El reconocimiento facial de nuevo a examen: la AEPD vuelve a pronunciarse

El mes pasado tuvo entrada ante la Agencia Española de Protección de datos (en adelante, AEPD) una denuncia formulada por varios alumnos de la Universidad Internacional de la Rioja S.A (en adelante UNIR) en relación con el reconocimiento facial al que iban a ser sometidos en los próximos exámenes debido a la actual situación epidemiológica del COVID 19 en la que seguimos inmersos.

Los reclamantes indicaban que, para la realización de los exámenes online, la UNIR les ha comunicado la implantación de un sistema en sus ordenadores para monitorizar de forma remota la realización de estos mediante un sistema de control biométrico, que consideran altamente intrusivo, indicando que el consentimiento se encuentra condicionado, dado que la falta de aceptación del sistema planteado supondría la realización presencial de los exámenes, con los riesgos que supondrían los desplazamientos ante la actual situación sanitaria. La respuesta de la AEPD no se hizo esperar y dictó resolución de advertencia indicando el modo de proceder.

Con carácter previo a la admisión a trámite de esta reclamación, y en respuesta al requerimiento de la AEPD, se recibe un escrito de UNIR aportando un certificado de desactivación de reconocimiento facial en el que consta que no se realizará procedimiento de datos biométricos relativos a la monitorización de los estudiantes de UNIR en la próxima convocatoria y que el análisis y procesamiento de las imágenes se realizará de forma manual por personal cualificado.

Atendiendo al informe de la AEPD 0036/2020 respecto del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online haciendo mención a la doctrina de nuestro Tribunal Constitucional para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple tres condiciones: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

De ahí que se aporte por parte de la UNIR la realización del juicio de proporcionalidad de dicho tratamiento:

En cuanto al juicio de idoneidad: lo que se pretende con el uso de estas técnicas de reconocimiento facial es garantizar las obligaciones de las universidades en cuanto a la correcta identificación de los estudiantes en los procesos de evaluación y verificación de sus conocimientos. Se presenta la identificación facial como el medio más idóneo para la consecución de los fines. Además, también permitía garantizar la igualdad entre los alumnos que se presentan de forma presencial y los que optaban por el sistema online.

En cuanto al juicio de necesidad: consideran que, dado el sistema de educación de UNIR, este tipo de sistemas cumplen con el fin perseguido, de garantizar la eficacia de los sistemas de evaluación y evitar técnicas de fraude y/o suplantación de identidad, como se ha visto en la práctica.

En cuanto al juicio de proporcionalidad en sentido estricto: Se entiende que la medida es ponderada. No solo no causa un perjuicio sobre la protección de datos de carácter personal, sino que acredita que las pruebas de evaluación se realizan en condiciones óptimas que garantizan el valor y veracidad de la prueba. Asimismo, hay que señalar que esta medida no es obligatoria, sino que es alternativa, lo cual hace que sea equilibrada, solo sometiéndose a la misma aquellos alumnos que así lo consideren.

Desde su punto de vista, se cumple con la normativa en materia de protección de datos y no se produce una restricción del derecho a la protección de datos concluyendo que la medida en sí no es desproporcionada, debido a que es idónea para alcanzar la finalidad perseguida. Es necesaria, no habiendo medidas alternativas que garanticen el resultado pretendido con igual eficacia y es equilibrada, en cuanto a que no causa un mayor perjuicio individual frente al beneficio general.

Adicionalmente, se añade que con el objetivo de garantizar que el encargado de tratamiento que presta el servicio de software de la aplicación de reconocimiento facial reúne un nivel adecuado en el cumplimiento de la protección de datos, se ha realizado una evaluación de idoneidad, analizando las medidas de seguridad implantadas y formalizando el correspondiente contrato de encargado de tratamiento, así como revisando las auditorías periódicamente.

En lo relativo al principio de información, UNIR indica que a los estudiantes se les ha informado de conformidad a lo establecido en el artículo 13 y 14 del Reglamento Europeo de Protección de datos (en adelante, RGPD) y 11 de la ley Orgánica de Protección de datos y garantía de derechos digitales (en adelante, LOPDGDD), por lo que se cumplen con las exigencias del principio de transparencia. A mayores, se ha llevado a cabo una evaluación de impacto en protección de datos en la que se concluye que existe un riesgo bajo sobre los tratamientos que se realizan y se determina que no es necesario realizar una consulta previa a la autoridad de control conforme a lo establecido en el artículo 36 del RGPD.

En este caso, no estaríamos ante una situación en la que el riesgo residual, es decir, aquel que queda después de haber previsto medidas de seguridad para mitigar el riesgo de las operaciones de tratamiento, siga suponiendo un riesgo inaceptable para los derechos y libertades de las personas cuyos datos serían objeto de tratamiento.

Tampoco podemos olvidar que los datos tratados pertenecen a categorías especiales de datos y que el tratamiento se lleva a cabo de forma automatizada y a través de tecnología innovadora o de reciente creación. Todo ello con la finalidad de garantizar la privacidad por defecto y desde el diseño, así como el principio de accountability, dicho tratamiento se ve sujeto a un proceso de revisión continua y a un sistema de mejora constante.

Por otro lado, y en aras de arrojar un poco más de luz en el análisis de esta cuestión, La Conferencia de Rectores de las Universidades Españolas solicita un informe a la AEPD respecto del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online donde se concluye que “todo tratamiento de datos personales que deba realizarse como consecuencia de la pandemia y de la declaración del estado de alarma deberá respetar el derecho fundamental a la protección de datos personales, ajustándose a las previsiones del RGPD (…”).

No hay duda de que dicho proceso de reconocimiento facial empleado para la realización de evaluaciones online implica el tratamiento de datos biométricos con la finalidad de identificar unívocamente a una persona física (modelo e-proctoring, del que hemos hablado en uno de nuestros artículos), por ello no solo requiere de una base jurídica necesaria sino de un análisis documentado de los riesgos asociados a dicho tratamiento, así como la correspondiente firma del contrato de encargado de tratamiento.

Desde el punto de vista de la legitimación, debe concurrir alguna de las excepciones que levanten la prohibición de su tratamiento, conforme al apartado 2 del artículo 9 del RGPD, considerando la posibilidad de que el alumno pueda prestar su consentimiento y en qué medida es este libre y cumple con los requisitos del art 4.11 del RGPD. El principal problema que se plantea en el presente caso es que el alumno no se encuentre en una situación de igualdad con respecto a la UNIR, así como que no pueda retirar el consentimiento sin sufrir perjuicio alguno dado que la falta de aceptación del sistema propuesto supondría la realización presencial de exámenes, con los riesgos que supondrían los desplazamientos ante la actual situación sanitaria.

Partiendo de dichas premisas, la posibilidad de admitir un consentimiento libre por parte de los alumnos en el tratamiento del reconocimiento facial en las evaluaciones online, requiere que a estos se les ofrezca la posibilidad de una evaluación alternativa como puede ser la presencial, que es el caso de que ha hecho la UNIR.

Por parte de la AEPD y pese a toda la documentación aportada por la UNIR, se determina que no se justifica la necesidad del tratamiento, ya que la identificación online de los alumnos se ha estado realizando de forma habitual por los centros universitarios mediante la visualización del alumno sin emplear técnicas de reconocimiento facial. Sobre este particular, es necesario subrayar que no cabe confundir necesidad con conveniencia como recuerda el informe de la AEPD 372/2016, así la utilización de técnicas de reconocimiento facial puede ser conveniente para UNIR, pero no necesaria para la consecución del fin pretendido.

Asimismo, se reitera que las técnicas de reconocimiento facial implican una mayor intrusión en el derecho a la protección de datos personales y que el tratamiento que se pretende realizar podría suponer un alto riesgo para los derechos y libertades de las personas físicas. Por consiguiente, esta y cualquier medida de control que se adopte debe superar este juicio de proporcionalidad, determinando si la medida es adecuada, necesaria y equilibrada, ya que en otro caso resulta desproporcionada y por ende contraria a la normativa de protección de datos.