Los medios que estos días afirman en sus titulares que la AEPD ha prohibido el uso del reconocimiento facial en los exámenes online están publicando una noticia falsa. Lo que ha dicho la AEPD en su resolución de advertencia es que el planteamiento propuesto por la UNIR no estaba ajustado a la normativa de protección de datos, pero no ha prohibido de forma generalizada el uso del reconocimiento facial en los exámenes online. La advertencia es únicamente para la UNIR y para el modelo de reconocimiento facial planteado.

La UNIR se cerró ella misma las puertas que la AEPD había dejado abiertas.

En sus informes y resoluciones la AEPD y otros organismos europeos se han manifestado en relación a la categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial, la base jurídica del tratamiento, la obligación de informar y el impacto en los derechos y libertades de los interesados.

El camino estaba bien trazado, pero en este caso no se ha seguido, como veremos a continuación.

Categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial

La primera puerta que la AEPD había dejado abierta era la de la autenticación. La AEPD y otros organismos europeos defienden la tesis de que el RGPD distingue entre la finalidad de identificar a una persona partiendo de múltiples patrones faciales y la finalidad de autenticar a una persona a partir de su propio patrón facial.

En el caso de la identificación, los datos biométricos tratados son datos sensibles (categorías especiales de datos), porque permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta.

En el caso de la autenticación, los datos biométricos son datos ordinarios que quedan fuera del ámbito del artículo 9 del RGPD.

La primera confusión es por lo tanto entender que todos los datos biométricos son datos sensibles. Sólo son datos sensibles cuando la finalidad es la identificación unívoca de una persona. 

Lo dice textualmente la AEPD en la resolución de advertencia: “los datos biométricos sólo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento específico dirigido a identificar de manera unívoca a una persona física”.

La identificación busca a una persona anónima, no identificada o desconocida en una base de datos de posibles personas identificadas, mientras que la autenticación verifica si la persona que se presenta como conocida es la que efectivamente quien dice ser, porque previamente ha proporcionado los datos necesarios para hacer esta autenticación o verificación.

En este requisito de la finalidad los datos biométricos se diferencian de los datos genéticos, que siempre son sensibles.

En el siguiente artículo y en la infografía explico gráficamente la diferencia entre la finalidad de identificar y la de autenticar.

Opinión sobre el criterio de la AEPD sobre el reconocimiento facial

Infografía sobre las dos finalidades de los datos biométricos

Casos en los que el patrón facial no es un datos sensible

La UNIR reconoció expresamente que los datos biométricos eran una categoría especial de datos. Con ello se cerró la primera puerta y no dejó otra opción a la AEPD.

Base jurídica del tratamiento

La UNIR aplicó el consentimiento como única base jurídica del tratamiento. El consentimiento puede dejar de ser libre en el momento en el que existe un desequilibrio entre el responsable del tratamiento y el interesado, como se produce en el caso de una universidad y un alumno.

Sin descartar totalmente la base jurídica del consentimiento, la AEPD y otros organismos europeos indican que puede haber bases más adecuadas.

Por ejemplo, la base jurídica de la autenticación puede ser la ejecución del contrato, ya que la finalidad de este tratamiento es asegurar que en el momento del examen está presente una persona que es parte en el contrato, y no otra.

La base jurídica de la prevención del fraude sería el interés legítimo, pero no sólo el de la universidad, sino también el del alumno, que tiene derecho a que el título que obtenga con ese examen no pierda valor en el mercado laboral y profesional a causa del fraude.

Es evidente que en las empresas y los despachos profesionales contrataremos primero a un graduado en una universidad con bajo nivel de fraude que a un graduado en una universidad con alto nivel de fraude.

Sólo hay que ver el puesto que ocupan en el ranking mundial o nacional las universidades implicadas en escándalos de venta de títulos.

En cualquier caso, el alumno puede escoger entre el reconocimiento facial y el título basura.

Al centrarse únicamente en la base jurídica del consentimiento la UNIR se cerró otra puerta que estaba abierta.

Necesidad del tratamiento

La UNIR alegó que el tratamiento automatizado del reconocimiento facial era necesario, pero después demostró que podía aplicar la alternativa del tratamiento manual. Con ello se cerró la puerta del juicio de necesidad, que exige que el tratamiento sea necesario en el sentido de que no haya otras opciones menos intrusivas.

Está demostrado que el tratamiento manual no consigue reducir las altas cifras de fraude y suplantación de identidad que existen en los exámenes online.

Si el reconocimiento facial y los patrones de tecleo son las únicas vías para reducir el fraude en los exámenes online y evitar los títulos basura y la salida al mercado laboral de profesionales más preparados en el arte del engaño que en los contenidos que debían aprender, parece clara la necesidad del tratamiento.

Información previa

La UNIR se cerró otra puerta al no informar a los alumnos en el momento oportuno.

El momento de informar sobre el uso de técnicas de reconocimiento facial y patrones de tecleo es antes de formalizar la matrícula.

El alumno debe conocer las técnicas de prevención del fraude que utiliza cada universidad y escoger aquélla que considere más adecuada para sus intereses.

En el caso de la universidades 100% online la elección es clara cuando los exámenes también son 100% online. El alumno tiene la ventaja de que no tendrá que realizar ningún desplazamiento, pero a cambio, asumirá el uso de unas medidas de seguridad superiores.

La capacidad de escoger las distintas alternativas que ofrece el sector de la enseñanza aparece en el momento de seleccionar el centro en el que vas a cursar los estudios. Esos centros son los caladeros en los que las empresas y los despachos profesionales van a buscar el talento. Por lo tanto, hay que encontrar el equilibrio entre el prestigio del centro y el nivel de fraude que permite, porque estos parámetros son los acabarán marcando el valor la titulación ofrecida.

Impacto en los derechos y libertades

La UNIR se cerró la última puerta al no acreditar la inexistencia de perjuicios para los alumnos y tampoco la existencia de beneficios.

Lo que realmente se ha considerado invasivo y con alto riesgo para los interesados es el uso del reconocimiento facial para la finalidad de la identificación unívoca, no para la finalidad de la autenticación.

En la identificación unívoca mediante reconocimiento facial se pueden utilizar varios niveles:

1. El reconocimiento facial manual sin expertos.
2. El reconocimiento facial manual con expertos.
3. El reconocimiento facial automatizado sin datos biométricos.
4. El reconocimiento facial automatizado con datos biométricos.
5. El reconocimiento facial automatizado con datos biométricos y con inteligencia artificial.

Todos estamos de acuerdo en los riesgos asociados al último nivel, por ser el más invasivo y sobre el que se está promoviendo una regulación que garantice los derechos y libertades de los interesados.

Pero en los exámenes online no estamos hablando de identificación sino de autenticación, y ello supone comparar el patrón facial de la persona que acude al examen con el obtenido de su DNI o el que facilitó en el momento del registro.

Este tratamiento no utiliza datos sensibles.

Por otra parte hay que valorar los derechos de las restantes partes implicadas. 

Por ejemplo:

• El derecho a contratar a un profesional que realmente haya superado el nivel establecido para valorar sus conocimientos.
• El derecho a una titulación válida y no a un título basura por parte de los alumnos que no han cometido fraude.
• El derecho del mercado laboral y profesional a poder confiar en el valor de una titulación.
• El derecho del propio alumno a que se valoren sus conocimientos y no su habilidad para cometer fraudes. Y a iniciar su carrera profesional limpiamente y sin basar su acreditación académica en un fraude.

En estos puntos hay otros factores como la calidad de la enseñanza o vivir en un país en el que hacer chuletas tiene un elevado grado de aceptación, pero hoy tocaba hablar de protección de datos.

ACTUALIZACIÓN 20/08/2021

En el debate suscitado por este artículo en LinkedIn, Ignacio San Martín comenta la interpretación de la AEPD en su informe 2021/0047 de 19 de julio, relativo al tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude.

En la página 3 del informe la AEPD distingue entre identificación y autenticación y considera que en el caso analizado se realiza un de tratamiento de datos biométricos con la finalidad de cumplir con el deber de identificación establecido en la normativa de PBC. Por lo tanto se decanta por la identificación.

En la página 15 justifica esta interpretación en el hecho de que el artículo 3 de la Ley 10/2010 de PBC y FT establece una obligación de identificación.

Considero que la AEPD ha cometido un error al ceñirse a la literalidad del texto, ya que la acción que describe este artículo 3 no es de identificación, sino de comprobación de la identidad, tal como indica claramente en el párrafo 2: “Con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, los sujetos obligados comprobarán la identidad de los intervinientes mediante documentos fehacientes.”

Lo que debe hacer el sujeto obligado no es comparar el patrón facial del interesado con el de múltiples interesados, sino con un documento fehaciente, como un DNI, que incorpora una foto que permite obtener un patrón facial del interesado.

Esta actividad de comprobación o verificación es una autenticación, por lo que los datos biométricos tratados no serían categorías especiales de datos.