Reconocimiento facial en exámenes. ¿Es proporcional?

La Autoritat Catalana de Protecció de Dades ha sancionado a la Universitat Oberta de Catalunya por recabar datos biométricos de sus estudiantes a través de reconocimiento facial, con el fin de comprobar que eran ellos quienes realizaban el examen y no otra persona.

Ahora bien, ¿Cuáles son los límites establecidos al tratamiento de datos biométricos? ¿Qué requisitos han de darse para ello?

¿Qué son los datos biométricos?

Los datos biométricos son los datos personales que se usan para comprobar las características físicas únicas y la singularidad de una persona para verificar que es quien dice ser.

Éstas pueden ser físicas, fisiológicas o del propio comportamiento, y facilitarán la identificación de una persona física, a través de sistemas tecnológicos como las huellas dactilares, el reconocimiento facial o reconocimiento por voz, entre otros.

Una persona contiene innumerables datos sensibles y exclusivos en su cuerpo, los cuales se almacenan y codifican para posteriormente utilizarse en procesos de identificación.

Legitimación del reconocimiento facial

A la hora de realizar una prueba de reconocimiento facial, se abre paso a dilema entre el interés del Estado centrado en la seguridad pública y el derecho individual del ciudadano.

El RGPD, concretamente en su artículo 9, habla de las categorías especiales de tratamiento de datos.

Entre los datos considerados sensibles , se encuentran los datos biométricos, cuyo tratamiento no está permitido, a excepción de que concurra lo siguiente:

  • El consentimiento del interesado.
  • Que el tratamiento sea necesario por razones de interés público esencial.

Ante esto, la AEPD ha señalado la necesidad de proporcionalidad ante la legitimación por  interés público .

De acuerdo con el art. 9.2 de la LOPDGDD, el tratamiento de datos biométricos ha de recogerse en una norma con rango de Ley.

Por tanto, para que el tratamiento de datos biométricos sea proporcional y ajustado a la ley, deberá cumplir con los siguientes requisitos:

  1. Existencia de una base legal que legitime el uso del sistema de reconocimiento facial (un contrato laboral,  interés legítimo justificado o bien un interés público).
  2. Examinar si la utilización de este sistema es proporcional e idóneo. Esto es, asegurar que no existe otra medida efectiva menos invasiva sobre la privacidad de los afectados, que logre el mismo fin perseguido.
  3. Llevar a cabo una evaluación de impacto, dentro del marco de un tratamiento y con relación a sus fines últimos.
  4. Tomar medidas de seguridad de carácter técnico y organizativo que garanticen la disponibilidad, confidencialidad e integridad de los datos biométricos.
  5.  Incluir este uso del sistema de reconocimiento facial en el registro de actividades de tratamiento.

En el caso de que estos requisitos de carácter necesario no se cumplan, el uso del sistema de reconocimiento facial se considerará desproporcionado e invasivo respecto a la privacidad de los interesados.

Sanción a una Universidad catalana por reconocimiento facial en exámenes

En la resolución sancionadora a la Universidad catalana que utilizó el sistema de reconocimiento facial de sus alumnos, se determinó que el tratamiento de los datos biométricos de los alumnos no se encuentra amparado por ninguna de las excepciones recogidas en el RGPD.

Consideró no superado el juicio de proporcionalidad entre la medida tomada y los derechos fundamentales en juego.

Además, añadió que existen otros métodos menos invasivos e intrusivos para controlar y prevenir el fraude académico:

Este sistema no cumple con el principio de licitud del tratamiento que impone la normativa de protección de datos, y que existen otras medidas lícitas menos intrusivas e igualmente idóneas para la prevención del fraude académico“.

Varios fueron los alumnos que denunciaron a la Universidad por el uso del sistema de reconocimiento facial a la hora de hacer un examen.

La Universidad  afirmó que la mayoría de sus asignaturas se aprobaban sin necesidad de un examen final, en el cual se realizaba esta prueba de reconocimiento facial, por lo que eran muchos los alumnos que no tenían que someterse a este sistema biométrico.

Alegó también que el uso del sistema era proporcional y adecuado para verificar la identidad de cada uno de sus alumnos a la hora de realizar un examen.

Sin embargo, manifestó que era necesaria la utilización de este sistema para contrastar dicho reconocimiento facial con la foto del DNI del alumno, además de contrastarlo con las diferentes imágenes que se iban captando de éste último a lo largo del examen.

Finalmente, la Autoritat Catalana de Protecció de Dades sancionó a la universidad infractora con una multa de 20.000€.

Desde Auratech, estamos a su disposición.

 

/0 Comentarios/por
Quizás te interese
La figura del DPO en la Unión Europea
Categorías especiales de datos bajo el GDPR
El fraude de los cursos de formación bonificada
Tratamientos biométricos en el ámbito laboral Tratamientos Biométricos en el Ámbito Laboral: la Guía de la AEPD
El nuevo marco de privacidad EE.UU – UE
La repercusión de la nueva Ley de Mercados Digitales (DMA)
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *