Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 650 000 euro mot Universidad Internacional Valenciana (VIU) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att ärendet initierades efter att en registrerad i mars 2023 inkommit med ett klagomål till AEPD. Den registrerade uppgav att VIU krävde att alla studenter skulle använda ett system för fjärrövervakning baserat på ansiktsigenkänning för att genomföra onlineprov, och att VIU inte erbjöd något icke-biometriskt alternativ. VIU använde ett verktyg som utförde kontinuerlig biometrisk ansiktsverifiering, övervakade studenterna med kameror och registrerade aktiviteten på studenternas datorer, till exempel skärmdumpar och upptäckt av kopierad text eller kringutrustning.
Under utredningen bekräftade VIU att man hade använt ansiktsigenkänning för examinationer sedan 2017 och att man hade infört verktyget som det enda alternativet för studenterna. VIU åberopade samtycke enligt artikel 6.1 (a) GDPR, fullgörande av ett avtal enligt artikel 6.1 (b) GDPR och berättigat intresse enligt artikel 6.1 (f) GDPR som rättsliga grunder för behandlingen av personuppgifter. VIU hävdade också att behandlingen inte omfattade särskilda kategorier av uppgifter, eftersom programvaran endast utförde en-till-en-verifiering och enligt uppgift inte lagrade biometriska mallar.
VIU uppgav att bedrägerier inom den onlineutbildningen hade ökat och att system för fjärrövervakning var nödvändiga för att skydda den akademiska integriteten. VIU hävdade också att AEPD hade ändrat sin tolkning av biometriska uppgifter i sin guide för biometriska system från 2023, och att sanktioner mot VIU skulle strida mot principerna om rättssäkerhet, icke-retroaktivitet och skuld. VIU hävdade vidare att AEPD inte kunde ålägga separata påföljder för överträdelser av artikel 9 GDPR och artikel 5.1 (c) GDPR, eftersom detta skulle strida mot principen om non bis in idem.
AEPD ansåg att VIU hade brutit mot både artikel 9 GDPR och artikel 5.1 (c) GDPR. Myndigheten fann att ansiktsigenkänningssystemet behandlade biometriska uppgifter i syfte att identifiera enskilda personer på ett unikt sätt, vilket innebar att det utgjorde uppgifter av särskilda kategorier. AEPD betonade att ansiktsbilder är biometriska uppgifter när de behandlas med hjälp av tekniker som extraherar eller jämför unika biologiska egenskaper i syfte att identifiera en individ, och att definitionen i artikel 4.14 GDPR fokuserar på syftet med och metoden för behandlingen, inte på om mallar lagras permanent eller om systemet utför identifiering eller verifiering.
AEPD förklarade att i detta fall använde verktyget för fjärrövervakning algoritmer för att fånga, analysera och jämföra varje elevs ansiktsdrag, vilket omvandlade en statisk bild till en matematisk representation som gjorde det möjligt för systemet att bekräfta om den levande bilden matchade den referensbild som tidigare tillhandahållits. Denna omvandling till ”biometriska mönster” var tillräcklig för att utgöra biometriska uppgifter, även om VIU hävdade att mallen förstördes snabbt efter användning.
AEPD beaktade också verifieringens kontinuerliga karaktär. Systemet utförde inte en engångskontroll av identiteten utan analyserade upprepade gånger studentens ansikte under hela tentamen. Denna ständiga övervakning innebar att systemet kontinuerligt bearbetade nya biometriska datapunkter, vilket gjorde bearbetningen mer integritetskränkande och förstärkte slutsatsen att det rörde sig om uppgifter av särskild kategori.
Följaktligen ansåg AEPD att VIU behövde ett giltigt undantag enligt artikel 9.2 GDPR, vilket den fann att denne inte hade. AEPD hävdade att VIU inte kunde förlita sig på samtycke eftersom studenterna inte hade något verkligt val då de inte erbjöd någon alternativ examinationsmetod, och möjligheten att skriva in sig vid ett annat universitet uppfyller inte kraven för fritt samtycke. AEPD fann också att akademisk integritet inte utgjorde ett väsentligt allmänintresse som kunde motivera biometrisk behandling enligt artikel 9.2 GDPR.
Därutöver ansåg AEPD att VIU hade brutit mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, eftersom kontinuerlig biometrisk övervakning inte var nödvändig för att säkerställa examinationens integritet. VIU visade inte att mindre ingripande åtgärder var otillräckliga, och AEPD konstaterade att fjärrövervakning utan biometrisk behandling eller alternativ med personlig närvaro kunde ha uppnått samma mål med mindre risker. AEPD ansåg att VIU inte visade på en balanserad bedömning av alternativ eller risker.
AEPD konstaterade att VIU agerat vårdslöst genom att under flera år tillämpa en betydligt integritetskränkande teknik utan laglig grund enligt artikel 9 GDPR. Myndigheten avvisade argument om rättsosäkerhet eller icke-retroaktivitet och konstaterade att VIU inte kunde åberopa en felaktig tolkning av GDPR för att undgå ansvar. Myndigheten avvisade också påståendet om non bis in idem, eftersom överträdelserna av artikel 9 GDPR och artikel 5.1 (c) GDPR skyddade olika rättsliga intressen.
AEPD ålade två administrativa sanktionsavgifter; 300 000 euro för överträdelsen av artikel 9 GDPR och 350 000 euro för överträdelsen av artikel 5.1 (c) GDPR, totalt 650 000 euro.