Togas.biz

Como apuntábamos en otra entrada, las técnicas de reconocimiento facial están cada vez más presentes en muchos aspectos de nuestra vida cotidiana y, como no podría ser de otro modo, su utilización se ha extendido en la actual situación de crisis sanitaria ocasionada por el COVID-19. Un ejemplo paradigmático es el uso del reconocimiento facial en el entorno educativo, en el que se hace necesario un control de los alumnos que realizan exámenes online a raíz de la imposibilidad de desplazarse al centro educativo.

La Agencia Española de Protección de Datos (“AEPD”) ha publicado un Informe Jurídico en el que establece determinadas pautas para el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online. A continuación resumimos los puntos esenciales del informe:

¿Cuál sería la base legal para el uso de técnicas de reconocimiento facial?

Con carácter general, el tratamiento de datos personales necesarios para la prestación del servicio público de educación se legitima en la existencia de un interés público. Sin embargo, en el caso del reconocimiento facial, al tratarse de categorías especiales de datos, la AEPD recuerda que el Reglamento General de Protección de Datos (“RGPD”) exige la existencia de un “interés público esencial” (art. 6.1.e RGPD) y, por tanto, se requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos la identificación de los alumnos mediante el empleo de la biometría respondería al mismo. Esta norma, inexistente en nuestro ordenamiento jurídico, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto otras medidas que permiten acreditar la identidad de los alumnos y supervisar los procesos de evaluación con una menor intrusión en los derechos de los afectados, definiendo asimismo las garantías técnicas, organizativas y procedimentales adecuadas y respetando el principio de proporcionalidad y la necesidad.

¿El reconocimiento facial puede ampararse en el consentimiento?

La AEPD considera que, la posibilidad de admitir un consentimiento libre de los alumnos que permitiera el uso del reconocimiento facial para tratar sus datos biométricos en exámenes online, requeriría que se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad respecto a las que se realicen con reconocimiento facial. No sería admisible, en ningún caso, que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.

¿Qué requisitos adicionales deberían cumplirse?

En los casos en que pueda acreditarse la existencia de un consentimiento libre del alumno o, cuando se apruebe la norma con rango de ley sobre la identificación de los alumnos mediante el empleo de la biometría, el uso de reconocimiento facial por los centros educativos exigiría el cumplimiento de determinados requisitos adicionales. En concreto, la AEPD subraya que el reconocimiento facial supone un tratamiento de categorías especiales de datos (datos biométricos), mediante nuevas tecnologías, por lo que sería necesario la realización de una evaluación de impacto en la protección de datos. La evaluación de impacto debería analizar, entre otras cuestiones, si existen medidas menos intrusivas que permitan cumplir con la finalidad de controlar la realización de exámenes online. En este sentido, la AEPD indica dos aspectos que resultan fundamentales en el actual contexto: (a) que la propia comunidad universitaria ha planteado medidas alternativas para la evaluación online menos intrusivas que permiten hacer frente a la situación generada por la declaración del estado de alarma; y (b) que el Gobierno ya ha iniciado el plan de desescalada que podría permitir realizar, con las restricciones que establezcan las autoridades sanitarias, pruebas presenciales.

¿Cuál es la conclusión de la AEPD?

A la vista de lo anterior, la AEPD concluye que debe primar un criterio de prudencia que permita un análisis de las implicaciones de los sistemas de reconocimiento facial y, en todo caso, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, atendiendo al principio de responsabilidad proactiva, la necesidad de realizar los correspondientes análisis de riesgos, evaluaciones de impacto en la protección de datos y, si correspondiese, consulta previa a la autoridad de control.

Sergi Gálvez Asociado

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas.