La AEPD ha publicado una entrada en su sección “criterios jurídicos”, a la que puede acceder aquí, en la que se analiza una resolución sancionadora que, a fecha de emisión de esta newsletter, no ha sido publicada en la página web de la autoridad de control.
Así, en este caso, la Universidad Internacional de Valencia implementó un sistema de monitorización de exámenes a distancia que utilizaba, obligatoriamente y sin que se propusiera alternativa alguna a los alumnos, “tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360)” a efectos de evitar posibles fraudes consistentes en la suplantación de identidad durante la realización de los exámenes online. A través de un software de reconocimiento facial, que utilizaba herramientas de inteligencia artificial, se podían analizar las imágenes de los estudiantes en tiempo real lo que permitía verificar continuamente su identidad (“comparación 1:1 en tiempo real”). Asimismo, mediante este sistema también se podía comprobar el escritorio del ordenador del alumno (con la finalidad de observar si existían otros programas descargados, etc.), así como su entorno, pudiendo comprobar si había otras personas o elementos no autorizados (libros con los que poder copiar, etc.).
La Universidad justificó este tratamiento, como se ha indicado, “en la necesidad de garantizar la autenticidad y calidad de las evaluaciones online, previniendo fraudes y suplantaciones”, habiéndose recabado el consentimiento expreso de los alumnos cuando estos se matricularon y aceptaron sus condiciones generales, así como al instalar la aplicación y registrar su imagen en el software. Adicionalmente, se exponía que el tratamiento podía fundamentarse en un supuesto “interés público esencial” en la lucha contra el fraude académico.
A efectos de analizar el anterior tratamiento, la Universidad había llevado a cabo una Evaluación de Impacto en la que se admitía que el mismo podía suponer “un riesgo muy alto de impacto para los derechos y libertades de las personas afectadas”.
La autoridad de control ha declarado que este tipo de datos biométricos constituyen datos de categoría especial, estableciéndose en el artículo 9 del RGPD una prohibición general de tratamiento que sólo puede ser levantada si concurre alguna de las circunstancias previstas en el apartado 2 de dicho artículo. No obstante, se afirma que en el presente supuesto no se aprecia ninguna de las excepciones indicadas.
En este sentido, el consentimiento alegado por la Universidad no resulta válido puesto que no existía una alternativa real y efectiva, de modo que la negativa de un alumno a usar este software para realizar los exámenes online suponía la pérdida de su derecho a evaluarse (generándose una serie de consecuencias negativas). Adicionalmente, se declara por la AEPD que “Tampoco se considera un consentimiento válido la aceptación obligatoria de unas condiciones generales al matricularse”.
En relación con el posible interés público esencial alegado por la Universidad, se indica que, en la actualidad, no existe ley nacional alguna que permita este tratamiento de datos biométricos, sin que la referencia genérica a la Ley Orgánica de Universidades (en la que se regula la obligación de verificar los conocimientos adquiridos por los estudiantes) sea suficiente. En este sentido, sería necesario una ley específica que regulase en qué casos se pueden tratar estos datos y bajo qué condiciones y garantías, debiendo indicarse expresamente en dicha ley que la finalidad es la prevención del fraude académico.
No obstante lo anterior, la AEPD ha puesto de manifiesto que este tipo de sistemas de reconocimiento facial con la finalidad antedicha (incluso los que usan herramientas de Inteligencia Artificial) podrán usarse siempre que cumplan los requisitos legales oportunos. En este sentido, se indica que están expresamente previstos en el Reglamento de Inteligencia Artificial (como sistemas de alto riesgo), aunque dicha normativa, por sí misma, no proporciona cobertura legal que ampare su uso, siendo necesaria “una decisión nacional (o europea) al respecto que establezca las garantías oportunas”.
