La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 650.000 euros a la Universidad Internacional de Valencia (VIU) por usar un sistema de reconocimiento facial obligatorio en los exámenes online de miles de estudiantes. La sanción se reparte en 300.000 euros por violar la prohibición de tratar datos biométricos sin excepción jurídica, y 350.000 euros por utilizar un sistema que la AEPD consideró innecesario y desproporcionado.
La decisión surge tras una denuncia presentada el 24 de marzo de 2023 por una fundación que cuestionó las medidas de monitoreo implementadas por la universidad para los exámenes virtuales. La VIU pidió a todos los alumnos que instalaran un software específico de vigilancia, llamado APP1, que utilizaba algoritmos de reconocimiento facial, monitorizaba la pantalla y exigía una segunda cámara para vigilar el entorno del estudiante. De este modo, la participación en los exámenes quedó condicionada al uso obligatorio de esta tecnología. No existía alternativa posible para los estudiantes que no quisieran entregar sus datos biométricos.
Según la denuncia, la universidad informaba a los alumnos antes de la matrícula que los exámenes iban a ser 100% online y que el reconocimiento facial era parte obligatoria del proceso. Los alumnos debían, antes de cada examen, aceptar expresamente los términos y condiciones que autorizaban a la universidad al tratamiento de sus imágenes faciales. Además, tenían que descargar e instalar la aplicación de vigilancia en sus computadoras y disponer también un smartphone o tablet como segunda cámara.
El aviso a los alumnos es insuficiente
La Universidad justificó el sistema afirmando que era la única forma eficaz de prevenir la suplantación de identidad y el fraude en los exámenes virtuales, invocando requisitos de calidad académica y estándares de la agencia de acreditación universitaria ANECA. Sin embargo, la Agencia de Protección de Datos analizó el expediente y determinó que el sistema excedía lo necesario y no valoró opciones menos invasivas, ni presenciales ni a distancia, como exámenes orales por videollamada o métodos tradicionales de control humano.
“La posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial al objeto de tratar sus datos biométricos en las evaluaciones online requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos”, resalta la Agencia en su resolución. No bastaba con informar a los futuros inscriptos ni obtener su consentimiento bajo la amenaza de quedar fuera de toda evaluación.
La investigación detectó que la universidad recabó el consentimiento de los alumnos en varias etapas—antes de inscribirse, al formalizar la matrícula, al aceptar la política de privacidad de la aplicación y al instalar el software—, pero la Agencia concluyó que ese consentimiento no era libre. El motivo central: el estudiante que no aceptaba el reconocimiento facial quedaba fuera de la universidad y sin posibilidad de ser evaluado. En palabras de los inspectores, “consentir el tratamiento biométrico a través de reconocimiento facial era condición obligatoria para poder matricularse, presentarse al examen y ser evaluado”.
La Agencia considera probado que la universidad no ofrecía alternativas equiparables para quienes no quisieran ser monitoreados por el sistema biométrico, a pesar de conocer otros métodos menos intrusivos. El informe cita medidas alternativas que ya se usan en universidades españolas y europeas: identificación visual simple por webcam, exámenes orales en vivo, controles aleatorios, software antiplagio, actividades prácticas continuas y otras fórmulas híbridas que reducen el riesgo de fraude sin requerir la creación de un patrón biométrico facial.
El uso de la imagen fácil está prohibido en la UE
El fallo subraya que, según el Reglamento General de Protección de Datos (RGPD) europeo, los datos biométricos como la imagen facial son especialmente sensibles y su uso está prohibido salvo que exista una excepción prevista en la ley. El consentimiento solo es válido si es realmente libre, es decir, si existe una opción genuina. La Agencia afirma: “En ningún caso es admisible que, como consecuencia de la denegación del consentimiento, se deniegue la posibilidad de matricularse o de ser evaluado”.
Desde 2015, la universidad contrató a la compañía EMPRESA2 para el desarrollo y mantenimiento de las sucesivas versiones del sistema de reconocimiento facial, actualizando periódicamente las funciones y agregando mayores controles (como la doble cámara). Todos los contratos, actualizaciones y manuales formativos fueron revisados por la Agencia, que cruzó además facturas, documentación de la ANECA y pruebas de funcionamiento de la aplicación aportadas tanto por la universidad como por la empresa proveedora.
En su defensa, la Universidad Internacional de Valencia argumentó que el proceso de verificación era seguro, respetuoso y que no conservaba patrones biométricos, ya que el software generaba y destruía automáticamente los datos tras cada comparación, sin dejar registros permanentes. Aseguró que el tratamiento estaba amparado en el consentimiento de los usuarios y el interés legítimo de evitar fraudes. Además, la universidad citó normas recientes de la Unión Europea sobre inteligencia artificial y trabajos digitales, según las cuales—afirmó—la autenticación biométrica simple (1:1) no debería considerarse un tratamiento de datos de alto riesgo ni requeriría un régimen de excepción.
Sin embargo, la Agencia replicó que, según el artículo 9 del RGPD y las nuevas directrices europeas, tanto la identificación como la verificación continua biométrica son “tratamiento de datos de categoría especial”, estén o no almacenados los patrones. El hecho de que la plantilla biométrica (el vector digital de la cara del alumno) se destruya en segundos no elimina el carácter sensible del dato ni la obligación de respetar la prohibición y sus excepciones específicas.