La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución pionera que podría marcar un antes y un después en el uso de herramientas de reconocimiento facial basadas en inteligencia artificial. El caso sanciona el tratamiento de datos biométricos llevado a cabo por la Universidad Internacional de Valencia (VIU) en el marco de sus exámenes online.
Aunque no se impone multa económica, la resolución deja claro que este tipo de tratamiento es ilegal según la normativa vigente. Y lo que es más relevante: la Agencia señala que este caso puede generar un «efecto disuasorio general» para otras entidades que estén pensando en implementar sistemas similares.
A continuación, te explicamos las claves de esta resolución y qué debes tener en cuenta si tu empresa, entidad o centro educativo utiliza o está pensando en usar herramientas similares.
¿Qué ha sancionado exactamente la AEPD?
La AEPD considera ilegal el tratamiento de datos biométricos mediante inteligencia artificial con fines de control académico remoto, concretamente durante la realización de exámenes online. En este caso, se utilizaba un sistema que analizaba la imagen facial del alumnado en tiempo real y la comparaba con patrones previos para detectar posibles suplantaciones o fraudes.
¿El problema? Que este sistema recopila y trata datos biométricos —es decir, datos personales especialmente protegidos según el RGPD— sin contar con una base jurídica válida para ello.
¿Qué son los datos biométricos y por qué tienen una protección especial?
Los datos biométricos son aquellos que permiten identificar de manera unívoca a una persona a través de características físicas, fisiológicas o conductuales. Esto incluye la huella dactilar, el reconocimiento facial, el iris, la voz o incluso la forma de teclear.
Según el artículo 9 del Reglamento General de Protección de Datos (RGPD), el tratamiento de estos datos está prohibido salvo en circunstancias muy concretas, como:
- Cuando exista consentimiento explícito del interesado.
- Cuando sea necesario por razones de interés público esencial.
- Cuando lo exija una normativa específica (como ocurre, por ejemplo, en el ámbito laboral o sanitario en algunos supuestos).
En este caso, la AEPD considera que ninguno de estos supuestos se cumple.
¿Por qué no es válido el consentimiento del alumnado?
La universidad alegó que contaba con el consentimiento de los estudiantes para utilizar esta tecnología durante los exámenes. Sin embargo, la AEPD recuerda que el consentimiento no se considera libre cuando existe un desequilibrio de poder entre las partes, como ocurre entre un estudiante y una institución educativa.
Además, este consentimiento se ofrecía como condición para poder examinarse, lo cual contradice el principio de voluntariedad que exige la normativa.
¿Qué alternativas legales existen para controlar el fraude en exámenes online?
Según la AEPD, hay medidas menos intrusivas y más respetuosas con la privacidad que podrían utilizarse, como:
- La verificación de identidad mediante usuario y contraseña seguros.
- El uso de cámaras con grabación no biométrica sin procesado de imagen facial.
- Herramientas de monitorización que no incluyan reconocimiento o identificación biométrica.
La Agencia señala que el uso de sistemas de IA que traten datos especialmente protegidos debe ser la última opción, y solo cuando no exista una medida alternativa menos intrusiva.
¿Qué dice la AEPD sobre el uso futuro de este tipo de tecnologías?
Aunque sanciona el tratamiento concreto de este caso, la AEPD no cierra la puerta a un posible desarrollo normativo que regule el uso de sistemas biométricos con fines legítimos, como la prevención del fraude en evaluaciones online.
De hecho, insta a las autoridades educativas a establecer un marco legal que respalde o limite este tipo de tecnologías, siempre garantizando los derechos de los estudiantes.
¿Cómo puede ayudarte PymeLegal?
En PymeLegal acompañamos a empresas, centros educativos y entidades en el cumplimiento normativo cuando utilizan herramientas tecnológicas, especialmente aquellas que implican tratamientos sensibles como:
- Datos biométricos o sistemas de videovigilancia.
- Sistemas de IA en procesos internos o de atención al cliente.
- Evaluación de impacto en protección de datos (EIPD) obligatoria para tratamientos de alto riesgo.
- Redacción de cláusulas específicas para consentimiento o legitimación.
- Adaptación completa al RGPD y soporte ante inspecciones o requerimientos de la AEPD.
Además, ofrecemos asesoramiento preventivo si estás desarrollando un nuevo sistema basado en IA o quieres verificar si cumple con el marco legal vigente. No esperes a que una resolución te ponga en el punto de mira.
¿Tienes dudas sobre cómo utilizar herramientas con IA cumpliendo la normativa? Ponte en contacto con nuestro equipo y te ayudamos a evaluar el riesgo legal antes de implementarlas.