En el mundo actual, vemos como las nuevas tecnologías se van incorporando a pasos agigantados influyendo en nuestro entorno y vida diaria ,se crean y desarrollan sistemas con los que estamos cada vez más controlados, por ello, las Agencias de protección de datos europeas en su cometido de controlar la aplicación del Reglamento Europeo de Protección de datos y además hacerlo aplicar, tratan de sensibilizar al público en general de la protección de sus datos personales y de garantizar un tratamiento adecuado de los mismos, respetando los derechos y libertades de las personas físicas.
Es por eso que, recientemente, la Agencia de Protección de Datos Sueca (DPA) ha multado con 19.000 euros al municipio sueco skellefteå, que es donde se encontraba la escuela pública, por utilizar ésta un sistema de reconocimiento facial a la entrada del centro. La DPA ha considerado que se trata de una medida que incumple con la protección de datos personales. El centro escolar público estaba tratando datos de carácter biométricos de los alumnos, que son datos de categorías especiales de datos, de forma excesiva e inadecuada, con la única finalidad de control de asistencia de entrada al centro. Esta finalidad podría alcanzarse con la utilización de otros sistemas mucho menos agresivos y adecuados a la normativa de protección de datos.
La escuela pública sueca alega y fundamenta que el tratamiento de los datos biométricos tiene su base jurídica en el consentimiento de los alumnos del centro, tal y como recoge el art.6 del RGPD. La DPA estima en su resolución que ese consentimiento no es un fundamento jurídico válido, debido al desequilibrio entre el interesado y el responsable del tratamiento, ya que los alumnos tienen una clara situación de dependencia con el centro.
Por otro lado, además, en el momento de la implantación del sistema de reconocimiento facial no se efectuó una evaluación de impacto relativa a la protección de datos. Se ha incumplido, por lo tanto, lo dispuesto en el art.35.1 del RGPD, que nos dice que, deberá realizarse una EIPD cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines entrañe un alto riesgo para los derechos y libertades de las personas físicas. Además, según la DPA sueca, el centro tenía que haberles realizado, inclusive, una consulta previa, una vez realizada la EIPD.
En España, nos encontramos también ante este tipo de situaciones, siendo el caso, por ejemplo, de un Instituto público en Badalona, que han estado utilizando los mismos sistemas de reconocimiento facial de los alumnos como medida para el control de asistencia a clase. Varios juristas expertos en derecho digital y ciberseguridad, consideran que esta práctica podría ser objeto de apercibimiento por parte de la AEPD. Teniendo en cuenta, además, que en su guía sobre el uso de videocámaras para seguridad y otras finalidades, en el apartado de “entornos escolares”, se indica que salvo en circunstancias excepcionales, no podrán utilizarse con fines de control de asistencia escolar.