La Universitat Internacional Valenciana con respecto a la delimitación del seguimiento biométrico regido por la AEPD

La reciente resolución de la Agencia Española de Protección de Datos (AEPD) en el caso de la Universitat Internacional Valenciana (UIV) constituye un hito importante en la delimitación jurídica del uso de tecnologías biométricas con inteligencia artificial (IA) en el contexto educativo. Esta decisión no solo impone límites claros al tratamiento de datos especialmente protegidos, como los biométricos, sino que también marca un precedente relevante sobre cómo deben interpretarse los principios del Reglamento General de Protección de Datos (RGPD) en relación con los sistemas automatizados de evaluación académica.

El conflicto entre innovación tecnológica y garantías fundamentales.

La universidad había implementado un sistema de monitorización de exámenes a distancia que obligaba a los estudiantes a someterse a un reconocimiento facial continuo mediante herramientas de IA, complementado con la grabación del entorno a través de una segunda cámara y la supervisión del escritorio digital. Este sistema, justificado por la institución como una medida contra el fraude académico, implicaba la captura y análisis constante de datos biométricos, lo que, en términos del RGPD, constituye un tratamiento de datos de categorías especiales.

La AEPD no cuestiona la finalidad legítima del sistema (la prevención del fraude académico) pero sí analiza con detalle si existen bases legales válidas para permitir un tratamiento tan intrusivo. Además, la resolución deja claro que, en el estado actual de nuestro ordenamiento jurídico, no cumple ninguno de los supuestos del artículo 9.2 del RGPD que permitirían excepcionar la prohibición general del tratamiento de datos biométricos.

El consentimiento inválido y la falta de base legal específica.

Uno de los aspectos más destacados de la resolución es la desautorización del consentimiento como base de legitimación. Aunque la UIV alegó que los estudiantes otorgaban un consentimiento expreso en varias fases del proceso (desde la matrícula hasta la instalación del software de examen), la AEPD considera que tal consentimiento no era libre ni genuinamente informado. Por otro lado, la ausencia de alternativas reales para realizar la evaluación impide considerar que los estudiantes pudieran negarse válidamente sin consecuencias adversas, lo que vulnera los principios fundamentales del consentimiento recogidos en el RGPD.

A su vez, se descarta que exista un “interés público esencial” que habilite el tratamiento, en ausencia de una ley específica que lo contemple. Por ello, la AEPD recuerda que el artículo 46.3 de la Ley Orgánica de Universidades no cumple con los requisitos exigibles para legitimar tratamientos especialmente intrusivos como los biométricos. Además, cita doctrina del Tribunal Constitucional y del Tribunal Europeo de Derechos Humanos para subrayar que este tipo de medidas deben estar respaldadas por una norma con rango de ley que establezca claramente su alcance, sus condiciones de uso y las garantías correspondientes.

Una puerta abierta a futuro: ¿es posible una regulación específica?

Un elemento relevante de la resolución es que la AEPD no cierra completamente la puerta al uso futuro de estas tecnologías. Al contrario, reconoce que, en determinados contextos, los sistemas de verificación biométrica mediante inteligencia artificial pueden llegar a ser válidos si se articulan conforme a una normativa clara y garantista. Esto es particularmente importante en el contexto del nuevo Reglamento de Inteligencia Artificial de la UE, que clasifica estos sistemas como de “alto riesgo” y, por lo tanto, sujetos a estrictos controles.

La resolución subraya que el Reglamento de IA no constituye por sí mismo una base jurídica habilitante, y que será imprescindible que el legislador adopte una ley específica que regule expresamente el uso de biometría para fines educativos, estableciendo así, un equilibrio adecuado entre el interés público en la calidad de la evaluación y la protección de los derechos fundamentales del alumnado.

Conclusión: garantías primero, tecnología después.

Esta resolución de la AEPD llega en un momento de constante auge tecnológico, donde las instituciones educativas buscan nuevas formas de adaptar sus modelos pedagógicos a entornos virtuales. La decisión recuerda, con fundamento jurídico sólido, que la innovación no puede anteponerse a los derechos fundamentales. En este sentido, las universidades, como garantes del conocimiento y del respeto institucional, deben ser especialmente cautelosas al adoptar tecnologías invasivas que afectan a la intimidad y dignidad de los estudiantes.

Sin lugar a dudas, esta resolución constituye un llamamiento a legislar con precisión, a diseñar tecnologías con enfoque garantista y a poner el foco no solo en la eficiencia, sino también en la legalidad y en los principios éticos que rigen el uso de datos personales.