecuencia directa: todo tratamiento de tu selfie por un generador de IA cae bajo el alcance del RGPD.

Esto implica una base legal en el sentido del artículo 6 del RGPD (consentimiento, contrato, interés legítimo), una información clara sobre el uso que se hace de él, y el respeto de los derechos de la persona afectada.

Selfie = dato biométrico potencial

El matiz es importante. La CNIL y el Comité Europeo de Protección de Datos consideran que una imagen en bruto, sin tratamiento técnico de identificación asociado (reconocimiento facial, codificación biométrica), no constituye en sí misma un dato biométrico en sentido estricto del RGPD. Pero en cuanto un sistema extrae puntos característicos del rostro para identificar o reidentificar a la persona, se pasa a la categoría de datos sensibles (artículo 9 del RGPD), con un nivel de exigencia mucho más alto.

Pregunta práctica: ¿sabes si el generador que utilizas almacena una codificación biométrica de tu rostro para reconstruir retratos posteriores? Si la respuesta es no, ya es una mala señal.

Las 5 preguntas que hay que hacer a todo generador de IA

¿Cuánto tiempo se conserva mi selfie?

La regla RGPD es simple: nada de conservación más allá de lo necesario para la finalidad del tratamiento (principio de limitación de la conservación, artículo 5.1.e del RGPD). Para generar un retrato a partir de un selfie, la duración necesaria es de unos segundos, el tiempo que el modelo produce la imagen.

Sin embargo, muchos servicios conservan el selfie original varios días, a veces varios meses, para entrenar sus modelos o mejorar su servicio. Verifica en las CGU y la política de confidencialidad: ¿anuncia el servicio explícitamente una duración de conservación? ¿Menciona un tránsito en memoria viva sin escritura en disco? Si la respuesta es vaga o ausente, considera que tu selfie está almacenado.

¿Dónde se alojan los datos?

La transferencia de datos personales fuera de la Unión Europea está estrictamente regulada (capítulo V del RGPD). Un servicio alojado en Estados Unidos, incluso con el Data Privacy Framework firmado en 2023, expone tus datos a reglas diferentes (Cloud Act, FISA). Para un uso profesional, particularmente en los oficios regulados o las funciones sensibles (finanzas, consultoría, jurídico), el alojamiento europeo es un criterio decisivo.

Verifica la mención de la región de alojamiento en la política de confidencialidad. "Alojado en AWS" no basta: ¿AWS Europe o AWS US-East? La precisión cuenta.

¿Mi rostro entrena el modelo?

Es la pregunta más resbaladiza. La CNIL recomienda explícitamente poder oponerse a la reutilización de los datos de uso por parte del proveedor del sistema. Concretamente: ¿sirve tu selfie para entrenar el modelo para futuros usuarios?

Si es sí, tu rostro se une potencialmente a un conjunto de entrenamiento cuyo uso ya no controlas. La CNIL reconoce ella misma que la extracción de un dato individual de un modelo ya entrenado presenta "dificultades técnicas" mayores. Dicho de otro modo: una vez tu rostro está en el modelo, retirarlo es técnicamente casi imposible.

¿Quién posee la foto generada?

El estatus jurídico de una imagen generada por IA sigue siendo un terreno movedizo en derecho francés. Se distinguen tres casos:

  • La imagen te representa fielmente: tu derecho a la imagen se aplica, independientemente de la tecnología que ha producido la imagen. Nadie puede publicar este retrato sin tu acuerdo.
  • La imagen es libremente reutilizable por el servicio: ciertos generadores se reservan una licencia de uso sobre las imágenes producidas (ilustraciones de marketing, base de ejemplos). Verifica las CGU.
  • Posees derechos de uso exclusivos: el servicio te cede la propiedad de la imagen generada para tu uso personal y comercial. Es el caso más protector.

Lee el párrafo "propiedad intelectual" o "licencia" de las CGU. Si nada se precisa, el vacío jurídico juega en tu contra.

¿Qué derecho de retirada y de supresión?

El artículo 17 del RGPD prevé un derecho a la supresión. La CNIL precisa que este derecho se aplica a las bases de entrenamiento y a los modelos mismos, aunque la práctica siga siendo técnicamente compleja.

Lo que debes verificar en cualquier generador:

  • existencia de un formulario o procedimiento de supresión de la cuenta y de los datos asociados
  • supresión efectiva de los selfies y fotos generadas
  • tratamiento de las solicitudes en menos de 30 días (plazo RGPD)
  • contacto de un delegado de protección de datos (DPO) si la estructura es importante

Una vez tu rostro está en un modelo de entrenamiento, retirarlo es técnicamente casi imposible.

Lo que dice la CNIL específicamente sobre la IA generativa

La CNIL publicó en abril de 2024 una serie de preguntas-respuestas sobre el uso de los sistemas de IA generativa. Tres puntos merecen ser retenidos para un uso individual.

Primero, la CNIL recomienda no compartir nunca informaciones confidenciales en los servicios públicos de IA generativa. Esto vale para los prompts de texto, pero el principio se extiende lógicamente a las subidas de selfies cuyo tratamiento posterior ignoras.

Después, distingue tres modos de despliegue:

ModoRiesgo RGPDPosición CNIL
API pública (nube extranjera)ElevadoEvitar para los datos personales
Nube con contrato de subcontrataciónModeradoVerificar los perímetros de responsabilidad
On-premise / alojamiento controladoBajoPreferido para los datos sensibles

Por último, recuerda que el reglamento europeo sobre la IA (AI Act, en vigor desde el 1 de agosto de 2024) impone una obligación de transparencia: los usuarios deben saber que interactúan con un sistema de IA, y los contenidos generados artificialmente deben ser identificables.

Diferencia entre infraestructura europea y tratamiento IA fuera de la UE

El contraste es concreto, pero hay que leerlo capa por capa. Un sitio puede estar alojado en Europa y, al mismo tiempo, llamar a una API de IA operada por un proveedor estadounidense. En ese caso, los datos almacenados por el sitio pueden permanecer en una región europea, mientras que el tratamiento IA puede implicar una transferencia o una caché temporal fuera del Espacio Económico Europeo.

Una infraestructura europea reduce una parte del riesgo, pero no basta si la imagen se envía después a una API fuera de la UE. Lo que hay que verificar:

  • dónde se almacenan los datos conservados por el servicio
  • qué proveedor IA recibe el selfie
  • si es posible una transferencia fuera de la UE
  • qué garantías regulan esa transferencia (Data Processing Addendum, Cláusulas Contractuales Tipo, Data Privacy Framework si procede)
  • si el selfie entrena o no el modelo

Para un uso personal anodino (foto de perfil de una cuenta de Instagram personal), la diferencia es escasa. Para un uso profesional en un sector sensible (abogado, médico, consultoría, finanzas, función pública), es un criterio que puede ser determinante.

Casos particulares

Oficios regulados

Abogados, médicos, expertos contables, magistrados: tu imagen está asociada a una función sometida a obligaciones deontológicas. Más allá del RGPD, el colegio profesional puede imponer reglas específicas sobre el uso de tu imagen (prohibición de publicidad engañosa, deber de dignidad). Una foto generada por IA sigue autorizada para un uso puramente profesional (LinkedIn, CV, sitio del despacho) siempre que siga siendo fiel a tu apariencia real. Una imagen demasiado retocada o irrealista puede caer bajo el alcance de la publicidad engañosa.

Foto de menores

El RGPD prevé una protección reforzada para los menores (artículo 8). En Francia, el consentimiento para un tratamiento de datos personales es válido a partir de los 15 años. Para un niño menor de 15 años, se requiere el consentimiento de los dos padres (titulares de la patria potestad). La mayoría de los generadores de IA para el gran público prohíben subir fotos de menores en sus CGU. No eludas esta regla: es exactamente el terreno donde los contenciosos explotan.

Uso comercial vs personal

Si usas tu foto IA para un sitio comercial, una campaña publicitaria, un producto, sales del marco "uso personal" cubierto por la mayoría de las CGU. Verifica que la licencia concedida por el generador cubra efectivamente el uso comercial. Para un empleo asalariado (foto de organigrama de empresa), pregunta a tu empleador si tiene una política sobre las imágenes generadas por IA: algunos grupos lo prohíben ahora explícitamente en su carta interna.

El caso particular de la prospección comercial

Un último punto a menudo olvidado: si das tu correo al generador (para recuperar tu foto, crear una cuenta), el artículo L34-5 del Código de los correos y las comunicaciones electrónicas regula estrictamente el uso de este correo con fines de prospección.

El servicio debe recoger tu consentimiento libre, específico e informado para enviarte correos de marketing. Una casilla premarcada o un consentimiento ahogado en CGU ilegibles no es conforme. Debes poder retirar tu consentimiento en cualquier momento, gratuitamente, en cada correo recibido.

Si recibes correos comerciales no solicitados después de haber usado un generador, denúncialo en signal.conso.gouv.fr o directamente ante la CNIL.

Checklist antes de hacer clic en "subir"

Antes de confiar tu selfie a un generador, verifica estos puntos:

  • política de confidencialidad legible, fechada, en francés
  • mención explícita de la duración de conservación del selfie (idealmente tránsito en memoria únicamente)
  • mención explícita de la región de alojamiento de los datos almacenados y de las posibles transferencias hacia proveedores IA
  • mención explícita sobre el entrenamiento del modelo (tu rostro no entrena el modelo, u opt-out claro)
  • propiedad clara de la imagen generada (idealmente: eres propietario)
  • procedimiento de supresión de la cuenta y los datos asociados
  • consentimiento marketing distinto del consentimiento al tratamiento (casilla desmarcada por defecto)
  • DPO localizable o contacto RGPD identificado

Si tres casillas de ocho no están marcadas, cambia de servicio.

El ejemplo de Selfie Pro

Para dar un caso concreto de un servicio diseñado con un marco de privacidad legible, aquí están las elecciones hechas en Selfie Pro, el servicio que desarrollo:

  • Infraestructura Selfie Pro en Europa: la aplicación, Firestore, Storage y las Cloud Functions principales usan Firebase/Google Cloud en región europea
  • Tratamiento Gemini explícito: el selfie se envía a la API Google Gemini para generar el retrato. Este tratamiento puede implicar una transferencia o caché temporal fuera del EEE, incluidos Estados Unidos, regulada por las garantías contractuales de Google
  • Selfie no almacenado en nuestros servidores: tu selfie transita en memoria viva en la Cloud Function y no se escribe en nuestro almacenamiento. Puede permanecer temporalmente en tu navegador durante el recorrido
  • Foto HD conservada 90 días máximo: duración necesaria para permitirte volver a descargarla si la necesitas, luego supresión automática mediante una tarea planificada
  • Sin fine-tuning de Selfie Pro sobre tu rostro: Selfie Pro no entrena ningún modelo con tu selfie. El uso por parte de Google depende de las condiciones Gemini aplicables al servicio API utilizado
  • Propiedad de la foto generada: es tuya, uso personal y comercial incluidos
  • Supresión de cuenta disponible desde tu espacio personal, con un procedimiento dedicado para suprimir los datos Firestore, Storage, Auth y los rastros de marketing asociados
  • Consentimiento marketing distinto: casilla desmarcada por defecto, retirada posible desde tu cuenta, sobre una base de consentimiento separada del tratamiento IA

El servicio tiene sus límites por lo demás (textura de piel a veces suavizada, parecido variable según los estilos), pero el marco jurídico debe ser legible: quién aloja, quién trata, dónde puede producirse una transferencia y durante cuánto tiempo se conservan las imágenes.

Prêt à essayer ?

Probar un servicio diseñado para la privacidad

Fuentes

Leer después.

photo-customer-success-manager

Foto de Customer Success Manager: transmitir confianza sin parecer ventas

Un buen retrato de Customer Success Manager comunica confianza sostenida con el cliente, no energia de cierre. Codigos visuales concretos para LinkedIn, bios y paginas de equipo.

foto-product-manager

Foto de product manager: creíble entre tech, diseño y negocio

La buena foto de un product manager no vende carisma de founder. Debe mostrar a alguien capaz de alinear tech, diseño y negocio sin teatro.

foto-perfil-malt

Foto Malt freelance: guía completa para potenciar tu perfil 2026

Sin foto, tu perfil Malt no es visible. Encuadre, fondo, expresión: la guía para transformar tu foto en palanca de misiones concretas.