Como ha reiterado la Agencia en las últimas semanas, la situación actual no implica la suspensión del derecho fundamental a la protección de datos, por lo que todo tratamiento de datos personales debe ajustarse a las previsiones del Reglamento General de Protección de Datos (RGPD).
En cuanto a la utilización del consentimiento como base legal para utilizar el reconocimiento facial, el Reglamento establece que el consentimiento del afectado debe ser libre y que no puede considerarse prestado de forma libre y, por tanto, válida cuando el afectado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Tampoco puede considerarse libre cuando existe un desequilibro claro entre el interesado y el responsable del tratamiento.
Partiendo de dichos criterios, la posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial para tratar sus datos biométricos en las evaluaciones online requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad respecto a las que se realicen con reconocimiento facial. En otro caso como, por ejemplo, si las actividades alternativas ofrecidas fueran más gravosas o implicaran una mayor dificultad, el consentimiento no podría considerarse libremente prestado. Y lo que no sería admisible, en ningún caso, es que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.
El informe añade que corresponde a las universidades, en virtud del principio de autonomía universitaria y como responsables del tratamiento, determinar en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan. Sólo así el tratamiento podría estar basado en el consentimiento.
Por otro lado, el tratamiento de datos personales necesarios para la prestación del servicio público de educación se legitima, con carácter general, en la existencia de un interés público. Sin embargo, en el caso del reconocimiento facial, al tratarse de categorías especiales de datos, el Reglamento requiere la existencia de un “interés público esencial” para que pueda ser legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados.
La aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley que justifique en qué medida y en qué supuestos la identificación de los alumnos mediante el empleo de la biometría respondería al mismo. Dicha norma, inexistente en la actualidad en el ordenamiento jurídico, exigiría una especial justificación de la necesidad de optar por el reconocimiento facial respecto otras medidas que permiten acreditar la identidad de los alumnos y supervisar los procesos de evaluación con una menor intrusión en los derechos de los afectados, definiendo asimismo las garantías técnicas, organizativas y procedimentales adecuadas y respetando el principio de proporcionalidad y la necesidad.
Por tanto, las técnicas de reconocimiento facial, que se realizan de forma continuada para la comparación del alumno con terceros al objeto de identificar una posible suplantación, implican el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a una persona física, por lo que exigen garantías reforzadas. A este respecto, la propia comunidad universitaria ha planteado medidas alternativas para la evaluación online menos intrusivas que permiten hacer frente a la situación generada por la declaración del estado de alarma. A ello se suma que el Gobierno ya ha iniciado el plan de desescalada que podría permitir realizar, con las restricciones que establezcan las autoridades sanitarias, pruebas presenciales. Por tanto, debe primar un criterio de prudencia que permita un análisis de sus implicaciones y, en todo caso, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, atendiendo al principio de responsabilidad proactiva, la necesidad de realizar los correspondientes análisis de riesgos, evaluaciones de impacto en la protección de datos y, si correspondiese, consulta previa a la autoridad de control.
Consulta el informe sobre reconocimiento facial en exámenes online de la AEPD.