La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una resolución en la que analiza el uso de tecnologías automáticas de reconocimiento facial “para evitar el fraude en el marco de la evaluación online”. Su conclusión es que, al ser los datos biométricos unos datos de categoría especial y que, por tanto, solo pueden ser tratados en casos excepcionales en los que se justifique el riesgo de manipular datos tan sensibles, las universidades no están legitimadas para hacerlo.
La Agencia no descarta la posibilidad de que se pueda hacer en un futuro, pero para ello se necesitará desarrollar una normativa específica que determine “en qué casos, condiciones y bajo qué garantías puede realizarse este tratamiento biométrico”.
La resolución tiene su origen en una denuncia presentada ante la AEPD contra la Universitat Internacional Valenciana (UIV) debido a la imposición de un sistema de monitorización de exámenes a distancia. “Este sistema implicaba, obligatoriamente y sin alternativas válidas para el alumnado, el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360) con la finalidad declarada de evitar fraudes y suplantaciones en evaluaciones académicas online. El software utilizaba un sistema de reconocimiento facial mediante inteligencia artificial (IA) por el que se capturaban y analizaban imágenes en tiempo real para verificar de forma continuada la identidad de los estudiantes durante los exámenes”, señala la Agencia.
El sistema de la UIV utilizaba una “verificación continua basada en datos biométricos (patrones faciales generados y suprimidos cada pocos segundos). También incluía monitorización del escritorio de la persona examinada (captura de pantallas, detección de programas, periféricos conectados, etc.), así como la monitorización del entorno del estudiante mediante una segunda cámara, con la que se analizaba con IA la presencia de otras personas u objetos no permitidos”. La UIV afirmaba que los datos tratados “eran seudonimizados y suprimidos rápidamente”. La propia Universidad reconocía que el tratamiento suponía un riesgo muy alto de impacto para los derechos y libertades de las personas afectadas.
Los sistemas de vigilancia de exámenes mediante reconocimiento facial se pusieron de moda durante la pandemia. Muchas universidades, especialmente las estadounidenses y asiáticas, apostaron por estos métodos para seguir adelante con el curso académico. España no fue ajena a esta tendencia. La Universidad Internacional de La Rioja fue una de las primeras en sumarse al carro y la AEPD emitió ya en 2021 una advertencia en la que especificaba que “no resulta justificada” la necesidad de tratar datos personales por esos medios e instaba al centro a que adoptase “las medidas correctivas encaminadas a evitar que el tratamiento previsto pueda suponer un posible incumplimiento de la legislación de protección de datos”.
La resolución publicada hoy sigue esa línea de argumentación. La misma que ha llevado a otros centros, como la Universidad Nacional de Educación a Distancia (UNED), a descartar el uso de estas tecnologías.
