La AEPD exige garantías para usar el reconocimiento facial en los exámenes

La Agencia Española de Protección de Datos (AEPD) ha subrayado este viernes que las técnicas de reconocimiento facial para identificar a los alumnos en los exámenes durante la crisis del coronavirus exigen “garantías reforzadas”.

Este organismo ha recordado que las técnicas que se utilizan para la identificación biométrica de las personas suponen un tratamiento de datos personales que está previsto entre las “categorías especiales”, y ha subrayado que el Reglamento General de Protección de Datos regula las garantías que se deben tener en cuenta.

En el caso de que se opte por basar “en el interés público” el reconocimiento facial de los alumnos, la Agencia Española de Protección de Datos ha observado que sería necesario aprobar una norma con rango de ley que lo permitiera y en la que se deberían establecer garantías específicas para esos tratamientos de datos.

El organismo que vela por la adecuada protección de los datos personales en España ha publicado hoy un informe en el que analiza varias cuestiones relativas al uso de las técnicas de reconocimiento facial para realizar pruebas de evaluación online durante la crisis sanitaria ocasionada por la COVID-19.

La Agencia ha incidido en que la situación actual no implica la suspensión del derecho fundamental a la protección de datos, por lo que todo tratamiento de los datos personales se debe ajustar a la legalidad.

Sobre la utilización del consentimiento como base legal para utilizar el reconocimiento facial, el Reglamento establece que el consentimiento del afectado tiene que ser libre y que no se puede considerar que se ha dado libremente cuando la persona interesada no puede negar o retirar el consentimiento por temor a sufrir algún prejuicio.

Tampoco se considera que ese consentimiento se concede en libertad cuando existe un “desequilibrio claro” entre el interesado y el responsable del tratamiento de esos datos.

Así, según la AEPD, ese consentimiento requeriría que a los interesados se les ofreciera la posibilidad de realizar esas evaluaciones en una situación equiparable en la que no fuera necesario el uso de esas técnicas, como hacer la misma actividad presencialmente, u ofrecer otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran similares en cuanto a su duración y dificultad.

Si las actividades alternativas que se ofrecen a los alumnos son “más gravosas” o implican una mayor dificultad, el consentimiento que prestan tampoco se podría considerar libre.

“Y lo que no sería admisible, en ningún caso, es que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno”, ha advertido la Agencia Española de Protección de Datos.

El informe apunta que las universidades tienen que determinar en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan.

La aplicación del interés público “esencial” para legitimar ese tipo de tratamientos requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos se puede utilizar la identificación de los alumnos mediante la biometría, una norma que en la actualidad no existe.

La Agencia ha recordado que la propia comunidad universitaria ha planteado ya medidas alternativas para la evaluación online menos intrusivas y que permiten hacer frente a la situación generada por la declaración del estado de alarma.

Ha señalado además que el Gobierno ya ha iniciado el plan de desescalada y que podría permitir realizar, con las restricciones que establezcan las autoridades sanitarias, pruebas presenciales.

Por lo tanto, según la Agencia de Protección de Datos, debe primar un criterio de prudencia que permita un análisis de las implicaciones que tienen esas técnicas y un estudio riguroso de los riesgos que implican esos tratamientos, así como de las garantías que se deben adoptar para proteger el derecho a la protección de los datos personales.