Saltar al contenido

Cara a Cara con los Deepfakes. A cargo de Alba Mª López López y Cristina Espín Martí

AD 144/2021

CARA A CARA CON LOS DEEPFAKES

RESUMEN: La evolución de la tecnología deepfake es imparable y plantea no pocos retos jurídicos. En este artículo analizamos brevemente el concepto de deepfake, el marco legal español que podría considerarse en este reto, y algunos casos recientes de interés.

PALABRAS CLAVE: deepfake, cheapfake, derecho a la propia imagen, pornografía, suplantación, reputación

1.- Concepto de deepfake

Un deepfake consiste en imágenes digitales superrealistas alteradas que usan inteligencia artificial para cambiar la cara o la voz de una persona por la de otra. El resultado puede plasmarse en fotografías, vídeos o grabaciones de audio de personas que dicen y hacen cosas que nunca ocurrieron en realidad.

La tecnología para desarrollar deepfakes produce resultados cuya falsedad es muy difícil de detectar, usando herramientas de software para imitar las expresiones faciales, movimientos, entonación, acento y ritmo del discurso del objetivo, que apenas pueden distinguirse de imágenes y grabaciones reales.

Esta tecnología es accesible (por ejemplo, en la plataforma GitHub: [enlace a github]) y cualquiera con conocimientos informáticos podría desarrollar su propio deepfake.

Los deepfakes ganaron popularidad en 2017 cuando un usuario de Reddit utilizó las caras de famosos en vídeos pornográficos. Tras este salto mediático, en los últimos años han proliferado noticias en las que se destaca la calidad y el realismo de determinados deepfakes, como los que se encuentran en los canales de Instagram (desactivado) y TitTok [enlace a vídeo] que consisten en deepfakes de Tom Cruise.

A nivel usuario, una búsqueda sencilla en cualquier tienda de aplicaciones arroja numerosos resultados para generar deepfakes; entre las más populares entre la generalidad del público se encuentran ReFace [enlace] o ZAO [enlace], que permiten insertar la cara del usuario o terceros en gifs, películas, vídeos populares, etc. divertidos y compartirlos en distintas redes sociales.

En cualquier caso es preciso distinguir entre deepfakes y cheapfakes (término acuñado por Joan Donovan y Britt Paris), ya que mediática y popularmente se ha hecho pasar a los segundos por los primeros, cuando. Como ejemplo, los vídeos de Nancy Pelossi supuestamente borracha.

Como veíamos, un deepfake  requiere el uso de alguna forma de aprendizaje mecánico para elaborar un vídeo alterado en el que se generan cuerpos rostros humanos. Los cheapfakes, por el contrario, involucran técnicas básicas de edición de video que permiten acelerar, cortar o recontextualizar material existe para crear engaños, que usan un software más barato y accesible.

Esta tecnología, con la imposibilidad de distinguir los contenidos deepfake de la realidad, plantea no pocos retos jurídicos, políticos y sociales. En este artículo hacemos una pequeña valoración desde el derecho español y comentamos dos casos de interés.

2.- Consideraciones preliminares desde el derecho español

Antes de analizar desde el punto de vista de nuestro derecho los deepfakes, es importante tener en cuenta que como en otras infracciones o violaciones de derechos en línea nos encontramos con el problema de la identificación de quién está detrás de ese usuario infractor, cuestión que no entraremos a analizar ahora.

A los efectos de este artículo nos gustaría centrarnos en las distintas perspectivas desde el punto de vista legal:

  • Derecho a la propia imagen

El derecho a propia la imagen es un derecho fundamental reconocido en el artículo 18 de la Constitución Española de 27 de diciembre de 1978 y regulado en la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Asimismo, también está regulado en el Código Penal (Ley Orgánica 10/1995, de 23 de noviembre) que abarca tanto los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio.

El derecho de imagen es el derecho que cada individuo tiene a que los demás no reproduzcan los caracteres esenciales y definitorios de su persona (figura, apariencia, voz) sin su consentimiento expreso, de tal manera que todo acto de captación, reproducción o publicación por fotografía, filme u otro procedimiento de la imagen de una persona en momentos de su vida privada o fuera de ellos, sin previa autorización, supone una vulneración o ataque al derecho fundamental a la imagen, como también lo es la utilización para fines publicitarios, comerciales o de naturaleza análoga, tal y como ha señalado la sentencia de 27 de marzo de 1999 (RJ 1999, 2370), entre otras. De forma complementaria, el Tribunal Supremo, en su sentencia de 24 de abril de 2000, ha señalado que el derecho a la propia imagen puede ser vulnerado, también, aunque la reproducción de la imagen de una persona, sin su consentimiento, se haga sin fines publicitarios, comerciales o de naturaleza análoga.

No obstante, lo anterior, el derecho a la propia imagen, como cualquier otro derecho, no es un derecho absoluto, y por ello su contenido se encuentra delimitado por el de otros derechos, libertades y bienes constitucionales (libertad de expresión, libertad de información, etc.).

El derecho de imagen, como derecho constitucionalmente reconocido y personalísimo, es un derecho irrenunciable, inalienable e imprescriptible y, como indicábamos, sólo cabe su explotación por terceros en caso de que el afectado haya prestado previamente su consentimiento de forma expresa, tal y como se indica en el artículo 2 de la Ley Orgánica 1/1982, según el cual “no se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso”.

El consentimiento al que se refiere la Ley presupone un suficiente conocimiento del fin para el que va a emplearse la imagen captada, de forma que, con base a dicho conocimiento, se pueda decidir sobre si se consiente a dicha captación y eventual explotación con fines publicitarios, comerciales, o similares. En efecto, captación y publicación son dos conductas diferenciadas, lo que tiene consecuencias al hablar del consentimiento como causa legitimadora de una intromisión; es decir, el individuo tendrá que autorizar ambas conductas.

En el apartado 3 analizamos un supuesto en el que una compañía que desarrolla y explota deepfakes en un ámbito corporativo ha obtenido el consentimiento preceptivo para la captación, transformación y publicación de la imagen resultante. Por supuesto, dicha empresa desarrolla su actividad bajo un marco jurídico distinto al nuestro, pero sus actuaciones bajo dicho marco serían conformes con el derecho español.

En el caso de que alguien desee utilizar una fotografía que tomó de una persona (con su consentimiento) para elaborar un deepfake, faltaría el consentimiento a la difusión y, por lo tanto, estaríamos ante una vulneración de los derechos de imagen de la persona afectada.

Por otro lado, en el caso de que la imagen se tome de Internet (de redes sociales o profesionales, páginas web), el consentimiento prestado por la persona en relación con la captación inicial y su publicación en los medios de Internet no alcanzarían para dar cobertura a la tarea de uso, modificación y publicación de la imagen mediante un deepfake y, por lo tanto, podríamos estar ante una vulneración de derechos en los términos ya comentados.

  • Suplantación o usurpación

En España, la primera vía de defensa frente a la usurpación o suplantación de personalidad suele ser la penal, puesto que dichas conductas son consideradas especialmente graves, al ir en contra de un bien jurídico con tanto valor como la personalidad.

La suplantación consiste en presentarse como la persona suplantada, mientras que la usurpación se produce cuando quien suplanta comienza a realizar actos haciendo entender que actúa como si realmente ostentase los derechos y facultades que le corresponden al suplantado. Es decir, en la usurpación siempre hay suplantación.

El artículo 401 del Código Penal regula la “usurpación del estado civil”, concepto que ni la doctrina ni la jurisprudencia ha llegado a un consenso sobre su significado, puesto que en principio la identidad o personalidad no parece que encaje en dicho concepto.

El Tribunal Supremo, en su sentencia nº 3961/2009, de 1 de junio de 2009, tras analizar las definiciones doctrinales sobre “la usurpación del estado civil” concluye que:

En resumen, puede apreciarse que la doctrina científica se contradice a veces, no logrando un concepto unánime y sin fisuras, pero acudiendo a la concepción dominante y a lo declarado por la jurisprudencia, es claro que no basta una suplantación momentánea y parcial, sino que es preciso continuidad y persistencia, y asunción de la total personalidad ajena con ejercicio de sus derechos y acciones de su “status” familiar y social.

A diferencia de la usurpación, el Código Penal no tiene ninguna previsión especifica para la suplantación de identidad.

Los deepfakes, dada su capacidad de crear contenidos que parecen reales, llevan -o llevarán- la suplantación o la usurpación a un nuevo nivel, tornando estos ilícitos casi indetectables y haciendo que la prueba de los mismos sea vuelva más compleja.

Un ejemplo de deepfake que podría encuadrarse dentro del ámbito de la usurpación podría ser el siguiente: durante la pandemia que acabamos de vivir, en la que gran parte de las comunicaciones se han canalizado mediante videoconferencias, una persona ajena a la organización realiza un deepfake a partir de la apariencia y voz y del CEO y contacta con miembros de la organización (cuyos nombres y tareas conoce tras un breve estudio de la información disponible en LinkedIn y la web corporativa de la empresa), y procede darles instrucciones ejecutivas (ej.: relativas al pago de cantidades, contacto con proveedores, petición de datos estratégicos de la compañía) durante un periodo razonablemente a través de Teams o la herramienta de reuniones online que se utilice habitualmente en la organización.

  • Protección de datos de carácter personal

Aunque la vía administrativa a veces puede parecer de una importancia menor que la jurisdiccional, lo cierto es que en determinados casos se plantea como la principal vía de defensa frente a un ataque del tipo que venimos tratando.

La imagen, la voz y el nombre son datos personales a los que les son aplicables la normativa de protección de datos, el Reglamento (UE) General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Generalmente las personas que desarrollan deepfakes con fines de venganza, acoso o descrédito de la víctima suelen usar la apariencia de esta y, además, hacer referencia al nombre real de la persona, para facilitar la detección del contenido y el ataque a la víctima. En casos como estos, la posibilidad de dirigirse a las autoridades de protección de datos, así como a las plataformas en cuestión haciendo valer estos derechos, existe y cabe ser explorada.

 

  • ¿Revenge porn?

Por último y no por ello menos importante, hay que tener en cuenta que los supuestos de deepfakes pornográficos podrían calificarse como un tipo particular de porno-venganza (o revenge porn), aunque en este caso reproduzcan un acto sexual en el que la víctima nunca tomó parte.

La porno-venganza consiste en la difusión de fotos o vídeos de contenido sexual captadas con consentimiento de la víctima y divulgadas en la red sin consentimiento de las personas que forman parte del mismo, normalmente con una intención de menoscabar gravemente la intimidad personal de la víctima que es expuesta ante su círculo social, redes sociales y plataformas de pornografía en línea. Estos actos se pueden encajar en lo dispuesto en el artículo 197 del Código Penal, en el que se castigan los actos de vulneración de la intimidad de otros o descubrimiento de secretos.

En el caso de los deepfakes es cierto que la intención perseguida sería humillar y acosar a la víctima del deepfake, al igual que ocurre con las víctimas de la porno-venganza, pero, precisamente por el hecho de que no haber existido nunca el acto que se refleja en el deepfake , este artículo no sería de aplicación., el caso de los deepfakes no encajaría en este supuesto.

En su lugar, podríamos encontrarnos ante un delito de injurias establecido en el artículo 208 del Código Penal, que persigue la acción o expresión que lesiona la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación. En este caso, un caso de deepfake pornográfico tendrían en el concepto público la consideración de “grave” y, por tanto constituiría un delito.

Podría valorarse, igualmente, el deepfake como constitutivo de un delito contra la integridad moral de la víctima.

3.- Caso 1: Hour One. Deepfakes mediando autorización

Hour One [enlace] es una start-up que utiliza la apariencia de personas para crear personajes para su uso en vídeos de marketing y formación para su explotación en todo el mundo, mediante voz y animación generados por inteligencia artificial.

Esta compañía únicamente requiere a las personas que contrata la cesión de los derechos sobre su cara, a partir de la que generarán personajes que incluirán en su catálogo de asistentes.

Para crear un personaje, la persona seleccionada es grabada en alta resolución mientras habla y gesticula delante de un fondo croma. Posteriormente, un software de inteligencia artificial generará grabaciones sin límite a partir del personaje, en cualquier idioma, haciendo uso de voces sintéticas generadas por un software específico.

En este caso, la tecnología que utiliza la startup es similar a la tecnología deepfake, pero en este caso la clave reside en el consentimiento expreso que presta la persona que cede los derechos para utilizar su imagen en grabaciones de carácter corporativo, a cambio de micropagos cada vez que un cliente de la compañía licencia un vídeo en el que aparece el personaje.

Así, existe un consentimiento expreso a la captación de la imagen por parte de la persona titular de la misma, así como un consentimiento expreso a la manipulación de la imagen y a la asignación o atribución de una voz y expresiones, siempre que estas se enmarquen en el ámbito profesional, y corporativo que se delimita en el contrato. La persona cuya imagen se procesa no puede decidir ni oponerse a las manifestaciones que su personaje va a enunciar, pero la compañía tiene una política en la que establece que en ningún caso trabajarán con compañías cuya actividad esté relacionada con el juego, el sexo, la religión o la política.

Entendemos que el contrato contendrá previsiones detalladas sobre los puntos anteriores, así como previsiones detalladas sobre garantías y limitaciones de responsabilidad, que deberían ser analizadas detenidamente por la persona que vaya a licenciar su apariencia para este fin.

En el caso de que la compañía licenciase el personaje para un uso distinto al acordado, la persona que cedió sus derechos podría iniciar una acción por incumplimiento contractual y, eventualmente, exigir una indemnización por los daños y perjuicios sufridos.

En cualquier caso, en el ámbito de los deepfakes este es el mejor supuesto, en el que la persona en cuestión autoriza la captación, transformación y difusión de su apariencia en un ámbito acordado y controlado.

Existen otras compañías desarrollando actividades similares, pero lo descrito en este Caso 1 no es el supuesto más habitual ni el más problemático.

  1. Caso 2: Pornografía deepfake

El 13 de septiembre de 2021 el Massachusetts Institute of Technology (MIT) publicó un artículo [enlace] sobre una aplicación que hace uso de tecnología deepfake para insertar la cara de cualquier persona en vídeos pornográficos. Ni el MIT ni medios de comunicación tecnológicos medios no se han hecho eco de su nombre, para evitar darle publicidad.

Como veíamos, el uso de deepfakes para crear contenidos pornográficos no es novedoso; este uso comenzó para generar grabaciones en las que intervenían famosos, pero asistimos a su vulgarización y extensión, alcanzando a otras personas cuya imagen también es utilizada sin consentimiento.

En efecto, aunque ya se habían detectado intentos de elaborar aplicaciones con este fin (de hecho, según una investigación de Sensity AI, entre el 90 y el 95 por ciento de todos los vídeos deepfake en línea son de naturaleza pornográfica, sin consentimiento de los sujetos cuya cara se muestra; el 90% de dichos vídeos son protagonizados por mujeres), lo cierto es que la aplicación sobre la que el MIT alertaba destaca por ser de muy fácil uso – de ahí su peligro. El resultado admite todavía mejoras (corrección en ángulos, brillos o distorsiones), pero esta aplicación está disponible y supone un peligroso hito.

El usuario nada más tiene que cargar la foto de una cara, y la aplicación le ofrece una biblioteca de vídeos porno; se generará una vista previa y, en el caso de que el usuario esté conforme, podrá pagar para descargar la película pornográfica completa, con la cara en cuestión incrustada.

Al parecer, al día siguiente de la publicación del artículo del MIT, la aplicación publicó una actualización indicando que está indisponible; no obstante, nada impide que puedan, y de hecho vayan, a surgir nuevas aplicaciones explotando esta tecnología para generar contenidos de carácter pornográfico -casi indistinguibles de grabaciones reales- explotando de forma no autorizada la imagen de terceros, y poniéndolos en una situación personal, social y jurídica de vulnerabilidad, y facilitando a terceros el extorsionar y acosas a sus víctimas.

El cóctel peligroso que combina deepfakes y pornografía ya ha movilizado a distintos operadores para impedir la creación o difusión de este tipo de contenidos: el subreddit sobre deepfakes de Reddit ha sido eliminado; Pornhub, Facebook, Wechat y Twitter han prohibido la carga de vídeos con deepfakes, etc.

Si bien esta medida de autorregulación por parte de las plataformas no deja de tener valor, la potencia y naturaleza de los deepfake puede dificultar la detección de los contenidos y dejar en manos de la parte afectada la búsqueda y denuncia de los contenidos.

El 16 de abril de 2020 Google anunció ajustes en su política para, entre otros, reforzar los mecanismos para detectar aplicaciones y medios engañosos, e impedir que estén disponibles en la Google Play Store. Así, en relación con los deepfake, los ajustes se concentran en el apartado Deceptive Behavior de la Política de la Play Store. Google permitirá que estén disponibles aplicaciones que sirven para hacer deepfakes “por diversión”, que caen dentro de la excepción que permite deepfakes que son “sátiras o parodias obvias”. No obstante, prohibirá aplicaciones que promuevan imágenes y contenidos engañosos que puedan causar perjuicios relacionados con política, problemas sociales o eventos particulares.

Por parte de Apple, las Guías para Desarrolladores no se refieren directamente a los deepfakes por este nombre, pero prohíben aplicaciones con información falsa o difamatoria que no sean sátira o humor.

5.- Conclusión

Los deepfakes constituyen un fenómeno en constante desarrollo, de la mano de una tecnología cada vez de mayor calidad y más expansiva.

El fácil acceso a las tecnologías que facilitan su creación se está traduciendo en un crecimiento y perfección de las iniciativas desarrolladas sobre estas, que terminarán dando un salto hacia la sociedad, desdibujando los límites de lo real y lo generado por una inteligencia artificial con un fin determinado (facilitar la generación de contenidos audiovisuales, flexibilización de elementos de comunicación y formación corporativa, polarización de la opinión pública y radicalización política, debilitamiento de la confianza en las instituciones y el gobierno, extorsión, venganza, estafa, etc.).

Nuestro sistema jurídico no debe, en ningún modo, generar normativas específicas en función de las distintas tecnologías que se van desarrollando. Las leyes han de plantearse de forma general, de forma que su pervivencia y adaptación a distintas realidades esté garantizada. Cabe recordar la avalancha legislativa en distintos estados de los EE.UU. para regular el uso de las Google Glass y cómo el fracaso del proyecto se tradujo en leyes convertidas en papel mojado antes de empezar a aplicarlas (aunque la reciente colaboración entre Facebook y Ray-ban para el lanzamiento de las “Ray-ban Stories” ha avivado otra vez el debate).

En este momento estamos hablando de una tecnología en fase de desarrollo y perfeccionamiento, por lo que sería aventurado sugerir ajustes o mejoras que resulten limitados o caducos a la luz de nuevos avances, no obstante creemos que, en este momento, es preciso fomentar las siguientes actividades:

  • Sensibilización y autorregulación en las grandes plataformas y servicios en la red.
  • La revisión de los papeles de los prestadores de servicios y de su responsabilidad en la generación o puesta a disposición al público de deepfakes, sin perjuicio de la adecuación de las medidas adoptadas voluntariamente por estos
  • Desarrollar campañas de concienciación y formación para la población general sobre la protección y gestión de su imagen y la de terceros en Internet y en sus relaciones sociales y personales.
  • La formación continua de las Fuerzas y Cuerpos de Seguridad del Estado​, y, de sus equipos especializados en materia de delitos informáticos, en relación con los

Alba Mª López López y Cristina Espín Martí

21 de septiembre de 2021


Autoras:

Alba Mª López López, Asociada del despacho ELZABURU, Madrid/Galicia, España.

https://www.linkedin.com/in/albamlopez/

Cristina Espín Martí, Asociada del despacho ELZABURU, Madrid, España.

https://es.linkedin.com/in/cristina-esp%C3%ADn-mart%C3%AD-a9185145

 

 

 

 

 

 

 

 

Deja un comentario

A %d blogueros les gusta esto: