Datos biométricos en Universidades

Datos biometricos LOPD RGPD COVID19Poco a poco la sociedad se va adaptando a los cambios provocados por la situación que actualmente estamos viviendo, un claro ejemplo lo encontramos en la comunidad universitaria, ya que se está planteando la posibilidad de recurrir a técnicas de reconocimiento facial para la identificación unívoca de los alumnos que realicen pruebas de evaluación online, lo que implicaría el tratamiento de datos biométricos.

Hasta la fecha, los tratamientos de datos derivados de los métodos tradicionales de evaluación de los alumnos quedaban legitimados por la existencia de un interés público en aplicación de lo dispuesto en el artículo 6.1 e) del Reglamento General de Protección de Datos, puesto que la educación superior es un servicio público regulado en la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades. No obstante, dicha legitimación no sería suficiente para amparar los tratamientos de datos  biométricos, de hecho para que dicho tratamiento sea lícito deberá quedar amparado por alguno de los supuestos contemplados en el artículo 9.2 del Reglamento General de Protección de Datos. Sobre este asunto, ya se ha pronunciado la Agencia Española de Protección de Datos con todo detalle en un informe jurídico que puede consultarse en el siguiente enlace https://www.aepd.es/es/documento/2020-0036.pdf

A modo de resumen, es de destacar que, a consideración de la Agencia Española de Protección de Datos, el tratamiento de datos biométricos por parte de la comunidad universitaria recurriendo a herramientas de reconocimiento facial para la evaluación de sus alumnos, únicamente podría tener amparo bien obteniendo el consentimiento del afectado o bien por la existencia de un interés público esencial. 

Respecto al consentimiento del afectado, éste deberá ser libre, expreso, específico e informado tal y como se establece en el artículo 4.11 del Reglamento General de Protección de Datos. No cabe duda de que deberá proporcionarse al afectado con total transparencia toda la información que afecte a la obtención de su consentimiento con objeto de que pueda manifestar su voluntad libremente. En este sentido, es muy interesante la conclusión de la Agencia Española de Protección de Datos, determinando que el consentimiento será libre siempre y cuando las Universidades determinen en sus normas de evaluación y planes de formación, los procedimientos de verificación de los conocimientos de los estudiantes que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan, pudiendo optar entre varias alternativas que fueran equiparables en cuanto a su duración y dificultad a las que se realicen mediante el empleo del reconocimiento facial, siendo inadmisible que la denegación del consentimiento causara la imposibilidad de poder matricularse o evaluarse.

Por otro lado, para que el tratamiento de datos biométricos quede amparado en la existencia de un interés público esencial, es requisito obligatorio que dicho tratamiento esté previsto en una norma de derecho europeo o nacional con rango de ley, circunstancia que a día de hoy queda descartada debido a que no existe tal normativa en el ordenamiento jurídico.

Por último y no menos importante, recordar que todo tratamiento de datos implicará la adopción de todas aquellas medidas técnicas y organizativas que sean necesarias para garantizar la seguridad, integridad y confidencialidad de los datos personales, así como para evitar su alteración, pérdida, tratamiento o acceso no autorizado en concordancia con el análisis de riesgos y en su caso la evaluación de impacto. De igual forma, con los proveedores de servicios deberán formalizarse contratos de protección de datos en los que constarán todas y cada una de las obligaciones reguladas en el artículo 28 del Reglamento General de Protección de Datos.

Asimismo, en relación con todo lo anterior, cabe recordar que las Universidades, como responsables del tratamiento, deberán estar en disposición, en todo momento, de acreditar el cumplimiento de obligaciones en protección de datos, que es lo que se conoce como la «responsabilidad proactiva” consagrada en el artículo 5 del Reglamento General de Protección de Datos, además de estar preparadas para todos los cambios que se avecinan revisando y adaptando todos sus procedimientos.

Autora: S. Torres

Deja una respuesta

Tu dirección de correo electrónico no será publicada.