En el entorno digital contemporáneo, en el que el contenido se produce y distribuye a gran escala, las herramientas de inteligencia artificial generativa han pasado a ocupar un lugar relevante en la dinámica de creación de imágenes, textos y vídeos.
Paralelamente, las autoridades de protección de datos han ido consolidando acuerdos sobre cómo enmarcar, a la luz de la legislación vigente, las situaciones en las que estos sistemas generan resultados relacionados con personas identificadas o identificables.
En Brasil, este debate cobró relevancia con la publicación de la Nota Técnica N.º 1/2026/FIS/CGF/ANPD, relacionada con el Proceso N.º 00261.000178/2026-27, que registra el análisis inicial de la supervisión de la Agencia Nacional de Protección de Datos sobre las alegaciones relacionadas con el sistema Grok, integrado en la plataforma X, y sus posibles implicaciones en virtud de la Ley General de Protección de Datos.
Contexto de la Nota Técnica
La Nota Técnica informa de la recepción, el 14 de enero de 2026, de una denuncia y una petición complementaria en las que se señalan supuestas irregularidades del sistema Grok.
Los documentos describen, entre otros puntos, que Grok permitiría la edición automatizada de imágenes y la generación de contenido sintético mediante comandos de los usuarios, con menciones a situaciones que involucran contenido sexualizado, incluso con referencia a niños y adolescentes.
En esa misma oportunidad, se cuestionó la existencia de mecanismos eficaces para verificar el consentimiento, la edad y la finalidad de las creaciones.
Contenido sintético como dato personal
Un punto destacado de la Nota Técnica es la forma en que la ANPD describe el encuadre del contenido sintético en el régimen de la LGPD. La Nota Técnica indica que, cuando el contenido generado por sistemas de IA se refiere, directa o indirectamente, a una persona física identificada o identificable, ese resultado puede entenderse como dato personal. A partir de ahí, la generación y la puesta a disposición del contenido pasan a analizarse como tratamiento de datos personales, según la definición legal.
La Nota también aborda la hipótesis de la implicación de datos biométricos, indicando que, en determinadas circunstancias, puede haber una interfaz con datos personales sensibles, con repercusiones en las hipótesis legales aplicables y los deberes reforzados de protección.
Otro aspecto relevante es la forma en que la Nota delimita el alcance del tratamiento. La aplicación de la LGPD, tal y como se describe, no se limita al entrenamiento del modelo, sino que abarca las etapas relacionadas con el funcionamiento del servicio, incluyendo la recepción de entradas, la generación de salidas, la puesta a disposición y la eventual difusión del contenido sintético.
Cabe destacar que este punto es útil para los análisis internos de conformidad, ya que acerca el debate a lo que ocurre en el flujo real de un producto: (i) el usuario proporciona una entrada, (ii) el sistema procesa la solicitud y genera un resultado, y (iii) el resultado se pone a disposición en el servicio y puede compartirse. Cuando el resultado se conecta a un titular identificable, el debate sobre la protección de datos tiende a abarcar el ciclo de principio a fin.
Referencias externas y remisiones en el ámbito de la supervisión
La Nota Técnica menciona referencias a comunicaciones públicas y medidas observadas en el extranjero como parte del contexto considerado en el análisis, indicando que el tema se inscribe en una agenda más amplia de atención regulatoria a las funcionalidades de la IA que producen o transforman contenidos basados en señales vinculadas a personas.
En lo que respecta al plano interno, el documento propone remisiones en el ámbito de las competencias de la Agencia, incluida la posibilidad de iniciar un proceso de supervisión para investigar los hechos descritos, la evaluación de una posible actuación articulada con otros organismos competentes y, alternativamente, la adopción de medidas que determinen disposiciones inmediatas relacionadas con las funcionalidades y modalidades del sistema. La Nota vincula estas medidas a la agenda de temas prioritarios de la ANPD para 2026-2027.
Desde una perspectiva estrictamente informativa, la Nota Técnica es un ejemplo de cómo la ANPD ha venido describiendo situaciones en las que el debate sobre la IA generativa se conecta con conceptos clásicos de la LGPD, como la caracterización de los datos personales, la definición de tratamiento, la consideración de los datos sensibles y la necesidad de medidas de seguridad y gobernanza compatibles con el contexto de riesgo.
Desafíos técnicos de la innovación y la regulación
Los casos de deepfakes y deepnudes, como los descritos en el contexto de la Nota Técnica, ponen de manifiesto un nuevo desafío técnico recurrente para los equipos que desarrollan y operan soluciones con inteligencia artificial: ¿cómo determinar la naturaleza de los datos proporcionados como entrada? y ¿cómo establecer límites efectivos para el tratamiento de datos personales?
En el caso de los deepnudes, el desafío tiende a abordarse mejor mediante controles de contenido y salvaguardias orientadas a categorías. Los equipos de seguridad y evaluación trabajan arduamente en el desarrollo de bloqueos y filtros que buscan reducir la probabilidad de solicitudes y resultados de naturaleza sexual. Estos mecanismos pueden combinar diferentes capas técnicas, como el filtrado de indicaciones, los clasificadores de contenido, el bloqueo de categorías y los flujos de revisión y respuesta. Paralelamente a las salvaguardias algorítmicas, las políticas y los términos de uso claros funcionan como una capa normativa del servicio, especificando limitaciones sobre los comandos y las salidas, así como reglas de conducta, denuncia y consecuencias en caso de infracción.
En los casos de deepfakes, el reto tiende a ser más complejo, ya que no solo implica el tema del contenido, sino también la legitimidad de la entrada y la finalidad del uso. Los usuarios pueden ser o no titulares de los derechos sobre los materiales proporcionados, y la determinación de dicha titularidad depende a menudo y en gran medida de las declaraciones del propio usuario y de los mecanismos de responsabilidad y respuesta.
Además, salvo en casos específicos en los que el producto esté diseñado para tratar datos de personas públicamente conocidas en condiciones delimitadas, otros datos personales pueden ser difíciles de identificar o calificar de forma automatizada en tiempo real, especialmente cuando la entrada es una imagen o un fragmento de vídeo de baja calidad, parcialmente oculto o derivado de múltiples fuentes. Las políticas y los términos deben compensar con claridad las limitaciones impuestas a los usuarios.
En este contexto, el apoyo jurídico-técnico se convierte en una parte relevante del diseño de la gobernanza. Cuando los controles técnicos no logran determinar con precisión la naturaleza de la entrada, las políticas y los términos de uso tienden a asumir un papel complementario, buscando claridad en cuanto a límites, prohibiciones y condiciones, además de establecer canales de denuncia, procesos de eliminación y criterios de respuesta a incidentes. La Nota Técnica, al relacionar el contenido sintético y el tratamiento de datos personales, también ayuda a orientar esta gobernanza al indicar que la discusión puede realizarse sobre la base del marco ya existente, incluyendo herramientas legales para evaluar responsabilidades y exigir medidas adecuadas.
Consideraciones finales
En resumen, la Nota Técnica N.º 1/2026 es un documento relevante sobre cómo la supervisión de la ANPD está estructurando el tema de la IA generativa en términos de categorías jurídicas de la LGPD y del alcance del tratamiento. Para los equipos jurídicos de tecnología y los equipos de producto, el documento puede leerse como una referencia de encuadre: el contenido sintético puede tratarse como datos personales cuando se refiere a una persona identificada o identificable; determinadas situaciones pueden implicar datos sensibles; y el ciclo operativo del sistema, desde la entrada hasta la puesta a disposición, puede integrar el examen de conformidad.
En este sentido, la Nota también refuerza que las herramientas de inteligencia artificial pueden evaluarse a la luz del marco jurídico vigente, incluso en ausencia de una regulación sectorial específica. Siempre que el funcionamiento del sistema implique el tratamiento de datos personales, incluso a través de resultados sintéticos vinculados a los titulares, se aplicarán los principios, deberes y obligaciones previstos en la LGPD, así como los instrumentos de supervisión y fiscalización de que dispone la Agencia para la investigación de los hechos y la posible adopción de medidas dentro de sus competencias.
Ana Silvia Martins, CDPO/BR, es socia de Failla Lima Advogados y abogada especializada en protección de datos, privacidad e inteligencia artificial, con experiencia en cumplimiento normativo y en la implementación y gestión de programas de gobernanza de datos.
Isabela Godoy es doctoranda en la Pontifícia Universidade Católica de São Paulo y abogada en Failla Lima y Riva Advogados.
