| ||||||||||||||||||||||
La AEPD sanciona el tratamiento de datos biométricos con IA en la VIU pero ve posibilidad de desarrollo normativo | |||
| |||
|
La agencia sostiene que el consentimiento del alumando no puede considerarse válido al no haber otra alternativa a ese método La Agencia Española de Protección de Datos (AEPD) sanciona el tratamiento de datos biométricos utilizados por la Universidad Internacional Valenciana (VIU) en el marco de las evaluaciones online, como por ejemplo tecnologías de reconocimiento facial para evitar fraudes académicos, sin embargo, no lo excluye con un adecuado desarrollo normativo. Así conta en un comunicado de la AEPD en relación con una resolución en la que la agencia aborda la legitimación del tratamiento de datos biométricos con IA en la evaluación universitaria online y, si bien rechaza la legitimación de este tratamiento en la actualidad, apunta a posibilidades normativas. Los hechos objeto de la resolución, que puede ser recurrida, se originan por la denuncia presentada ante la AEPD contra la VIU debido a la imposición de un sistema de monitorización de exámenes a distancia, que implicaba, "obligatoriamente y sin alternativas válidas" para el alumnado, el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360) con la finalidad declarada de evitar fraudes y suplantaciones en evaluaciones académicas online. El software utilizaba un sistema de reconocimiento facial mediante inteligencia artificial por el que se capturaban y analizaban imágenes en tiempo real para verificar de forma continuada la identidad de los estudiantes durante los exámenes, según ha informado la AEPF. La institución académica justificaba el tratamiento de los datos personales biométricos "en la necesidad de garantizar la autenticidad y calidad de las evaluaciones online, previniendo fraudes y suplantaciones". También señaló que contaba con el consentimiento "libre" y "expreso" del alumnado (otorgado al matricularse y aceptar las condiciones generales), así como alegaba "interés público esencial" en la lucha contra el fraude académico. Para evaluar la intensidad y el impacto de dicho tratamiento de datos personales en las personas afectadas, la AEPD ha considerado algunos "aspectos relevantes", como que el sistema utilizaba una verificación continua (comparación 1:1 en tiempo real) basada en datos biométricos (patrones faciales generados y suprimidos cada pocos segundos). También incluía monitorización del escritorio de la persona examinada (captura de pantallas, detección de programas, periféricos conectados, etc) así como la monitorización del entorno del estudiante mediante una segunda cámara, con la que se analizaba con inteligencia artificial la presencia de otras personas u objetos no permitidos.
DATOS SUPRIMIDOS "RÁPIDAMENTE" La agencia centra una gran parte del análisis jurídico en el hecho de que los datos tratados son "de categoría especial", regulados por el artículo 9 del Reglamento General de Protección de Datos (RGPD), tal y como confirmó el Comité Europeo de Protección de Datos en sus Directrices 5/2022. Este precepto establece una prohibición general de tratamiento de categorías especiales de datos que solo puede ser exceptuada cuando concurra alguna de las circunstancias previstas en el apartado 2 del artículo 9. En este caso, se considera que no había ninguna excepción legítima del artículo 9.2 RGPD que permitiese el tratamiento realizado por la VIU, señala la agencia. De una parte, se descarta el consentimiento (artículo 9.2.a RGPD), pues alegaba la VIU que se recababa en varios momentos (fase precontractual al consultar condiciones generales, al formalizar la matrícula, al registrar la imagen en el software utilizado y al instalar la aplicación), pero ese consentimiento se daba "en el ecosistema particular educativo y universitario", por lo que no se considera que cumple los requisitos del RGPD. Más en concreto, la AEPD entiende que el consentimiento "no puede considerarse válido por cuanto no se daba alternativa real y efectiva a los estudiantes al ser el software empleado el único método permitido para realizar los exámenes online". Su rechazo por parte del alumnado implicaba perder su derecho a la evaluación. Tampoco se considera un consentimiento válido la aceptación obligatoria de unas condiciones generales al matricularse. En la resolución se rechaza que exista una base de legitimación del interés público esencial (art. 9.2.g RGPD), dado que no existe actualmente ninguna ley nacional específica del ámbito educativo universitario -que es el que corresponde- "que habilite expresamente a las universidades a realizar este tratamiento biométrico en el marco de los exámenes a distancia". Aunque la VIU invocó el artículo 46.3 de la Ley Orgánica de Universidades, que establece la obligación general de las universidades de verificar los conocimientos adquiridos por sus estudiantes, la AEPD considera "insuficiente" esta base normativa.
LEY HABILITANTE ESPECÍFICA A juicio de la AEPD, dicha ley "habría de expresar la finalidad de prevención del fraude académico como interés público esencial perseguido". También habría de incluir las circunstancias y modalidades específicas de aplicación del tratamiento biométrico y en su caso con IA de considerarse posible y los elementos básicos de las garantías técnicas, organizativas y procedimentales exigidas para proteger derechos fundamentales. La resolución no cierra la puerta al uso de estos sistemas para la identificación de los estudiantes con la finalidad de prevención del fraude en el contexto educativo, incluso con sistemas de inteligencia artificial. Así, señala que estos sistemas están "expresamente previstos" en el Reglamento de Inteligencia Artificial (RIA) de la UE como "de alto riesgo", pero la AEPD deja claro que el RIA "no proporciona cobertura legal para amparar el uso actual de este tipo de tecnologías en el ámbito educativo en España, sino que, como indica expresamente el propio RIA, se requiere una decisión nacional (o europea) al respecto que establezca las garantías oportunas". |
| ||||||||||||||
