La Agencia Española de Protección de Datos (AEPD) sale al paso de las dudas que genera el reconocimiento facial de los alumnos universitarios de cara a sus exámenes, en muchos casos online a causa del coronavirus, por la posible la vulneración de la ley de protección de datos. La AEPD recuerda que “la situación actual no implica la suspensión del derecho fundamental a la protección de datos”.
Para realizar dichas pruebas a través de esta técnica de reconocimiento, el Reglamento establece que el consentimiento del afectado debe ser libre y que “no puede considerarse prestado de forma libre” y, por tanto, válida cuando el afectado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
“La posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial para tratar sus datos biométricos en las evaluaciones online requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad respecto a las que se realicen con reconocimiento facial”, argumenta la AEPD.
El informe elaborado por la agencia añade que corresponde a las universidades, en virtud del principio de autonomía universitaria y como responsables del tratamiento, determinar en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan. “Sólo así el tratamiento podría estar basado en el consentimiento”.
Sin ley que regule el uso de datos biométricos
Por otro lado, prosigue la AEPD, el tratamiento de datos personales necesarios para la prestación del servicio público de educación se legitima, con carácter general, en la existencia de un interés público. Sin embargo, en el caso del reconocimiento facial, al tratarse de categorías especiales de datos, el Reglamento requiere la existencia de un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.
La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos la identificación de los alumnos mediante el empleo de la biometría respondería al mismo. Dicha norma, inexistente en la actualidad en el ordenamiento jurídico, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto otras medidas que permiten acreditar la identidad de los alumnos.
A este respecto, la propia comunidad universitaria ha planteado medidas alternativas para la evaluación online menos intrusivas que permiten hacer frente a la situación generada por la declaración del estado de alarma.
Por tanto, finaliza la AEPD, debe primar un criterio de prudencia que permita un análisis de sus implicaciones y, en todo caso, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, atendiendo al principio de responsabilidad proactiva, la necesidad de realizar los correspondientes análisis de riesgos, evaluaciones de impacto en la protección de datos y, si correspondiese, consulta previa a la autoridad de control.
