L'autorità spagnola per la protezione pubblica una guida sull’utilizzo di immagini di terzi nei sistemi di Intelligenza Artificiale.

L’Autorità spagnola per la protezione dei dati (AEPD) ha diffuso nuove linee guida sui rischi per privacy e protezione dei dati connessi al caricamento di immagini o fotografie che identificano direttamente o indirettamente persone fisiche in strumenti di intelligenza artificiale generativa.

L’attenzione è rivolta soprattutto agli scenari in cui le immagini sono caricate su servizi online o piattaforme di terze parti, con possibili riusi “a valle” difficili da controllare.

L’iniziativa si colloca nel contesto dell’aumento di contenuti generati o rielaborati con IA sui social media: secondo l’AEPD, tali contenuti sono spesso creati o modificati senza autorizzazione dell’interessato (o addirittura a sua insaputa) e possono essere riutilizzati e diffusi da diversi attori dell’ecosistema digitale, con finalità non sempre trasparenti.

Le linee guida evidenziano, anzitutto, i rischi che si manifestano direttamente nel contenuto:

• aspettative ragionevoli e base giuridica: l’uso secondario dell’immagine per generare nuovi contenuti può andare oltre ciò che una persona può ragionevolmente attendersi, mettendo in tensione la base giuridica invocata e principi come la limitazione della finalità.

• scala e facilità di diffusione: i contenuti generati possono raggiungere rapidamente un pubblico ampio e essere rilanciati con facilità, con aumento del rischio di perdita di controllo e potenziali criticità sotto il profilo della correttezza del trattamento.

• difficoltà di rimozione: una volta pubblicati e replicati, i contenuti possono diventare difficili da eliminare o da far rimuovere efficacemente, con conseguenze sui diritti degli interessati.

• sessualizzazione e contenuti intimi sintetici: la possibilità di creare nudità o allusioni sessuali (anche quando non corrispondono al reale) è indicata come fattore di rischio elevato, per potenziali effetti quali molestie, ricatti o diffusione virale non autorizzata.

• associazioni false e danni reputazionali: alterazioni di contesto o attribuzioni non veritiere possono produrre danni significativi all’immagine e alla reputazione.

• persone vulnerabili: l’impatto è considerato ancora più grave quando sono coinvolti minori o soggetti con particolari vulnerabilità.

Accanto ai rischi immediatamente percepibili, l’AEPD richiama quelli più difficili da cogliere, legati a come le piattaforme gestiscono i contenuti:

• perdita di controllo per hosting di terze parti: configurazioni e condizioni di servizio possono consentire riuso, conservazione o condivisione dei contenuti in modo non sempre evidente.

• catene di fornitura complesse: l’uso di fornitori multipli (es. infrastruttura, cloud, storage) può aumentare il rischio di trattamenti non autorizzati o incidenti, se la governance e i controlli non sono solidi.

• finalità ulteriori poco chiare: i contenuti possono essere trattati anche per scopi aggiuntivi (sicurezza, prevenzione abusi, miglioramento del servizio), con possibili criticità se tali finalità non risultano compatibili o sufficientemente trasparenti.

• trasparenza e diritti: se le persone non sanno che l’immagine è usata o riusata, diventa difficile comprendere il trattamento e esercitare i diritti in modo efficace.

• effetto moltiplicatore della genai: la capacità di generare numerose varianti derivate amplifica rapidamente i rischi e rende più difficile recuperare il controllo.

L’AEPD osserva che l’uso improprio di immagini generate o manipolate con IA può incidere anche su altri diritti fondamentali (ad esempio onore, reputazione e immagine), regolati dalle normative nazionali. Le indicazioni si rivolgono in particolare a:

• piattaforme social, servizi di video-sharing e hosting che consentono o facilitano la creazione/riuso di contenuti;

• organizzazioni che implementano sistemi GenAI internamente;

• operatori extra-UE che offrono servizi in Europa o si rivolgono a persone residenti nell’UE.