La AEPD sanciona el tratamiento de datos biométricos con IA en la evaluación universitaria online, aunque apunta posibilidades normativas

Esta resolución de la Agencia Española de Protección de Datos analiza el uso de tecnologías de reconocimiento facial para evitar el fraude en el marco de la evaluación online. La resolución rechaza la legitimación de este tratamiento en la actualidad, pero no lo excluye con un adecuado desarrollo normativo. 

Los hechos objeto de la resolución se originan por la denuncia presentada ante la Agencia Española de Protección de Datos (AEPD) contra la Universitat Internacional Valenciana (UIV) debido a la imposición de un sistema de monitorización de exámenes a distancia. Este sistema implicaba, obligatoriamente y sin alternativas válidas para el alumnado, el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360) con la finalidad declarada de evitar fraudes y suplantaciones en evaluaciones académicas online. El software utilizaba un sistema de reconocimiento facial mediante inteligencia artificial por el que se capturaban y analizaban imágenes en tiempo real para verificar de forma continuada la identidad de los estudiantes durante los exámenes.

La UIV justificaba el tratamiento de los datos personales biométricos en la necesidad de garantizar la autenticidad y calidad de las evaluaciones online, previniendo fraudes y suplantaciones. También señaló que contaba con el consentimiento libre y expreso del alumnado (otorgado al matricularse y aceptar las condiciones generales), así como con un supuesto “interés público esencial” en la lucha contra el fraude académico.

Para evaluar la intensidad y el impacto de dicho tratamiento de datos personales en las personas afectadas se consideran algunos aspectos relevantes: el sistema utilizaba una verificación continua (comparación 1:1 en tiempo real) basada en datos biométricos (patrones faciales generados y suprimidos cada pocos segundos). También incluía monitorización del escritorio de la persona examinada (captura de pantallas, detección de programas, periféricos conectados, etc.) así como la monitorización del entorno del estudiante mediante una segunda cámara, con la que se analizaba con inteligencia artificial la presencia de otras personas u objetos no permitidos. La UIV afirmaba que los datos tratados eran seudonimizados y suprimidos rápidamente. La Evaluación de Impacto de Protección de Datos de la propia Universidad reconocía que el tratamiento suponía un riesgo muy alto de impacto para los derechos y libertades de las personas afectadas.

A continuación se recogen los elementos jurídicos más relevantes de la resolución, que puede ser recurrida.

La Agencia centra una gran parte del análisis jurídico en el hecho de que los datos tratados constituyen datos de categoría especial, regulados por el artículo 9 del Reglamento General de Protección de Datos (RGPD), tal y como confirmó el Comité Europeo de Protección de Datos en sus Directrices 5/2022. Dicho precepto establece una prohibición general de tratamiento de categorías especiales de datos que sólo puede ser exceptuada cuando concurra alguna de las circunstancias previstas en el apartado 2 del artículo 9. En este caso, se considera que no había ninguna excepción legítima del artículo 9.2 RGPD que permitiese el tratamiento realizado por la UIV.

De una parte, se descarta el consentimiento (art. 9.2.a RGPD), pues alegaba la Universidad que se recababa en varios momentos (fase precontractual al consultar condiciones generales, al formalizar la matrícula, al registrar la imagen en el software utilizado y al instalar la aplicación). Sin embargo, dicho consentimiento se daba en el ecosistema particular educativo y universitario, no se considera que cumple los requisitos del  RGPD. Más en concreto, la AEPD entiende que el consentimiento no puede considerarse válido por cuanto no se daba alternativa real y efectiva a los estudiantes al ser el software empleado el único método permitido para realizar los exámenes online. Su rechazo por parte del alumnado implicaba perder su derecho a la evaluación. Tampoco se considera un consentimiento válido la aceptación obligatoria de unas condiciones generales al matricularse.

En la resolución dictada se rechaza que exista una base de legitimación del interés público esencial (art. 9.2.g RGPD), dado que no existe actualmente ninguna ley nacional específica del ámbito educativo universitario ‒que es el que corresponde‒ que habilite expresamente a las universidades a realizar este tratamiento biométrico en el marco de los exámenes a distancia. Aunque la UIV invocó el artículo 46.3 de la Ley Orgánica de Universidades, que establece la obligación general de las universidades de verificar los conocimientos adquiridos por sus estudiantes, la AEPD considera insuficiente esta base normativa.

En la resolución se afirma que sería precisa una ley habilitante específica, que, como exigen las sentencias 292/2000 y 76/2019 del Tribunal Constitucional o la jurisprudencia del TEDH, determinase concretamente en qué casos, condiciones y bajo qué garantías puede realizarse este tratamiento biométrico. A juicio de la AEPD, dicha ley habría de expresar la finalidad de prevención del fraude académico como interés público esencial perseguido. También habría de incluir las circunstancias y modalidades específicas de aplicación del tratamiento biométrico y en su caso con IA de considerarse posible y los elementos básicos de las garantías técnicas, organizativas y procedimentales exigidas para proteger derechos fundamentales.

La resolución no cierra la puerta al uso de estos sistemas para la identificación de los estudiantes con la finalidad de prevención del fraude en el contexto educativo, incluso con sistemas de inteligencia artificial. No en vano, estos sistemas están expresamente previstos en el Reglamento de Inteligencia Artificial (RIA) de la UE como de alto riesgo (Anexo III). Ahora bien, la AEPD deja claro que el RIA no proporciona cobertura legal para amparar el uso actual de este tipo de tecnologías en el ámbito educativo en España, sino que, como indica expresamente el propio RIA, se requiere una decisión nacional (o europea) al respecto que establezca las garantías oportunas.

La resolución íntegra a la que hace referencia este texto se publicará en su correspondiente sección.