Reconocimiento facial para cazar al alumno tramposo: ¿es posible sin incumplir la normativa?

 

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza las cuestiones relativas al uso de técnicas de reconocimiento facial para realizar pruebas de evaluación online. Como ha reiterado la autoridad española en esta materia en las últimas semanas, la situación actual no implica la suspensión del derecho fundamental de la protección de datos, por lo que todo tratamiento se realice debe ajustarse a las previsiones del Reglamento General de Protección de Datos (GDPR en sus siglas inglesas).

La AEPD recuerda que esta normativa establece que el consentimiento del afectado debe ser libre y que no puede considerarse prestado de forma libre y, por tanto, válida “cuando el afectado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Tampoco puede considerarse libre cuando existe un desequilibro claro entre el interesado y el responsable del tratamiento”.

Partiendo de esta base, según explica en un comunicado, la posibilidad de admitir un consentimiento libre de los alumnos requeriría que se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente o alternativas diferentes que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad respecto a las que se realicen con reconocimiento facial. En otro caso como, por ejemplo, si las actividades alternativas ofrecidas fueran más gravosas o implicaran una mayor dificultad, el consentimiento no podría considerarse libremente prestado. Y lo que no sería admisible, en ningún caso, es que como consecuencia de la denegación del consentimiento se le negara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.

El informe añade que corresponde a las universidades, en virtud del principio de autonomía universitaria y como responsables del tratamiento, determinar los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan. Sólo así el tratamiento podría estar basado en el consentimiento.

Por otro lado, el tratamiento de datos personales necesarios para la prestación del servicio público de educación se legitima, con carácter general, en la existencia de un interés público. Sin embargo, en el caso del reconocimiento facial, al tratarse de categorías especiales de datos, GDPR requiere la existencia de un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.

Según el informe de este organismo, la aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos la identificación de los alumnos mediante el empleo de la biometría respondería al mismo, y ésta no existe en la actualidad en el ordenamiento jurídico.

El documento sugiere que aplicar esa técnica hoy, con las garantías reforzadas que requiere, es un tanto precipitada. La propia AEPD en el informe señala que “la propia comunidad universitaria ha planteado medidas alternativas para la evaluación online menos intrusivas que permiten hacer frente a la situación generada por la declaración del estado de alarma” y dice que el Gobierno ya ha iniciado el plan de desescalada que podría permitir realizar, con las restricciones que establezcan las autoridades sanitarias, pruebas presenciales.

Por tanto, debe primar un “criterio de prudencia” que permita un análisis de sus implicaciones y, siempre, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, concluye la agencia.