La UOC ha sido multada por la Generalitat con una sanción de 20.000.-€ por la utilización del reconocimiento facial en sus exámenes virtuales.

Seguro que habéis oído hablar de la última noticia en cuanto al reconocimiento facial, donde la Generalitat ha sancionado con 20.000.-€ el reconocimiento facial que utiliza la Universidad Oberta de Catalunya (UOC) para realizar los exámenes virtuales.

Según la Autoridad Catalana de Protección de Datos (APDCat) el tratamiento de los datos biométricos, como el reconocimiento facial que la UOC utiliza en relación a los exámenes y sus estudiantes, no está incluido en ninguna de las excepciones del Reglamento de protección de Datos, por lo que consideraría vulnerado su derecho a la protección de datos, suponiendo un alto riesgo para los interesados.

Ante las declaraciones de la APDCat, la UOC ha contra alegado que se trata de una medida utilizada por primera vez con la pandemia y el estado de alarma, que tuvo mucho éxito y que permitió que todos los estudiantes pudieran proceder con sus cursos, grados, másteres, etc., sin ningún tipo de impedimento. Según afirma la UOC, el reconocimiento facial no deja de ser una forma de comprobar la identidad de los estudiantes para posteriormente poder corroborar con las imágenes y sus documentos de identidad que se trata de la misma persona. Además, informan de la legalidad del sistema dejando claro que todo alumno que se matricula es consciente de la tipología de los exámenes en cuanto a hacerlos de forma virtual y en cuanto al reconocimiento facial, por lo que se le da a escoger si la opción propuesta por dicha universidad es la más adecuada en base a sus necesidades. Asimismo, ponen de relieve que estos datos son eliminados tres meses después de que acaben las pruebas virtuales.

Dicho reconocimiento facial no sólo es utilizado por la UOC en sus exámenes, sino que otras universidades también han implementado dicha herramienta para identificar a los usuarios, para verificar que éstos no se mueven de su puesto de trabajo mientras dura la prueba y para identificar comportamientos anómalos en los estudiantes mientras realizan el examen.
Sin embargo, encontramos otras situaciones de la vida cotidiana en las que estamos expuestos a técnicas de reconocimiento facial o a tratamientos de otros tipos de datos biométricos, como podría ser en el mundo de la banca, a través del reconocimiento facial o la huella digital.

En el caso de Andorra, por ejemplo, el nuevo Casino UNNIC, abierto recientemente en el centro de la capital, utilizará el tratamiento de datos biométricos, pues los usuarios tendrán que registrarse para poder acceder, y tendrán que pasar por uno reconocimiento facial para que puedan ser identificados aquellos individuos que tienen prohibida su entrada.

Deberá pues tenerse en cuenta que el uso de técnicas de reconocimiento fácil, atendiendo a que implican un tratamiento de datos biométricos y que el mismo constituye una intromisión a los derechos fundamentales de respeto de la vida privada y familiar y a la protección de datos , debe considerarse como un tratamiento de categorías especiales de datos, por lo que sólo cabrá en el marco de las excepciones del artículo 9.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales: consentimiento explícito del interesado; necesario por el cumplimiento de las obligaciones del responsable del tratamiento; necesario para proteger intereses vitales; datos manifiestamente públicos; necesario para fines de medicina preventiva; necesario por razones de interés público; entre otros. Por tanto, el responsable del tratamiento deberá estudiar detenidamente cómo cumplir con los requisitos relativos a los derechos de los interesados ​​antes de meter en marcha cualquier tecnología de reconocimiento facial, siendo necesaria la realización de una evaluación de impacto sobre la protección de datos, así como prestar especial atención a la seguridad del tratamiento garantizando que el sistema cumple con las normas pertinentes basadas en la protección de datos desde su diseño y por defecto.