L’Agència Espanyola de Protecció de Dades (AEPD) ha emès una resolució pionera que podria marcar un abans i un després en l’ús d’eines de reconeixement facial basades en intel·ligència artificial. El cas sanciona el tractament de dades biomètriques realitzat per la Universitat Internacional de València (VIU) en el marc dels seus exàmens online.
Tot i que no s’imposa una multa econòmica, la resolució deixa clar que aquest tipus de tractament és il·legal segons la normativa vigent. I el més rellevant: l’Agència assenyala que aquest cas pot generar un “efecte dissuasori general” per a altres entitats que estiguin pensant a implantar sistemes similars.
A continuació, t’expliquem les claus d’aquesta resolució i què has de tenir en compte si la teva empresa, entitat o centre educatiu utilitza o vol utilitzar eines similars.
Què ha sancionat exactament l’AEPD?
L’AEPD considera il·legal el tractament de dades biomètriques mitjançant intel·ligència artificial amb finalitats de control acadèmic remot, concretament durant la realització d’exàmens en línia. En aquest cas, s’utilitzava un sistema que analitzava la imatge facial de l’alumnat en temps real i la comparava amb patrons previs per detectar possibles suplantacions o fraus.
El problema? Aquest sistema recull i tracta dades biomètriques —és a dir, dades personals especialment protegides segons el RGPD— sense comptar amb una base jurídica vàlida.
Què són les dades biomètriques i per què tenen una protecció especial?
Les dades biomètriques són aquelles que permeten identificar de manera única una persona a través de característiques físiques, fisiològiques o conductuals. Això inclou l’empremta digital, el reconeixement facial, l’iris, la veu o fins i tot la manera d’escriure al teclat.
Segons l’article 9 del Reglament General de Protecció de Dades (RGPD), el tractament d’aquestes dades està prohibit, excepte en situacions molt concretes, com ara:
- Quan existeixi consentiment explícit de la persona interessada.
- Quan sigui necessari per interès públic essencial.
- Quan ho exigeixi una normativa específica (com pot passar en àmbits laborals o sanitaris).
En aquest cas, l’AEPD considera que no es compleix cap d’aquests supòsits.
Per què no és vàlid el consentiment de l’alumnat?
La universitat va al·legar que comptava amb el consentiment dels estudiants per utilitzar aquesta tecnologia durant els exàmens. No obstant això, l’AEPD recorda que el consentiment no es considera lliure quan hi ha un desequilibri de poder entre les parts, com en el cas entre un estudiant i una institució educativa.
A més, aquest consentiment es presentava com a condició necessària per poder examinar-se, cosa que vulnera el principi de voluntarietat que exigeix la normativa.
Quines alternatives legals existeixen per controlar el frau en exàmens online?
Segons l’AEPD, hi ha mesures menys intrusives i més respectuoses amb la privadesa que es poden utilitzar, com:
- Verificació de la identitat mitjançant usuari i contrasenya segurs.
- Ús de càmeres sense tractament biomètric, sense processar la imatge facial.
- Eines de monitoratge que no impliquin reconeixement ni identificació biomètrica.
L’Agència remarca que l’ús de sistemes amb IA que tracten dades especialment protegides hauria de ser l’última opció, i només quan no existeixin alternatives menys intrusives.
Què diu l’AEPD sobre l’ús futur d’aquest tipus de tecnologies?
Encara que sanciona aquest cas concret, l’AEPD no tanca la porta a un possible desenvolupament normatiu que reguli l’ús dels sistemes biomètrics amb finalitats legítimes, com la prevenció del frau en avaluacions en línia.
De fet, insta les autoritats educatives a establir un marc legal clar, sempre garantint els drets dels estudiants.
Com et pot ajudar PymeLegal?
A PymeLegal acompanyem empreses, centres educatius i entitats en el compliment normatiu quan utilitzen eines tecnològiques, especialment quan tracten dades sensibles com:
- Dades biomètriques o sistemes de videovigilància.
- Sistemes d’intel·ligència artificial en processos interns o amb clients.
- Avaluació d’impacte en protecció de dades (EIPD) obligatòria per a tractaments d’alt risc.
- Redacció de clàusules específiques per a consentiment i legitimació.
- Adaptació al RGPD i suport legal en inspeccions o requeriments de l’AEPD.
També oferim assessorament preventiu si estàs desenvolupant un sistema amb IA o vols validar si compleix amb la normativa actual. No esperis a rebre una sanció per actuar.
Tens dubtes sobre com aplicar la IA de manera legal i segura? Contacta amb el nostre equip i t’ajudarem a avaluar-ne els riscos abans d’implantar-la.
L’equip de PymeLegal