Los Deepfakes desde la perspectiva de la protección de datos.

En anteriores publicaciones abordamos el estudio de la generación de “Deepfakes” (ultrafalsos si lo traducimos literalmente) y cómo estos afectaban al derecho a la propia imagen reconocido en el artículo 18.1 de la Constitución Española y normado por medio de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del Derecho al Honor, a la intimidad personal y familiar y a la propia imagen (también conocida como Ley del Honor).

El día de hoy ampliaremos el estudio yendo más allá de las injerencias producidas por la creación de este tipo de contenidos a la esfera de los particulares, abordando los Deepfakes desde la perspectiva de la protección de datos, con un enfoque más concreto en la licitud del tratamiento y el consentimiento prestado por los interesados.

  1. INTRODUCCIÓN

En publicaciones anteriores de Lato Sensu abordé una primera aproximación de los Deepfakes y la importancia de conocer como estos funcionan y pueden afectar derechos fundamentales como el de la propia imagen de las personas (art. 18.1 de la Constitución Española).

No obstante, analizar esta tecnología desde una sola perspectiva se me antoja insuficiente. Sería tanto como asumir que un elemento conflictivo en el derecho compete a una sola de sus ramas, careciendo de interacción con otras.

La utilización de imágenes de terceras personas para colocarlas, bien sobre otras imágenes estáticas o sobre vídeos, se ha convertido en algo tan usual que hasta plataformas de compartición de contenido generado por usuarios (como Tik-Tok o Instagram, entre otras) la han utilizado como medios de reclamo e interés para atraer a potenciales nuevos usuarios y retener a los ya existentes.

Este tipo de tecnología, que cruza deep-learning con la manipulación de imágenes y datos, sin duda tiene una potencialidad considerable. Visto desde la perspectiva de la medicina, por ejemplo, permite recrear un escenario simulado en el que el profesional pueda monitorizar y hacer un seguimiento de sus intervenciones o, en una línea totalmente distinta – y mucho más gravosa – una persona podría realizar una composición visual o musical utilizando los rostros de terceras personas manifestando proclamas que pudieran afectar su status social, siendo quizá el ejemplo más común su posible utilización en el ámbito político nacional e internacional.

Dicho lo cual, hagamos una breve recapitulación. Rescatando la noción de “Deepfakes” que se nos presenta en el podríamos acudir al Draft Issues paper on Intellectual Property policy and Artificial Intelligence, publicado por la Organización Mundial de la Propiedad Intelectual en 2019, podemos apreciar que:

La tecnología relacionada con los ultrafalsos (Deep-Fakes), o la generación de versiones parecidas de personas y sus atributos, tales como la voz y la apariencia, existe y se está empleando. […]”

Esta definición queda huérfana si atendemos única y exclusivamente a la interacción con los rostros, apariencia y movimientos de terceras personas. Las redes generativas antagónicas – o GANs – son los métodos tras la aparición de los Deepfakes y, desde luego, su utilización va mucho más allá de la mera modificación y superposición de rostros. Pero nosotros no somos técnicos en la materia y, por ende, procedo a solicitar la venia para evadir la explicación formal técnica tras su funcionamiento para, en resumidas cuentas, mencionar que esta tecnología aborda campos tan dispares como la medicina o la ciberseguridad y, al hilo de esto, finalizo esta breve overture para dar paso a la implicación de los datos personales en este tipo de tecnología.

  1. SOBRE LA LICITUD Y EL CONSENTIMIENTO

En lo que respecta al ámbito de la protección de datos, debemos, primeramente, delimitar el concepto de dato personal. Para ello debemos acudir al artículo 4 del Reglamento (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre protección de datos (en adelante RGPD), que entiende “Dato Personal” como: toda información sobre una persona física identificada o identificable; se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o  uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.[1]

Con base en esto, no cabe sino concluir que la imagen de una persona es un dato personal en tanto permite la identificación directa de una persona, ello sin contar con otros identificadores y/o factores adicionales.

¿Dónde radica uno de los problemas principales en el caso de los Deepfakes respecto de la protección de datos? En la licitud del tratamiento de estos datos.

El artículo 6 del RRGPD recoge las condiciones en las que el tratamiento de los datos será lícito comprendiendo, entre ellas, la necesidad del tratamiento para la ejecución de un contrato en el que el interesado es parte, para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o para el cumplimiento de una misión realizada en pro del interés público.

Sin embargo, el óbice fundamental, lejos de estas condiciones, lo encontramos en aquellos supuestos en los que el interesado no prestó un consentimiento libre y expreso para el tratamiento de sus datos personales para la generación de este tipo de contenido. El artículo 4, apartado 11) del RGPD define el consentimiento del interesado como:

“[…] toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.[…]”

Por tanto, cabe entender, en una primera aproximación, que aquella persona (física o jurídica) que se encuentre como responsable de la utilización de este tipo de software habrá de recabar el consentimiento expreso, libre e informado de cada usuario para, con arreglo al marco normativo de la protección de datos, informarle de los fines que perseguirá dicho tratamiento y los medios de los que asistirá.

No creo que haga falta apuntar que rara vez ocurre esto y que, cuando se produce una recogida de datos en Internet para la realización de Deepfakes, en pocas ocasiones se hace conforme a las reglas previstas en el RGPD y en la Ley 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante LOPD). Ni que decir tiene que las limitaciones contempladas en el artículo 23 del RGPD no resultan de aplicación en estas situaciones en tanto la esencia de las mismas parten de la persecución del tratamiento de datos de carácter personal con una finalidad provechosa para el interés general.

El artículo 6.4 del RGPD introduce, en sede de licitud del tratamiento, una remisión al contenido del ya citado artículo 23.1 del mismo Reglamento habilitando un tratamiento distinto al contemplado inicialmente por el responsable siempre y cuando se pondere este nuevo tratamiento con:

    • Cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto.
    • El contexto en que se hayan recogido los datos en cuestión, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento.
    • La naturaleza de dichos datos, en concreto cuando se traten de categorías especiales de datos, de conformidad con el artículo 9 del RGPD, o cuando se traten de datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10 del mismo Reglamento.
    • Las posibles consecuencias para los interesados del tratamiento ulterior al previsto.
    • La existencia de garantías adecuadas, que podrán incluir el cifrado o la pseudonimización del interesado.

Ahora, lanzo una pregunta al aire ¿Cabe entender que se ha prestado consentimiento al tratamiento de estos datos en aquellos casos en los que el interesado no manifieste nada? Pongamos un ejemplo.

www.webfalsa.es tiene un pop-up programado para que, cada vez que un nuevo usuario acceda a la landing page tenga que consentir la utilización de cookies. En dicho pop-up se indica una relación de fines para los cuales se recaban X datos.

Sin embargo, resulta que, cuando se hace un análisis en profundidad de los datos recabados por el responsable del tratamiento, nos encontramos con que se han recogido muchos más datos de los consentidos, entre ellos una serie de imágenes guardadas como borrador por el interesado y que han sido transmitidas a terceros sin el consentimiento del interesado.

El Considerando (32) del RGPD desgrana esta idea de forma que, en lo que refiere al consentimiento del interesado, el silencio, las casillas marcadas previamente a la interacción con el usuario/interesado o la mera inacción del usuario/interesado no deben constituir una prestación efectiva del consentimiento para la recogida y tratamiento de los datos. Además, cuando el tratamiento tenga varios fines, deberá darse el consentimiento para cada uno de ellos, solicitando, para ello, la prestación del consentimiento de una forma clara, concisa y sin que pudiera perturbar de forma innecesaria el uso del servicio para el que se presta.

¿Qué ocurre, por ejemplo, con los contratos firmados en los que se encontrasen este tipo de casillas ya marcadas? Pues, ciertamente, esta colecta de datos devenida en irregular provocaría que fuera necesaria una recogida acorde con las previsiones legales contenidas en el Reglamento, por ejemplo, mediante acciones encaminadas a desglosar el tratamiento de los datos que se requiere y los fines a los que se destinará dicha recogida.

  1. ÁMBITO DE LOS DEEPFAKES

En el caso de los Deepfakes, principalmente nos encontramos con la utilización de imágenes y sonidos de terceras personas para la generación de vídeos breves en los que estas mismas imágenes y sonidos se superponen sobre las originales.

A modo de muestra, el vídeo protagonizado por el presidente de Ucrania, Volodímir Zelenski, en el que se proclamaba la rendición de las tropas ucranianas ante la invasión rusa.

La problemática en estos supuestos queda representada en tres instancias sucesivas:

1º.- Los datos (entendiendo por datos las imágenes y/o voces de terceros) han sido recabados de forma ilícita.

2º.- En la misma línea, los terceros afectados por esta recogida de datos ilícita no han prestado consentimiento para la utilización de sus datos para los fines pretendidos con las creaciones generadas mediante esta tecnología.

3º.- Constatado los puntos anteriores ¿cómo se habilita a los interesados para ejercer los derechos de los que les asiste el RGPD y la LOPD? A lo que habrá que adicionar la búsqueda de la identificación del responsable o encargado del tratamiento en aquellos supuestos en los que no se especificase dicha identidad.

Por ello, es posible concluir que, en la mayoría de supuestos, la creación de Deepfakes supone una recogida ilícita de datos personales de terceras personas y, de igual forma, resulta muy dificultoso ejercitar los derechos reconocidos por el RGPD y la LOPD por parte de los afectados por esta tecnología.

Cuestión distinta sería aquella en la que los interesados, tras descargar una aplicación como Zao[2], Deep Nostalgia[3] o FacePlay[4], entre otras, consienten el tratamiento de datos personales (en este caso imágenes propias). Este tipo de aplicaciones utilizan la tecnología del Deepfake para recrear escenas con los rostros y voces de los interesados (Considerandos (42) a (44) del RGPD).

Así, en tanto se provea de la información correspondiente a la recogida, tratamiento y fines para los cuales se recaban los datos del interesado, y se cumplan las previsiones legales contempladas en el RGPD (que la base del tratamiento parta de que el interesado hubiera prestado consentimiento de forma libre y expresa, con pleno conocimiento de los fines a los que se dará cumplimiento con los datos recabados, y de la necesidad de recoger estos datos para llevar a cabo de forma efectiva el servicio solicitado por el interesado) hablaremos de un tratamiento lícito y consentido (ex. art. 6.1 y 6.3 del RGPD).

Para concluir, la tecnología utilizada para la generación de los conocidos como Deepfakes tiene un filo ambivalente. Por un lado, puede aportar una capacidad de generación de contenido que antes era imposible concebir (en el sector del cine mismamente con un ejemplo claro en el personaje de la Princesa Leia en la película “Rogue One: una historia de Star Wars”) mientras que, por otro lado, la posibilidad de utilizar las GANs como herramienta predictiva puede poner en serios apuros sistemas de seguridad y de ciberseguridad. Sea como fuere, tendremos que adaptarnos para entender su funcionamiento y construir sistemas alternativos para conocer su funcionamiento pormenorizado.

 


[1] Sentencia del Tribunal de Justicia (Gran Sala) de 13 de mayo de 2014, en el asunto C-131/12 (Google Spain, S.L., Google, INC. vs. Agencia Española de Protección de Datos y Mario Costeja González)

[2] Tal y como se describe en su página de presentación; “ZAO es una herramienta con la que podemos colocar nuestro rostro sobre el de los protagonistas de multitud de vídeos. De esta forma, en cuestión de segundos podremos realizar multitud de ‘deepfakes’ bastante realistas con los que sorprender a nuestros conocidos.” Recuperado de https://zao.uptodown.com/android

[3] Recuperado de https://www.myheritage.es/deep-nostalgia

[4] Recuperado de https://play.google.com/store/apps/details?id=com.ai.face.play&hl=es_419&gl=US

Share this content: