María M. Pardo de Vera, Abogada privacidad, Socia y responsable área de protección de datos de HELAS
La AEPD está siendo muy restrictiva a la hora de permitir aplicar ciertas medidas de control que pueden poner en peligro nuestro derecho fundamental a la protección de datos. Nos encontramos en un punto de inflexión crítico, no solo debido a la situación de pandemia, sino en relación con nuestro modelo de derechos y libertades.
Los colegios y universidades afrontan la época de exámenes y evaluaciones online para el cierre del curso. Y uno de los problemas a los que tienen que dar respuesta es cómo van a verificar la identidad del alumno o que éste no se levanta en medio de la prueba y le sustituye otra persona. Proponen como alternativa el reconocimiento facial para el control y vigilancia de sus alumnos.
La AEPD se ha pronunciado y ha dejado claro que las técnicas de reconocimiento facial implican una mayor intrusión en el derecho a la protección de datos personales, y que existen medidas alternativas para la evaluación online. De hecho, las técnicas de evaluación on line se vienen realizando por algunas universidades españolas desde hace años utilizándose otros métodos para verificar la identidad de los alumnos. De hecho, el Gobierno ya ha comenzado la desescalada educativa, por lo que podrán realizarse ciertas pruebas presenciales, si las condiciones sanitarias lo permiten.
O el alumno da su consentimiento libre a que se utilicen sus datos biométricos en igualdad de condiciones que un alumno que no lo de, o debe existir una norma con rango de ley que lo permita.
Estamos ante un tratamiento de datos biométricos, el rostro del alumno, con la finalidad de identificar unívocamente a una persona física, lo que hace que estos datos biométricos se consideren como categorías especiales de datos. Estos datos tienen un valor muy alto, por lo que hay que evitar que, aprovechando esta situación de emergencia, se produzcan abusos por parte de terceros que nos lleven a pérdida de libertades, discriminación o de otros daños a los ciudadanos.
Es por esto, que el consentimiento del alumno sí podría permitir el tratamiento de sus datos biométricos, sin embargo, la AEPD sostiene que este no sería un consentimiento libre, atendiendo a que el alumno se encuentra en una situación de inferioridad con su escuela o universidad al no ofrecerle otras alternativas y que fueran equiparables en cuanto a su duración y dificultad a las que se realicen mediante el empleo del reconocimiento facial. Por supuesto, no sería admisible que como consecuencia de la denegación del consentimiento por parte del alumno se le deniegue la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.
Por tanto, un alumno no puede ser obligado a someterse a estas técnicas para garantizar la identidad de los alumnos durante el examen. Sólo sería válido el consentimiento del alumno si los colegios y universidades pueden acreditar la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan.
En ausencia de consentimiento, la AEPD alega que si existiera una norma con rango de ley (nacional o europea) que así lo permita, entonces, podríamos encontrar la base de legitimación en un interés público esencial.
En ambos supuestos, consentimiento libre del alumno o norma con rango de ley, la AEPD lo supedita a cumplir una serie de requisitos: un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales, atendiendo al principio de responsabilidad proactiva y la necesidad de realizar los correspondientes análisis de riesgos, evaluaciones de impacto en la protección de datos y, en su caso, consulta previa a la autoridad de control.
Con los exámenes a la vuelta de la esquina, no parece que exista tiempo suficiente para todo esto y los colegios y universidades deberán plantearse otra medida de control y vigilancia en sus exámenes on line.