AD 114/2020
SOFTWARE DE RECONOCIMIENTO FACIAL PARA VIGILAR EXÁMENES ONLINE
En el contexto actual derivado de la propagación del virus COVID-19, los centros docentes se han visto obligados a migrar la mayoría de sus actividades a entornos online y con ellas, la realización de las pruebas de evaluación.
Universidades y colegios se han planteado multitud de dudas, entre otras, cómo vigilar a los estudiantes durante la realización de los exámenes.
Aquellos centros que con anterioridad a esta coyuntura ya utilizaban sistemas de evaluación online, habían hecho uso de técnicas como el acceso a la imagen y micrófono a través del dispositivo del alumnado, la asignación de identificadores de acceso a entornos de aula, etc. No obstante, dado el volumen de alumnos afectados por la coyuntura actual y la criticidad de ciertas pruebas, los centros docentes se plantean la posibilidad de utilizar técnicas más garantistas en cuanto a la fiabilidad de los resultados, como las de reconocimiento facial.
Estas técnicas aseguran la identificación unívoca de la persona evaluada e incluso permiten detectar expresiones faciales que pueden identificar un comportamiento anómalo, garantizando que la persona que está siendo evaluada no se ha desplazado del lugar de realización de la prueba ni ha sido sustituida por otra persona.
Ante las inquietudes y dudas de centros docentes y alumnos sobre la legitimidad de este tratamiento de datos de carácter personal que supone la utilización de técnicas de reconocimiento facial, la Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que examina las principales cuestiones planteadas a tener en cuenta por aquéllos centros que decidan utilizarlas.
No es la primera vez que la AEPD se pronuncia en relación con cuestiones derivadas de la problemática generada por el COVID-19. Una vez más, recuerda que la normativa en materia de protección de datos, en tanto que va dirigida a salvaguardar un derecho fundamental, debe aplicarse en su integridad a pesar de la situación actual derivada de la extensión del virus, al no existir razón alguna que determine la suspensión de derechos fundamentales.
Por otra parte, la AEPD también ha destacado que la realización de evaluaciones online no es algo ni mucho menos novedoso, ya que se lleva aplicando por numerosas Universidades españolas durante años, aunque eso sí, haciéndose uso de técnicas menos invasivas que el reconocimiento facial.
La primera pregunta que cabe hacerse es ¿qué base legítima justificaría el uso de técnicas de reconocimiento facial para la realización de exámenes online?
El uso de técnicas de reconocimiento facial implica el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a una persona física. Los datos biométricos son considerados una categoría especial de datos y, por lo tanto, la normativa exige una especial protección de los mismos. Con carácter general, el tratamiento de datos biométricos está prohibido de acuerdo con el artículo 9.1 del RGPD. No obstante, se admiten algunas excepciones que levantan dicha prohibición conforme al apartado 2 del mencionado artículo.
La AEPD examina dos de las excepciones que recoge el artículo 9.2 del RGPD y que podrían levantar la prohibición, y por ende, permitirse el tratamiento de los datos biométricos para el caso que nos concierna.
Una de ellas es la existencia de un interés público esencial recogido en el artículo 9.2. g) del RGPD. Este “interés público esencial” requiere de una norma de derecho europeo o nacional, ésta última con rango de ley, que justifique en qué medidas y en qué supuestos la identificación de los alumnos mediante el uso de técnicas de reconocimiento facial respondería al mismo, sin que sea suficiente la invocación genérica de un “interés público”.
En este sentido, para basar el reconocimiento facial en el “interés público esencial”, la AEPD ha establecido en su informe que sería necesario aprobar una norma con rango de ley que lo permita y en la que, en su caso, se deberán establecer garantías específicas para el tratamiento de dichos datos.
¿Y el consentimiento de los propios estudiantes?
El consentimiento de las personas evaluadas podría permitir el tratamiento de sus datos biométricos, siempre que concurran los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD) para que éste sea válido. Para ello, deberá de cumplir con lo expuesto en el artículo 4.11 que define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de los datos personales que le conciernen”.
Ahora bien, de acuerdo con los requisitos exigidos, para poder basar el tratamiento de los datos biométricos en el cosentimiento de los estudiantes, el RGPD requiere, entre otros, que éste sea libre. El consentimiento del estudiante no podrá ser considerado libre cuando éste último no pueda negar o retirar su consentimiento por temor a sufrir un perjuicio, como el ser suspendido. Tampoco se puede considerar que hay un consentimiento libre cuando existe un desequilibrio entre el responsable del tratamiento y el interesado, como puede ocurrir en el caso concreto al encontrarnos ante un estudiante y una Universidad. Esta última se encuentra claramente en situación de superioridad sobre el alumno.
En este sentido, la AEPD establece en su informe que “la posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial al objeto de tratar sus datos biométricos en las evaluaciones online requerirá que a los mismo se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento” y que lo que no sería admisible en ningún caso es que “como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o de cualquier otra consecuencia negativa importante para el alumno”.
En consecuencia, para poder basar el tratamiento de datos biométricos en el consentimiento, los centros docentes, como responsables del tratamiento, tendrían que determinar en sus normas de evaluación los procedimientos que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan. La AEPD establece que ésta sería la única manera para que el consentimiento legitime dicho tratamiento, sin perjuicio de cumplir con el resto de requisitos que exige el RGPD respecto al consentimiento.
En definitiva, de igual manera, tanto si se procede al reconocimiento facial sobre la base legítima de un consentimiento libre de los alumnos, como en el caso de que se apruebe una norma con rango de ley, deberán adoptarse medidas necesarias para que garanticen que el tratamiento sea acorde con la normativa de protección de datos personales.
En concreto, la Universidad o el centro docente deberá, entre otras:
- Adoptar las garantías que resulten de la elaboración del correspondiente análisis de riesgos y de la evaluación de impacto.
- En su caso, consultar a la autoridad de protección de datos competente antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento genera un alto riesgo.
- En el supuesto en el que el tratamiento lo vaya a realizar un encargado de tratamiento, deberá elegirse uno que ofrezca garantías suficientes y haberse suscrito el correspondiente contrato de encargo de tratamiento.
- Actualizar el registro de actividades de tratamiento.
- Adoptar las medidas de seguridad necesarias, conforme a lo previsto en el artículo 32 del RGPD.
Laura Caballero Alvaro
31 de julio de 2020
Laura Caballero Álvaro – Abogada en Roca Junyent.
Graduada en Derecho por la Universidad Autónoma de Madrid y cuenta con dos Masters Universitarios: un Máster en Derecho de las Telecomunicaciones, Protección de Datos, Sociedad de la Información y Audiovisual en la Universidad Carlos III de Madrid y otro de Acceso a la Abogacía realizado en la Universidad Nacional de Educación a Distancia.
Abogada especialista en Protección de Datos y Tecnología de la Información. Con una visión global en materia de Protección de Datos, cuenta con tres años de experiencia en asesoramiento y formación a empresas en materias relacionadas con las nuevas tecnologías, cumplimiento del Derecho Digital, ejecución de proyectos de adecuación a la normativa de protección de datos, cumplimiento web y participa con regularidad en procesos de Due Diligencie.
