En los últimos días ha surgido una nueva tendencia viral en redes sociales, especialmente en aquellas gestionadas por el gigante tecnológico Meta. Se trata de un fenómeno vinculado al uso de herramientas de IA, concretamente ChatGPT, aunque puede replicarse con otros sistemas generativos.
Esta tendencia recuerda a fenómenos virales anteriores. El año pasado, las redes sociales se llenaban de imágenes inspiradas en estilos artísticos reconocibles, como las ilustraciones tipo Studio Ghibli. Sin embargo, la evolución es evidente: lo que comenzó como una simple inspiración estética ha derivado en la explotación de datos personales acumulados.
Durante los últimos días, miles de usuarios han solicitado a ChatGPT la creación de caricaturas personalizadas basadas en su perfil profesional. Para ello, La IA analiza el historial de interacciones mantenidas con el usuario y procesa la información disponible sobre su actividad profesional, intereses, gustos, opiniones, personalidad o hábitos que hayan podido surgir en las conversaciones.
Además, el usuario debe proporcionar una fotografía clara en la que el rostro aparezca de frente, para que la herramienta pueda combinar los elementos profesionales deducidos con sus rasgos físicos. Este alto grado de personalización ha despertado el interés de miles de personas, que comparten sus resultados en redes sociales hasta convertir la dinámica en un fenómeno viral.
Pero, más allá de su finalidad recreativa, cabe preguntarse: ¿cuánto sabe realmente la inteligencia artificial sobre nosotros?
A través de conversaciones, consultas o cualquier otra información facilitada, los usuarios proporcionan datos personales, a veces de forma consciente y otras casi inadvertida. Estos pueden incluir imágenes, rasgos físicos, hábitos, preferencias o información profesional. La combinación de todos estos elementos permite a los sistemas de IA construir perfiles cada vez más precisos.
El uso de fotografías personales plantea cuestiones relevantes desde la perspectiva de la privacidad y la protección de datos. Las imágenes son datos personales y, en determinados casos, pueden considerarse incluso datos biométricos si se utilizan para identificar de manera inequívoca a los usuarios. Esto obliga a plantearse quién accede a esas imágenes, con qué finalidad se utilizan, durante cuánto tiempo se conservan y si pueden emplearse para entrenar modelos futuros.
Existen, además, zonas grises. No se verifica que la fotografía enviada pertenezca realmente al usuario. Esto es relevante ya que, aunque se parte de un ‘prompt’ común, posteriormente pueden introducirse modificaciones, lo que podría derivar en la creación de caricaturas ofensivas o burlas hacia terceros.
En los últimos días, OpenAi ha actualizado las políticas y condiciones de uso de ChatGPT. No obstante, estas continúan sin abordar cuestiones esenciales, como la identificación clara de la base legal para el tratamiento de datos por parte de OpenAI como responsable del tratamiento.
Tampoco se especifica durante cuánto tiempo se conservan las imágenes ni qué ocurre con ellas una vez se elimina la conversación. Asimismo, no se incluyen advertencias sobre la necesidad de obtener el consentimiento de las personas que aparecen en las fotografías, tanto en relación con su derecho a la protección de datos como con su derecho a la propia imagen. Del mismo modo, no se exige al usuario que confirme disponer de los derechos sobre las imágenes que carga, ni se establecen procedimientos claros para que terceros puedan ejercer sus derechos en caso de que su fotografía haya sido utilizada sin autorización, entre otras cuestiones.
En este contexto, resulta especialmente relevante la reciente publicación por parte de la Agencia Española de Protección de Datos (AEPD) de la guía ‘El uso de imágenes de terceros en sistemas de inteligencia artificial y sus riesgos visibles e invisibles’. Este manual advierte que subir, reenviar o transformar imágenes mediante sistemas de IA constituye un tratamiento de datos personales, con independencia de la finalidad perseguida o del carácter aparentemente trivial del uso.
La AEPD distingue entre riesgos visibles —como la falta de legitimación, la difusión no consentida, la sexualización de contenidos o la atribución de hechos no reales— y riesgos invisibles, derivados del mero hecho de cargar una imagen en estos sistemas: la pérdida efectiva de control, la retención técnica no verificable, la generación de metadatos e inferencias internas, la incorporación de finalidades adicionales por parte del proveedor y una asimetría informativa que dificulta a la persona afectada el ejercicio de derechos.
El texto subraya además que el umbral de prudencia debe ser máximo cuando se trata de menores de edad o personas vulnerables, y recuerda que la persona cuya imagen se utiliza suele desconocer qué sistema se ha empleado, qué ha ocurrido con su imagen o a quién dirigirse para solicitar su supresión.
Tras revisar la políticas de privacidad de ChatGPT se observa una incongruencia persistente en relación con la edad mínima de uso de la plataforma. Según dicha política de privacidad , el servicio no está orientado a menores de 13 años, en línea con la normativa estadounidense (COPPA). Sin embargo, esta previsión entra en conflicto normativo con la legislación española, ya que el artículo 7 de la LOPDGDD establece que los menores solo pueden prestar por sí mismos el consentimiento para el tratamiento de sus datos personales a partir de los 14 años; por debajo de esa edad, es necesario el consentimiento de sus representantes legales.
Esta discrepancia plantea dudas sobre la aplicabilidad efectiva del RGPD en este tipo de herramientas de IA y sobre el cumplimiento de la normativa europea y de la específica de cada Estado miembro. De ahí que resulte significativo el reciente anuncio del Gobierno sobre la posible restricción del acceso a redes sociales para menores de 16 años. Mientras se debate cómo proteger a los menores del impacto de las redes sociales, el acceso y uso de herramientas de IA por parte de estos continúa planteando importantes interrogantes en términos de control, supervisión y garantías efectivas.
En definitiva, más allá de la finalidad recreativa, estas tendencias evidencian una realidad cada vez más presente: el equilibrio, cada vez más difuso, entre el uso de herramientas tecnológicas y la exposición de datos personales. Participar o no en estas tendencias debería ser una decisión informada, valorando qué información se comparte, con quién y bajo qué condiciones.
¿Estamos realmente siendo conscientes del alcance de la información que entregamos y de la posible pérdida de control sobre nuestra identidad digital cada vez que participamos en una tendencia viral?
Por Nerea Toja, abogada en Santiago Mediano.
El nuevo Programa de Financiación de la Industria Audiovisual y Cinematográfica (SCRI.PT)
El pasado 19 de febrero de 2026 se publicó el Decreto-Ley n.º 57/2026 por el que se crea el Programa de Financiación de la Industria Audiovisual y Cinematográfica (SCRI.PT), que entró en vigor el 20 de febrero de 2026. El nuevo programa surge en un contexto de transición de los mecanismos públicos de apoyo al […]
Santiago Mediano 27/02/2026
Actualización extraordinaria de precios en contratos públicos de adquisición de servicios: impacto de la revisión del RMMG para 2026 (Ordenanza n.º 87/2026/1, de 23 de febrero)
El 23 de febrero de 2026 se publicó en el Diario Oficial la Ordenanza n.º 87/2026/1, que establece un mecanismo de actualización extraordinaria de los precios de los contratos públicos de adquisición de servicios en respuesta a los impactos derivados de la actualización del Salario Mínimo Mensual Garantizado (RMMG) para 2026, operada por el Decreto […]
Santiago Mediano 24/02/2026
Santiago Mediano formaliza acuerdo con ACATIA para integrar en su oferta de servicios el acceso a las soluciones técnicas de Corporate Compliance
En el marco de esta alianza, Santiago Mediano pondrá a disposición de sus clientes soluciones desarrolladas por ACATIA Corporate Compliance, incluyendo la implantación y revisión de modelos de prevención de riesgos penales y regulatorios, sistemas de gestión de compliance alineados con las normas UNE 19601 e ISO 37301, programas específicos en materia de anticorrupción (ISO […]
Santiago Mediano 23/02/2026
La «Ley del Lobby» (Ley n.º 5-A/2026, de 28 de enero)
La representación de intereses (lobbying) consiste en un conjunto de actividades destinadas a influir, directa o indirectamente, en la elaboración y ejecución de políticas públicas, actos legislativos, reglamentos , actos administrativos y contratos públicos, y la nueva ley, además de reforzar las normas de transparencia en los contactos entre entidades públicas y representantes de intereses, crea el Registro […]
Santiago Mediano 11/02/2026
Nueva ley de servicios de atención al cliente: cuenta atrás para la adaptación empresarial
El pasado 27 de diciembre de 2025 se publicó en el BOE la Ley 10/2025, de 26 de diciembre, por la que se regulan los servicios de atención a la clientela, una norma que marca un antes y un después en la relación entre empresas y consumidores en España. La ley entró en vigor al […]
Santiago Mediano Abogados 14/01/2026
El derecho a proteger la mente
Imaginemos que alguien logra acceder a nuestro cerebro del mismo modo en que hoy se hackea un ordenador. No hablamos de ciencia ficción: la neurotecnología ha dejado de ser un asunto de laboratorio para convertirse en una realidad con aplicaciones médicas, educativas y laborales. Las oportunidades son enormes, pero también los riesgos: por primera vez, […]
Santiago Mediano 04/11/2025