El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online durante el estado de alarma declarado por la pandemia de COVID-19. La consulta se centra en la verificación de la identidad de los estudiantes en un entorno virtual, dado que la migración a la educación online ha eliminado la supervisión física directa.
El informe destaca que, aunque el estado de alarma no suspende el derecho fundamental a la protección de datos, sí permite ajustes en la normativa para responder a la crisis sanitaria. La AEPD subraya que cualquier tratamiento de datos personales debe ajustarse al Reglamento General de Protección de Datos (RGPD) y a la normativa sectorial aplicable en salud pública.
Se analizan diversas medidas alternativas al reconocimiento facial, como la asignación de identificadores de acceso y el uso de herramientas de videoconferencia. La AEPD reconoce que el reconocimiento facial implica el tratamiento de datos biométricos, considerados categorías especiales de datos según el RGPD. Para legitimar este tratamiento, se deben cumplir requisitos específicos, como el consentimiento explícito del interesado o la existencia de un interés público esencial.
El informe detalla que el consentimiento debe ser libre, específico, informado e inequívoco. Sin embargo, en el contexto educativo, donde existe una relación de desigualdad entre la universidad y el estudiante, el consentimiento podría no ser considerado libremente prestado. Por ello, se sugiere que las universidades ofrezcan alternativas equiparables a los estudiantes que no consientan el tratamiento de sus datos biométricos.
Además, se analiza la posibilidad de amparar el tratamiento de datos biométricos en un interés público esencial, conforme al artículo 9.2.g) del RGPD. Para ello, se requiere una norma con rango de ley que especifique el interés público esencial y establezca garantías adecuadas. La AEPD concluye que la normativa actual es insuficiente para justificar el uso del reconocimiento facial en evaluaciones online.
Finalmente, el informe subraya la necesidad de realizar un análisis de riesgos y, en su caso, una evaluación de impacto en la protección de datos. Las universidades deben adoptar medidas técnicas, organizativas y procedimentales para mitigar los riesgos asociados al tratamiento de datos biométricos. La AEPD recomienda que los datos biométricos permanezcan bajo el control del interesado para minimizar la injerencia en su derecho a la protección de datos.