Protección de Datos sanciona con 750.000 € a una universidad por su uso de datos biométricos en exámenes remotos

La Agencia Española de Protección de Datos, AEPD, ha publicado la resolución PS-00067-2024 [0] en la que se condena a una universidad privada de la Comunidad Valenciana a dos multas de elevada cuantía (300.000 y 350.000 €) por el uso inadecuado de sistemas automáticos basados en datos biométricos para la vigilancia remota de exámenes oficiales. En una nota de prensa [1], la AEPD explicó el contenido de la resolución que se publica ahora, la cual establece que los datos biométricos han de ser considerados como «datos de categoría especial» de acuerdo con el Comité Europeo de Protección de Datos. Además, estableció que «el consentimiento no puede considerarse válido por cuanto no se daba alternativa real y efectiva a los estudiantes al ser el software empleado el único método permitido para realizar los exámenes online».

Aneca, por su parte, tiene entre sus objetivos contribuir a la mejora de la calidad del sistema de educación superior mediante la evaluación, certificación y acreditación de enseñanzas e instituciones. En virtud de esto, desde que Protección de Datos fijó su criterio, Aneca exige a las universidades de su territorio el cumplimiento de estándares de protección de datos a la hora de verificar y acreditar sus titulaciones oficiales y sus centros. Así, todas las titulaciones y centros universitarios que han sido evaluadas por Aneca desde entonces deben ajustarse con precisión a lo dispuesto en este ámbito.

Además, en octubre Aneca emitió una circular dirigida a rectores y rectoras de las universidades que tienen a la Agencia como agencia de calidad de referencia, en la que se les recordaba la plena vigencia del Reglamento UE 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de inteligencia artificial. Este Reglamento considera como «sistemas de alto riesgo» un catálogo de aplicaciones en el ámbito de la educación y la formación profesional, incluyendo aquellos «sistemas de IA destinados a ser utilizados para el seguimiento y la detección de comportamientos prohibidos por parte de los estudiantes durante los exámenes». Según su artículo 27, antes de desplegar un sistema de IA de alto riesgo, es necesario llevar a cabo una evaluación del impacto que la utilización de dicho sistema pueda tener en los derechos fundamentales. En el caso de España, se debe confirmar que la universidad tiene realizada y registrada en la Agencia Española de Supervisión de la IA (Aesia) una evaluación de impacto en derechos fundamentales (EIDF). De acuerdo con esto, Aneca exige constancia del registro de dicho documento para la verificación de títulos y centros oficiales que hagan uso de herramientas basadas en información biométrica.