La AEPD publica – Utilización del reconocimiento facial para realizar exámenes

La especial situación en que nos encontramos ha hecho que nos replanteemos el modo en que vivimos e interactuamos con terceros a todos los niveles. Aquello a lo que en febrero estábamos acostumbrados resulta impensable a día de hoy: el COVID-19 ha supuesto definitivamente un antes y un después en cómo hacer las cosas.

Un claro ejemplo de cómo nos hemos tenido que adaptar (en aquellos casos en los que no se venía haciendo ya) es sin duda el ámbito docente o educativo. Hemos pasado del asistir a clase –en colegios, universidades o escuelas− a “conectarnos” a través de nuestros dispositivos e incluso realizar pruebas online para dar cumplimiento a las medidas impuestas en el estado de alarma y no poner en riesgo la salud de alumnos y profesores.

Ante este nuevo escenario en el que pruebas y exámenes se realizan a través de medios telemáticos, la comunidad educativa ha planteado la posibilidad de efectuar tratamientos de determinados datos biométricos para verificar la identidad de los alumnos. Así, tras una consulta “de urgencia”, la AEPD ha publicado un Informe (el “Informe”) en el que analiza las principales cuestiones relativas al uso de técnicas de reconocimiento facial con finalidades de identificación biométrica en el marco de la realización de pruebas de evaluación en entornos online.

Como no podía ser de otra manera (y así ha venido haciendo en sus publicaciones más recientes), la AEPD abre su Informe resaltando que en la actual pandemia y la declaración del estado de alarma se deberá respetar el derecho fundamental a la protección de datos personales, y en especial a los principios que lo conforman.

La AEPD continúa – en un ejercicio de prudencia y confianza en el avance en la desescalada hacia la “nueva normalidad” – apuntando que el empleo de las técnicas objeto de consulta implica una mayor intrusión en el derecho a la protección de datos personales y riesgo para la privacidad; y que, existen medidas alternativas menos intrusivas para la evaluación online.

En lo que respecta al análisis jurídico que realiza la AEPD acerca del empleo de técnicas de reconocimiento facial, destacamos las siguientes cuestiones generales de su Informe:

  • El uso de técnicas de reconocimiento facial de forma continuada para la realización de evaluaciones online, mediante la comparación del alumno con terceros con objeto de identificar una posible suplantación, implica el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a una persona física.
  • Los sistemas de reconocimiento facial objeto de la consulta implican el tratamiento de categorías especiales de datos en tanto que combinan diversas técnicas para acreditar la identidad del alumno[1] y evitar posibles suplantaciones de identidad a lo largo del desarrollo de toda la actividad (p.ej. se graba la identificación del alumno y se realizan diferentes capturas que se comparan con la información biométrica almacenada). Este tipo de sistemas implica asimismo el tratamiento de otros datos biométricos (p.ej. pulsaciones en el teclado) y de datos no biométricos (p.ej. grabación del entorno o grabación de sonidos mediante el micrófono).
  • El tratamiento de datos ha de cumplir necesariamente con el juicio de proporcionalidad. Esto es, la medida debe considerarse adecuada, necesaria y equilibrada.
  • Siempre que las normas internas de la Universidad en cuestión así lo prevean, los tratamientos de datos personales derivados de la necesaria evaluación de los alumnos (a través de exámenes o sesiones docentes) quedan amparados por el artículo 6.1.e) del RGPD, como consecuencia de la existencia de un interés público derivado de la configuración de la educación superior como un servicio público. Sobre la elección de la excepción aplicable del artículo 9.2 RGPD, se analizan dos opciones:
  • Que el alumno preste su consentimiento, siempre que el mismo sea libre, específico, informado e inequívoco.

El principal problema que plantea en este caso el consentimiento es que no se entendería que se ha otorgado libremente, ya que el alumno no se encuentra en situación de igualdad con la Universidad en la que estudia (no es realmente libre para elegir, se siente obligado a dar su consentimiento o sufriría consecuencias negativas si no lo da).

Es por ello que, la posibilidad de admitir un consentimiento libre de los alumnos requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario el tratamiento de sus datos biométricos (p.ej. presencialmente), y sin que la negación a otorgar su consentimiento se tradujera en consecuencias negativas importantes para ellos (p.ej. denegación de la posibilidad de matriculación, o suspensión automática de la asignatura en cuestión).

La AEPD determina que únicamente será válido el consentimiento de los alumnos a estos efectos cuando las Universidades determinen en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan.

  • Que el tratamiento se empare en la existencia de un interés público esencial que esté previsto en una norma de derecho europeo o nacional con rango de ley que especifique dicho interés público esencial y en qué circunstancias la identificación de los alumnos mediante el empleo de la biometría justifica la restricción del derecho a la protección de datos personales, estableciendo reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Dicha ley deberá además establecer las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos, y deberá respetar en todo caso el principio de proporcionalidad.

Bajo estas premisas, la AEPD determina que no existe actualmente en el ordenamiento jurídico español una norma de estas características que permita la utilización de técnicas de reconocimiento facial en los procesos de evaluación y que cumpla todos y cada uno de los requisitos anteriormente mencionados.

  • Por último, la AEPD apunta que las Universidades que opten por la implementación de este tipo de técnicas deberán atender al principio de responsabilidad proactiva y de protección de datos desde el diseño y por defecto; y que será necesaria la realización de una EIPD, debiéndose consultar a la autoridad de protección de datos competente antes de proceder al tratamiento cuando resulte necesario.

 

[1]            Estos sistemas de identificación se diferencian de aquellos que se limitan a verificar o autenticar a un individuo a través de procesos de búsqueda de correspondencias uno-a-uno (esto es, comparación de datos biométricos con una plantilla biométrica almacenada en un dispositivo).

 

 

Escrito por Patricia Suárez, Graciela Martín y Laur Badin

 

This website is operated by Hogan Lovells Solutions Limited, whose registered office is at 21 Holborn Viaduct, London, United Kingdom, EC1A 2DY. Hogan Lovells Solutions Limited is a wholly-owned subsidiary of Hogan Lovells International LLP but is not itself a law firm. For further details of Hogan Lovells Solutions Limited and the international legal practice that comprises Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses ("Hogan Lovells"), please see our Legal Notices page. © 2020 Hogan Lovells.

Attorney advertising. Prior results do not guarantee a similar outcome.