Divulgare la privacy e la cybersecurity nelle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 


Podcast Newsletter Dizionario Rassegna TG About

Caffe20.it - dal 2008 il podcast più longevo in Italia






Accesso


Password persa ?

oppure

Dallo store:

La banca dati:

221 voci nel dizionario
4247 documenti
1116 temi
104 dossier

store
i prodotti

   demo 2026-04-12 ·  NEW:   Appunta · Stampa · Cita: 'Doc 101188' · pdf

Aepd on students at exams and video

abstract:



Documento annotato il 12.04.2026 Fonte: aepd.es
Link: https://www.aepd.es/documento/ps-00447-2025.pdf




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

-




index:




testo:

Eestimated reading time: 136 min 1 / 58  Expediente N.º: EXP202405320 ÍNDICE ANTECEDENTES ...... ...

 


Testo riservato. Per iscriversi:
all'Osservatorio - al Podcast (30 gg gratuito)

NTECEDENTES .......................................................................................................... 2
HECHOS PROBADOS ................................................................................................ 30
FUNDAMENTOS DE DERECHO ................................................................................. 30
I Competencia y procedimiento ................................................................................ 30
II Cuestiones previas ............................................................................................... 31
II.1. Datos personales objeto de tratamiento ......................................................... 31
II.2. Operaciones de tratamiento ........................................................................... 36
II.3. Responsable y encargado de tratamiento ...................................................... 37
III Obligación incumplida. Tratamiento de categorías especiales de datos personales
(artículo 9 del RGPD) ............................................................................................... 38
IV Tipificación de la infracción del artículo 9 del RGPD y calificación a efectos de
prescripción .............................................................................................................. 46
V Sanción por la infracción del artículo 9 del RGPD ................................................ 47
VI Obligación incumplida. Evaluación de impacto relativa a la protección de datos
(artículo 35 del RGPD) ............................................................................................. 50
VII Tipificación de la infracción del artículo 35 del RGPD y calificación a efectos de
prescripción .............................................................................................................. 54
VIII Sanción por la infracción del artículo 35 del RGPD ........................................... 55
IX Pago voluntario y terminación del procedimiento ................................................ 56
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

2 / 58
RESOLUCIÓN DE TERMINACIÓN DE PROCEDIMIENTO SANCIONADOR POR
PAGO VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 18/03/2024 se interpuso reclamación ante la Agencia Española
de Protección de Datos por una posible infracción imputable a UNIVERSIDAD
EUROPEA DE VALENCIA, S.L. con NIF B97934467 (en adelante, UNI VERSIDAD).
Los hechos que se ponen en conocimiento de esta autoridad son los siguientes:

La parte reclamante manifiesta que con fecha 11/03/2023 la UNIVERSIDAD comunicó
a los alumnos del ***CURSO.1 que, para realizar los exámenes online, han de utilizar
el software ***SISTEMA.1 en los dispositivos que utilicen. Señala la parte reclamante
que dicha herramienta realiza un reconocimiento facial, se tratan datos biométricos del
alumno, se accede a imágenes del dispositivo utilizado, se realiza control remoto de
micrófono y cámara del dispositivo, etc. Señala que con fecha 11/03/2024 remitió
correo electrónico a la UNIVERSIDAD señalando que no se informó a los alumnos del
tratamiento de datos realizado a través de ***SISTEMA.1, manifestando sus dudas
sobre su alcance y oponiéndose al mismo.
Junto a la reclamación y adicionalmente en cuatro escritos de fechas posteriores
(24/03/2024, 03/04/2024, 04/04/2024 y 06/04/2024), aporta la siguiente
documentación:
1. Copia del correo electrónico de fecha 11/03/2024, dirigido al reclamante, donde la
UNIVERSIDAD informa a los estudiantes sobre los exámenes a celebrar los días 6 y
7/04/2024, que incluye protocolo de exámenes e infografía sobre el software
***SISTEMA.1.
2. Infografía sobre el software ***SISTEMA.1, donde consta lo siguiente:
“01 Para qué sirve ***SISTEMA.1
Se utiliza en las pruebas de evaluación virtuales para confirmar la identidad del
evaluado y garantizar que las pruebas se realizan de manera adecuada.
02 Qué elementos son necesarios
- Cámara frontal
- Cámara externa lateral
- Audio
- Extensión (…)
03 Cómo se invalida y suspende la prueba de evaluación
A continuación, indicamos qué situaciones provocarán que se califique la
prueba de evaluación como suspensa (0)
Invalidación de la prueba final de evaluación si:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

3 / 58
- No se realiza un registro previo válido en ***SISTEMA.1 para confirmar la
identidad del alumno.
- No se ejecutan correctamente los dispositivos de monitorización durante toda
la prueba.
- Se registran desconexiones.
- Tras 3 avisos de comportamiento inadecuado o infracciones, el sistema
expulsa al alumno de la prueba.
- Que la Cámara frontal y/o externa no esté colocada en la posición correcta,
mostrando el espacio requerido.
- Que la persona evaluada se levante o desaparezca del campo de visión.
- Que se registre más de un rostro en la grabación o se identifiquen otras
personas distintas al evaluado.
- Que se detecten elementos no permitidos (libros, otras pantallas,
intercambiadores de información, etc).
- Registro de alteraciones de audio que el sistema interprete como ayudas
externas.
- Hablar durante la prueba o leer las preguntas en voz alta.
- Mirar de forma reiterada a un punto concreto fuera de la pantalla.
- Anomalías que pongan en duda la realización lícita de la prueba de
evaluación.”
3. Documentos sobre aspectos prácticos para la realización de la prueba con
***SISTEMA.1.
4. Copia del correo electrónico de fecha 11/03/2024, del reclamante a los siguientes:
***EMAIL.1, ***EMAIL.2, ***EMAIL.3 , en relación a las pruebas evaluativas de los días
6 y 7/04/2024 y el software ***SISTEMA.1. El reclamante afirma que en ningún
momento se ha informado a los estudiantes, no se conoce la preceptiva evaluación de
impacto, el software implica el tratamiento de datos biométricos por lo que debe contar
con consentimiento del interesado, no se cumplen los juicios de necesidad y
proporcionalidad al existir otros medios alternativos menos invasivos y una referencia
a que el Ministerio de Justicia no implementa tal medida en el propio examen oficial de
acceso a la abogacía.
5. Copia de correo electrónico de fecha 24/03/2024, desde el correo electrónico del
reclamante enviado a diferentes correos electrónicos de la UNIVERSIDAD con
contenido similar al anterior.
6. Copia de correo electrónico de fecha 25/03/2024 enviado desde el correo
electrónico ***EMAIL.4 al correo electrónico del reclamante donde acusan recibo de su
correo electrónico.
7. Copia de correo electrónico enviado en fecha 03/04/2024 desde el correo
electrónico ***EMAIL.4 al correo electrónico del reclamante donde se le indica que
recibirá una comunicación posterior, que todo estudiante cuando accede al campus
acepta las condiciones de uso del campo virtual y todas las herramientas existentes;
que todas las universidades online de la Comunidad Valenciana utilizan la herramienta
***SISTEMA.1 y que es la herramienta que el regulador dependiente del Ministerio y la
Conselleria autoriza para la realización de los exámenes y que la UNIVERSIDAD solo
utiliza los datos para fines académicos y en cuanto finaliza el periodo los destruye.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

4 / 58
8. Copia de correo electrónico enviado en fecha 04/04/2024 desde el correo
electrónico ***EMAIL.5 al correo electrónico del reclamante, donde se indica lo
siguiente:
“Ante todo, debe tenerse en cuenta que esta cuestión no es nueva en el ámbito
académico universitario, habiendo sido ya tratada y resuelta en diversas
ocasiones por la Agencia Española de Protección de Datos (AEPD). Cabe
destacar el INFORME JURÍDICO 0036/2020, emitido ante la consulta
planteada por la Conferencia de Rectores de las Universidades Españolas
(CRUE), y los más recientes criterios de la .... ..... .... ....., .. ... ...
tal organismo se viene pronunciando a favor de la implementación de esta
tipología de softwares (incluyendo concretamente el software ***SISTEMA.1
frente al que ahora usted plantea su cuestión). Dichos criterios de la AEPD
pueden resumirse de la siguiente forma:
1. Respecto al software instalado en el ordenador del alumno:
Dado que el principal objetivo es capturar el escritorio y hacer uso de la cámara
frontal, no accediendo a ninguna información personal almacenada en el propio
dispositivo, la .... .. ....... ......... .. ... . ............ó. ..
***SISTEMA.1. El tratamiento autorizado comprende el mínimo necesario para
permitir la identificación del alumno y la supervisión de su identidad y de la
correcta realización de la evaluación online.
2. Respecto a la base que legitima el tratamiento a efectos del artículo 6
RGPD:
A la hora de identificar la base de legitimación aplicable al tratamiento de datos
de este tipo de sistemas de supervisión de los alumnos en la realización de los
exámenes online, la .... .. ...... .......... .. ......ó. ... ........ .) ...
artículo 6.1 RGPD como base legitimadora, esto es, el cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos por la
norma con rango de ley, en este caso, la Ley Orgánica del Sistema
Universitario.
3. Respecto a la segunda cámara externa:
Esta segunda cámara tiene como finalidad, y así ha sido debidamente
informado a los alumnos, el captar el entorno del estudiante, con el objetivo de
identificar cualquier posible fraude, sea por uso de herramientas, apoyo de
terceros, consulta de documentación externa no permitida durante la
realización del examen u otros medios no autorizados. En este aspecto la
AEPD se ha mostrado igualmente favorable a su admisión, dado que se ha
verificado que dicho tratamiento no va más allá de su activación en caso de
detectarse algún posible fraude, no suponiendo la instalación de ningún
software invasivo en el dispositivo del alumno.
4. Respecto a la información proporcionada a los interesados (art. 13 RGPD):
En cumplimiento del deber de información enunciado en el RGPD, la .... ..
determinado la necesidad de ofrecer la respectiva información sobre el
tratamiento al alumno. Así, al momento de ingresar en la aplicación
***SISTEMA.1, los alumnos de la UEV visualizan una primera capa informativa
sobre el tratamiento de datos que la herramienta va a realizar (art. 13 RGPD y
art. 11 LOPDGDD). En ella se incluye la debida redirección a la segunda capa
informativa (art. 13 RGPD) en la que se aporta la pertinente información:
· Identificación del responsable (la Universidad a la que pertenece el alumno).
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

5 / 58
· Finalidades del tratamiento.
· Bases de legitimación.
· Plazo de conservación.
· Posibilidad de retirar el consentimiento.
· La no realización de cesiones ni transferencias internacionales.
· Datos de contacto del DPO.
· Ejercicio de los respectivos derechos (incluyendo modelos, formularios…).
· Posibilidad de presentar reclamación ante la AEPD.
5. Respecto al sistema de reconocimiento facial de los estudiantes
En los criterios aplicados por la AEPD, se admite la posibilidad de implementar
un sistema de reconocimiento facial de los estudiantes basándolo en el
consentimiento de los interesados. La observancia de tal criterio queda
evidenciada en el caso de la UEV, puesto que se solicita el consentimiento
necesario en el momento de acceso al software ***SISTEMA.1 para la
realización del examen.
Por todo lo anterior, y teniendo en cuenta los más recientes pronunciamientos
de la Agencia Española de Protección de Datos, la Universidad Europea de
Valencia se encuentra en disposición de afirmar que actualmente lleva a cabo
todo tratamiento de datos personales de los alumnos encaminado a la
identificación durante los exámenes online en cumplimiento de la normativa de
protección de datos y, en todo caso, ateniéndose a los más estrictos criterios y
garantías respecto a la protección de los derechos de los interesados.”
9. Copia de correo electrónico enviado en fecha 04/04/2024 por el reclamante a
***EMAIL.5 , el cual hace referencia a la resolución de advertencia de esta Agencia
ante la Universidad Internacional de La Rioja, S.A. (UNIR) expediente número
E/05454/2021. Consta en dicho correo entre otros aspectos lo siguiente:
- Que la .... ...... ...... .. ... .......... .é...... ......... ... ***......... ,
siempre que ello no sea una imposición lo cual es lo que no sucede en esta situación.
Que falta consentimiento libre y expreso, que se les está imponiendo la modalidad de
examen online mediante el uso obligado del software ***SISTEMA.1 so pena de no
poder examinarse.
- Que, en relación al reconocimiento facial con base de legitimadora en el
consentimiento, manifiesta que no se otorga.
- Que en la resolución de advertencia en relación a la UNIR, la .... .. .........
justificada la necesidad del tratamiento de datos personales.
- Que no se tiene conocimiento que se haya realizado una evaluación de impacto del
software ***SISTEMA.1 .
- Que, según las bases de la convocatoria publicadas en el BOE en relación al examen
oficial de acceso a la profesión de la abogacía que convoca el Ministerio de la
Presidencia, Justicia y Relaciones con las Cortes, el sistema de videovigilancia que se
utiliza es AVEX de la UNED, distinto al que se les pretende imponer con ***SISTEMA.1
y donde se expresa textualmente:
“Los dispositivos estarán dotados de webcam y durante la celebración de la
prueba se podrán tomar de modo aleatorio una o más imágenes sin utilizar
técnicas de reconocimiento facial. Estas imágenes se emplearán únicamente
para comprobar que las personas aspirantes durante la celebración de la
prueba no se valen de medios no permitidos para su realización. La webcam
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

6 / 58
deberá estar activa el día de la celebración de la prueba y durante todo el
tiempo que permanezcan conectados a la plataforma para su realización.” .
- Que se efectúa únicamente un visionado remoto y con una sola cámara.
- Aporta copia de resolución de advertencia de esta Agencia ante la Universidad
Internacional de La Rioja, S.A. expediente número E/05454/2021.
- Solicita que se habiliten las sedes oficiales de la UNIVERSIDAD con el fin de
examinarles presencialmente, como alternativa a la imposición de ***SISTEMA.1, sin
que se generase perjuicio alguno para aquellos compañeros que por sus
circunstancias personales no pudieran dada la proximidad y poca antelación con la
que se estimaría la medida.
- Que para el caso de aquellos alumnos que opten por examinarse de manera online
solicita se adopten medidas de supervisión sin que en ningún caso pueda efectuarse
el reconocimiento facial.
10. Copia de correo electrónico enviado en fecha 05/04/2024 desde el correo
electrónico ***EMAIL.5 hacia el correo electrónico del reclamante, donde consta, entre
otra información:
“PRIMERO. – A efectos de la presente contestación ha de quedar evidenciada
la diferencia entre las diferentes modalidades de titulaciones que determina el
Real Decreto 822/2021, de 28 de septiembre, por el que se establece la
organización de las enseñanzas universitarias y del procedimiento de
aseguramiento de su calidad:
· «Se entiende por modalidad docente presencial en un Grado aquella en que
el conjunto de la actividad lectiva que enmarca el plan de estudios se
desarrolla de forma presencial (interactuando el profesorado y el estudiantado
en el mismo espacio físico, sea este el aula, laboratorios o espacios
académicos especializados)».
· «Se entiende por modalidad docente híbrida en un Grado aquella en que la
actividad lectiva que enmarca el plan de estudios engloba asignaturas o
materias en modalidad presencial y virtual (no presencial), siempre
manteniendo la unidad del proyecto formativo y la coherencia en todos
aquellos aspectos académicos más relevantes –aunque la conjugación de la
doble modalidad docente implique adaptaciones de los elementos académicos
a las mismas– […]».
· «Se entiende por modalidad docente virtual en un Grado aquella en que el
conjunto de la actividad lectiva que se enmarca en el plan de estudios se
articula a través de la interacción académica entre el profesorado y el
estudiantado que no requiere la presencia física de ambos en el mismo
espacio docente de la universidad. Esta modalidad de enseñanza universitaria
se caracteriza fundamentalmente por basarse en el uso intensivo de
tecnologías digitales de la información y la comunicación. […]».
SEGUNDO. – Previo al análisis y desarrollo de nuestra contestación a su
escrito, igualmente resulta necesario poner de manifiesto que el EXP Nº:
E/05454/2021 que usted adjunta y cita en reiteradas ocasiones, únicamente
aborda, como fondo del asunto, el tratamiento de datos que se lleva a cabo con
motivo del reconocimiento facial automático habilitado como funcionalidad del
Software ***SISTEMA.1.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

7 / 58
Así, a modo ejemplificativo, se manifiesta que el escrito de respuesta
presentado por la UNIR ante el requerimiento de la .... .......:
«El uso de técnicas de reconocimiento facial a través de datos biométricos [...]»
Por lo tanto, toda cita que se haga de dicho documento debe ir exclusivamente
referenciada al análisis del tratamiento de datos biométricos con motivo de
reconocimiento facial, y no ser extraída parcialmente del documento y puesta
en relación con el resto de tratamientos de datos que pueda realizar el
Software ***SISTEMA.1 con motivo de la supervisión de la realización de la
prueba de evaluación.
TERCERO. – En relación con el punto anterior, a la hora de analizar el uso del
software ***SISTEMA.1, tal y como ya hicimos en nuestra contestación previa,
y tal y como la propia .... .. ...... .......... .. .. ....... ...... ..
ejemplo, ha de diferenciarse entre:
- El tratamiento de datos personales realizado con motivo del uso del software
***SISTEMA.1, esto es, a modo enunciativo: captura del escritorio del
ordenador del alumno, acceso a su cámara frontal, acceso a la cámara
secundaria, registro del alumno en la plataforma, etc.
- El tratamiento de datos personales llevado a cabo con motivo de la
funcionalidad del software ***SISTEMA.1 de reconocimiento facial
automatizado.
CUARTO. – Respecto al primero de los tratamientos mencionados reiteramos
lo ya contestado, citando el contenido exacto de la Resolución de Archivo de
Actuaciones de la .... .......... ..º: ............, ..... .. .......
aborda todos los posibles tratamientos derivados del uso de ***SISTEMA.1:
«[…] en el proceso de registro del alumno en el sistema […]. La base de
legitimación del tratamiento no es el consentimiento, sino que es necesario
para el cumplimiento de una misión realizada en interés público o en el
ejercicio de poderes públicos conferidos al responsable del tratamiento, la
UNIR. […]». En este mismo sentido se pronunció la .... .. .. .......
Jurídico N/REF: 0036/2020.
«Asimismo, se ha verificado que no se instala software en el dispositivo del
alumno, el acceso a la cámara del dispositivo se realiza desde una URL que
solicita previamente permiso para acceder a ella. Esta segunda cámara tiene
como única finalidad captar imágenes del entorno y enviarlas al encargado de
tratamiento, y en caso de detectarse posible fraude se activa alerta que es
revisada de forma manual por personal cualificado, por lo que nunca se toman
decisiones automáticas en relación con las imágenes captadas por cualquiera
de las dos cámaras».
«Con respecto al software instalado en el ordenador del alumno, el principal
objetivo de este es capturar el escritorio y hacer uso de la cámara frontal, por lo
que no se accede a ninguna otra información personal almacenada en el
propio dispositivo, salvo que el alumno la muestre en pantalla mientras se
realiza la prueba».
Con todo ello se acredita que dichos tratamientos de datos personales (registro
del alumno en la plataforma, acceso a la cámara frontal del ordenador, captura
del escritorio, acceso a la cámara del dispositivo secundario, etc.) se realizan
de acuerdo a la normativa de protección de datos, e incluso basados no en el
consentimiento del interesado, sino en el interés público del responsable del
tratamiento, esto es, la Universidad Europea de Valencia. Cabe añadir, al igual
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

8 / 58
que menciona la .... .. ... ............, ... ...... ............ ..... ..
previamente informados al interesado, circunstancia que, reiteramos, también
se ve cumplida en este caso al acceder al alta en la plataforma de supervisión
del examen.
QUINTO. – Por otro lado, debemos aludir al segundo y diferenciado tratamiento
de datos personales al que se refiere de manera independiente y autónoma la
AEPD tanto en su Informe Jurídico 0036/2020, como en el EXP E/05454/2021,
como en la resolución EXP202200367: las técnicas y algoritmos de
reconocimiento facial habilitados por ***SISTEMA.1 para acreditar la identidad
del alumno.
Dicho reconocimiento facial conlleva el tratamiento de datos personales
biométricos de los alumnos, una categoría especial de datos, por lo que se
requiere que concurra alguna de las circunstancias habilitantes del artículo 9
RGPD, y siendo ésta el consentimiento prestado por el interesado.
Como bien indica usted, el consentimiento debe ser prestado mediante un acto
afirmativo libre, específico, informado e inequívoco, para cuya evidencia, la
AEPD ha determinado que es necesario habilitar una alternativa a dicho
tratamiento sobre el que se vaya a prestar el consentimiento.
Es decir, en el caso que nos ocupa, dado que el reconocimiento facial
mediante técnicas automáticas y algorítmicas es el único tratamiento que
requiere el consentimiento del interesado, ha de ser sobre este tratamiento
sobre el cual se habilite una alternativa menos intrusiva, no sobre el conjunto
del resto de tratamientos de datos ya mencionados anteriormente.
Por ello, la adopción de la presencialidad como medida alternativa al
reconocimiento facial del alumno resulta extremadamente excesiva, máxime
teniendo en cuenta que dicha alteración de la titulación universitaria supondría
una modificación de la modalidad a efectos de lo dispuesto en la normativa
sectorial aplicable, es decir, el ya mencionado Real Decreto 822/2021,
convirtiéndose en una modalidad híbrida de enseñanza.
Por todo lo anteriormente mencionado, la Universidad ha decidido adoptar las
siguientes MEDIDAS:
- A la vista de las más recientes directrices de la .... ........ .. ...........
de datos personales con motivo del reconocimiento facial automático (mediante
técnicas algorítmicas) que realiza el software ***SISTEMA.1, se ha decido
prever como alternativa la deshabilitación de dicha función.
- Como consecuencia de lo anterior, se ha solicitado al proveedor del software
la habilitación alternativa de la funcionalidad de revisión manual de la identidad
de los alumnos que vayan a realizar la evaluación online, por lo que no se
realizará ningún reconocimiento facial en estos casos, sino que será personal
humano cualificado quien realice la tarea de identificar a los interesados.
- Con ello se cumple con lo expresamente dispuesto y resuelto por la .... ..
su EXP. Nº. E/05454/2021; y su resolución de Archivo de Actuaciones
EXP202200367.
- Sin embargo, dada la proximidad temporal de la adopción de estas medidas
alternativas con la realización de los exámenes previstos para los grupos de
alumnos a los que afectan, se ha previsto retrasar la realización de los mismos
a una fecha supeditada a la correcta configuración de la nueva funcionalidad
en el software ***SISTEMA.1.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

9 / 58
11. Copia de correo electrónico enviado en fecha 05/04/2024 desde el correo
electrónico ***EMAIL.6 y con pie de correo de la tutora del máster, dirigido al correo
electrónico del reclamante, donde consta lo siguiente:
“Ante las reservas trasladadas por el delegado de vuestra titulación en materia
de protección de datos personales, y a fin de asegurar la protección de
vuestros derechos con las máximas garantías, se ha determinado habilitar una
doble posibilidad para la realización de los exámenes de vuestra titulación
(convocatorias ordinarias de cada semestre y convocatoria extraordinaria):
Opción 1: Realización del examen en modo virtual mediante utilización del
software ***SISTEMA.1 con activación automática del reconocimiento facial.
Opción 2: Realización del examen en modo virtual mediante utilización del
software ***SISTEMA.1 sin activación automática del reconocimiento facial
(identificación por sistema manual).
La elección de uno de los sistemas excluye la posibilidad de acogerse al otro y
opera en relación a todos los exámenes de la titulación.
Los estudiantes que se acojan a la Opción 1, deberán comunicarlo hoy, viernes
5 de abril de 2024 antes de las 20:00 horas (hora peninsular española),
prestando su consentimiento expreso referente al uso del software
***SISTEMA.1 con reconocimiento facial automático activado mediante
cumplimentación del formulario disponible en el siguiente enlace: (...) . Los
exámenes correspondientes al primer semestre bajo esta Opción 1 se
realizarán con sujeción a los horarios ya aprobados y comunicados.
Los estudiantes que se acojan a la Opción 2 (y todos los que no se hayan
acogido a la Opción 1 de forma expresa en los términos indicados en el párrafo
anterior) realizarán sus exámenes el fin de semana del 20 y 21 de abril, en
horarios que serán comunicados por la Universidad próximamente.”
12. Copia de correo electrónico enviado en fecha 06/04/2024 desde el correo
electrónico del reclamante hacia el correo electrónico ***EMAIL.5 , entre otros
destinatarios, donde consta, entre otra información:
- Que en relación a la estimación parcial de su reclamación en cuanto a la no
imposición del reconocimiento facial, compañeros que se examinan hoy, le comunican
que se han visto obligados a firmar el formulario remitido por la institución en el que se
pedía el consentimiento para el reconocimiento facial so pena de no poder examinarse
en el día de hoy y mañana, consentimiento el cual no ha sido otorgado libremente.
Que se ha condicionado la realización de los exámenes en el día de hoy y mañana, a
menos de 24 horas de los mismos, a la aceptación de someterse al reconocimiento
facial, es decir, se ha supeditado la ejecución del contrato de formación. Que para que
el consentimiento sea libre, la persona debe tener libre elección y poder denegar o
retirar el consentimiento sin sufrir perjuicio alguno.
- Que no resulta serio otorgar un consentimiento mediante un formulario de Google
que de ninguna manera acredita fehacientemente la persona que suscribe la misma.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

10 / 58
- Solicita, entre otras cuestiones, disponer de alternativas presencial de evaluación
frente a la imposición del software ***SISTEMA.1.
Aporta captura de pantalla de formulario en el dominio docs.google.com con membrete
de la Universidad Europea y con título “Exámenes, abogacía y procura” donde constan
los siguientes datos obligatorios a rellenar; nombre, apellidos, Número de
expediente/ID. En el formulario puede leerse el siguiente texto:
“Al rellenar este formulario usted manifiesta su voluntad de realizar el
correspondiente examen de su titulación en su fecha y horario ya estipulados
(6 y/o 7 de abril), prestando su consentimiento a que el software de supervisión
del examen lleve a cabo el reconocimiento facial previamente informado al
momento de acceder a la plataforma.
Igualmente, le recordamos que, como medida alternativa a dicho
reconocimiento facial, la Universidad ha habilitado la posibilidad de realizar el
examen en una fecha posterior (20 y/o 21 de abril) una vez configurada la
funcionalidad de identificación manual del alumno por personal cualificado.
Asimismo, le informamos que la Universidad Europea de Valencia, en calidad
de responsable, tratará sus datos personales introducidos en el presente
formulario y, en base a su consentimiento, con la finalidad de gestionar su
inscripción en el examen del 6 y 7 de abril y mantener un registro de aquellos
alumnos que hayan consentido la realización en los términos expuestos; y en
su caso, el cumplimiento de la normativa impuesta al responsable. No se
realizarán transferencias internacionales. Sus datos únicamente podrán ser
comunicados a los proveedores necesarios para la consecución de las
finalidades, así como, en su caso, a la Administración Pública y Tribunales. Sus
datos se conservarán mientras sea necesario para alcanzar las finalidades
informadas, y posteriormente serán bloqueados durante el plazo legalmente
previsto, pasando, una vez cumplido, a ser eliminados. Usted puede revocar su
consentimiento en cualquier momento, así como ejercitar los derechos
reconocidos en la normativa dirigiéndose al buzón de correo del ... .. ..
Universidad: ***EMAIL.2, así como presentar reclamación ante la Agencia
Española de Protección de Datos (https://www.aepd.es/)”
Igualmente consta un único selector con el texto: “ Sí, acepto ”
SEGUNDO : De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a UNIVERSIDAD, para que
procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
Con fecha 09/05/2024 la UNIVERSIDAD remite escrito de respuesta al traslado, que
contiene las siguientes afirmaciones (el subrayado es de esta AEPD):
“el uso que hace esta Parte del software ***SISTEMA.1 para para la realización
de las pruebas de evaluación de las titulaciones on-line, contempla todo lo
dispuesto por la Agencia en su Resolución de Archivo de Actuaciones Exp. Nº
EXP202200367, así como en el precedente Expediente E/05454/2021. En
particular:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

11 / 58
- En el proceso de registro del alumno en el sistema se tiene en consideración,
como legitimación del tratamiento, el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable.
- Respecto al software que el alumno debe instalar en su ordenador para la
realización del examen, el único objetivo es capturar la pantalla de escritorio y
hacer uso de la cámara frontal, no accediendo a ninguna otra información
personal almacenada en el dispositivo del interesado.
- Por último, respecto a la segunda cámara que debe colocar el alumno para
captar imágenes del entorno durante la realización del examen, y cuya
activación y revisión manual se activa en caso de detectarse un posible fraude,
no se trata de un software instalado en el propio dispositivo del alumno, sino el
acceso y concesión de permisos para el uso de la cámara a través de una URL
o Código QR. Por ello, no se toman decisiones automáticas respecto a las
imágenes captadas por las cámaras, ni se accede a ningún contenido o
información adicional del dispositivo.
Cabe reiterar que, entre la información suministrada al alumno con anterioridad
a la fecha de realización de las pruebas y al momento de acceder a la
plataforma de exámenes, además de la respectiva capa informativa sobre el
tratamiento de datos, se incluye una descripción y guía de uso de todas las
funcionalidades y acciones necesarias para implementar el software durante la
realización de los exámenes.
(…)
Que, respecto a la funcionalidad de reconocimiento facial para la identificación
del alumno al inicio del examen que incorpora el software ***SISTEMA.1, cabe
señalar que se recaban los respectivos consentimientos de los interesados
proveyéndose como alternativa la deshabilitación de dicha funcionalidad y la
consiguiente identificación manual por medio de personal interno cualificado.
Para ello, en el presente caso, y ante la solicitud del reclamante, en aparente
representación de su grupo, se lanzó un formulario a todos los alumnos para
conocer su preferencia de cada a la realización de los respectivos exámenes
en dos fechas alternativas, aprovechando, a su vez, para recabar el
consentimiento de aquellos que optasen por la habilitación del reconocimiento
facial como método de identificación de los alumnos al acceder a la plataforma.
Así, en dicho formulario, se informaba a los alumnos de la modalidad on-line de
las dos siguientes alternativas:
OPCIÓN 1: realizar las pruebas en fecha 6 y 7 de abril, con la habilitación de
reconocimiento facial como método de identificación al acceder a la plataforma
y para lo cual se recababa su expreso consentimiento mediante la respectiva
check box.
OPCIÓN 2: realizar las pruebas en fecha 20 y 21 de abril, y siendo
identificadas mediante un método manual realizado por personal cualificado, y,
por tanto, sin ningún tipo de reconocimiento facial”
(…)
Que, como parte de los procesos de mejora continua y controles periódicos en
materia de protección de datos implementados por la UEV, y con el propósito
de aportar un nivel aún mayor del ya existente respecto de las garantías de los
derechos y libertades de los interesados, la UEV implementó la siguiente
medida:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

12 / 58
1. Ante la situación planteada y como escucha activa de la opinión de
los interesados (aunque representasen a un porcentaje mínimo), esta
Parte adoptó la decisión de deshabilitar por completo la funcionalidad
de reconocimiento facial del software ***SISTEMA.1, no volviendo a ser
utilizada en ningún otro proceso o tratamiento similar, comunicándoselo
al encargado del tratamiento, y adoptando en su lugar, como único
método para toda prueba evaluativa online, la identificación manual de
los alumnos por parte de personal del centro universitario.
Pese a cumplir con los requisitos normativos para llevar a cabo dicha
funcionalidad, haber recabado los respectivos consentimientos, y haber
constatado que más del 75% de los alumnos de la modalidad on-line
preferían la identificación por reconocimiento facial, esta Parte ha
identificado como aspecto de mejora en pro de la totalidad de los
interesados, la deshabilitación de la opción del reconocimiento facial y
la habilitación única de la identificación manual por personal
cualificado.”
TERCERO : Con fecha 14/05/2024 la Directora de la .... .....ó .. ........ó. .
trámite de la reclamación, de conformidad con lo establecido por el artículo 65 de la
LOPDGDD, al considerar que, analizadas las razones expuestas por la parte
reclamada, ésta había atendido la reclamación presentada.
CUARTO : Con fecha 14/06/2024 el reclamante interpuso recurso de reposición contra
la inadmisión a trámite alegando que en la inadmisión solo se había valorado la
imposición del reconocimiento facial, pero no había un pronunciamiento sobre los
restantes elementos de la reclamación. En concreto, la imposición de someterse a
reconocimiento facial en los exámenes de 6 y 7 de abril no permitió ninguna
alternativa, alegando que no resulta equivalente la realización de un examen
presencial en fechas 20 y 21/04/2024.
QUINTO : Con fecha 09/09/2024 se concedió audiencia a la UNIVERSIDAD en el
ámbito del citado recurso de reposición, no formulando alegaciones..
SEXTO : Con fecha 04/11/2024 la Directora de la .... .......ó ....... .. ....... ..
reposición interpuesto por el reclamante y admitir a trámite la reclamación, de acuerdo
con lo establecido en el artículo 65 de la LOPDGDD.
En dicha resolución se señala lo siguiente en relación con los motivos por los que se
estima el recurso:
“Conforme a las Directrices 5/2020 sobre el consentimiento en el sentido del
Reglamento (UE) 2016/679,
“Como ha subrayado el GT29 en diversos dictámenes, el
consentimiento solo puede ser válido si el interesado puede realmente
elegir y no existe riesgo de engaño, intimidación, coerción o
consecuencias negativas importantes (por ejemplo, costes adicionales
sustanciales) si no da su consentimiento.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

13 / 58
En el presente caso, se aprecia que la parte reclamada no ha aportado
suficiente información sobre el uso de la tecnología de reconocimiento facial
por la que se reclama y su situación actual. Por tanto, en el presente caso, en
el recurso de reposición se han aportado argumentos relevantes a los efectos
de lo planteado, que debe ser analizados por la Subdirección General de
Inspección de Datos, y procede la estimación del recurso interpuesto”.
SÉPTIMO : La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VIII de la LOPDGDD.
Con fecha 22/04/2025 se requirió información a la UNIVERSIDAD, que contestó
mediante escrito de fecha 08/05/2025, en el que manifiesta lo siguiente:
En relación con la admisión a trámite de la reclamación señala lo siguiente:
“[…] SEGUNDA. – Que, en primer lugar, la .... .. ...í. ...... .....ó. .. .......
los hechos, en tanto ya le había sido solicitada la información a la UEV en el año
2024, y fue archivada conforme a la documentación entregada con Número de
Registro: O00007128e24P0006783.
Y, en segundo lugar, que de la nueva reclamación de este expediente no se esclarece
ni se traslada, ni se incorpora, ni se acredita, ningún hecho ni noticia nueva.
Pues bien, transcurrido el procedimiento señalado, y habiendo concluido la valoración
anunciada, en fecha 14 de mayo de 2024, la .... .......ó . ... ...:
“Una vez analizadas las razones expuestas por UNIVERSIDAD EUROPEA DE
VALENCIA, S.L. y de conformidad con lo dispuesto en el artículo 65 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (LOPDGDD), la Directora de la Agencia Española de Protección
de Datos ha acordado no admitir a trámite la reclamación presentada, contra
UNIVERSIDAD EUROPEA DE VALENCIA, S.L., por una presunta vulneración del
Artículo 13 del RGPD, Artículo 21 del RGPD, Artículo 5.1.c) del RGPD y Artículo 9 del
RGPD”.
Esto es, comunicó a la administrada una declaración de archivo, sin más que las
advertencias usuales.
Y, por otra parte, al no haberse producido ninguna nueva noticia que revelase
aspectos desconocidos que afectasen al expediente EXP202405320, cabe concluir
que no es posible una nueva valoración distinta por parte de la Administración sin
incurrir en contradicción consigo misma o en arbitrariedad.
Por consiguiente, el requerimiento de información notificado contradice la previa
actuación de la propia Administración, lo que afecta de lleno al principio de seguridad
jurídica en perjuicio de UEV.
Efectivamente, análogamente a la doctrina de los actos propios operante en el ámbito
del derecho privado, en cuanto sujeta al ciudadano a su conformación previa de una
apariencia con relevancia jurídica que influye decisivamente sobre la conducta de
alteridad, en el ámbito administrativo es conocido el principio de confianza legítima
que resulta fácilmente trasladable y ajustable al presente caso; ya que, de suyo va (in
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

14 / 58
rem ipsa loquitur) que las decisiones administrativas comunicadas al administrado
determinan su conducta en conformidad con las mismas.
En consecuencia, para que la Administración entrara a valorar nuevamente el
expediente EXP202405320 necesitaba, de conformidad con la naturaleza de las
cosas, haber recibido noticias o hechos nuevos, cosa que no se ha producido.
Debería, asimismo, en cuanto se rectifica a sí misma, comunicar a esta administrada
las razones que condujeron al reexamen y las del cambio de criterio a fin de posibilitar
el control de legalidad de las mismas, lo cual no ha tenido lugar hasta el momento.
Tampoco puede olvidarse que, en cuanto la Administración altera su criterio sin
hechos ni noticias nuevas, está implícitamente haciendo una declaración de voluntad
de error propio.
Finalmente, pero de relevancia trascendental, lo que la Administración está
manifestando es que comprometió por su propia conducta la salvaguardia de los
derechos fundamentales de los afectados al no haber adoptado la diligencia que le
correspondía.
Por todo ello, la solicitud de información iniciada debe ser resuelta sin acción alguna
para UEV.
No obstante, UEV reitera su total disposición a continuar colaborando con esta
Agencia y a proporcionar cualquier información adicional que se estime pertinente.[…]”
En relación con la utilización del software ***SISTEMA.1 manifiesta que:
“***SISTEMA.1 está siendo utilizado por la UEV desde enero 2024,
aplicándose, por tanto, a los exámenes realizados por los estudiantes
matriculados en el «Máster
Universitario en Abogacía y Procura – 100% ONLINE» que iniciaron en el curso
académico 2023-2024, cuyo inicio fue a partir de septiembre 2023.
Desde 2024 se han examinado 153 alumnos del «***CURSO.1 – 100%
ONLINE con la activación de ***SISTEMA.1 para la calificación de las distintas
asignaturas que conforman el itinerario de esta enseñanza.”
Reitera que
“ adoptó la decisión de deshabilitar por completo la funcionalidad de
reconocimiento facial del software ***SISTEMA.1, no volviendo a ser utilizada
en ningún otro proceso o tratamiento similar, comunicándoselo al encargado
del tratamiento, y adoptando en su lugar, como único método para toda prueba
evaluativa online, la identificación manual de los alumnos por parte de personal
del centro universitario”.
Adjunta a su escrito la siguiente documentación:
“1. Informe técnico y recomendaciones del Delegado de Protección de Datos
de la UEV sobre el análisis del sistema ***SISTEMA.1, descripción de su
funcionamiento,
finalidades y aplicación del principio de privacidad desde el diseño y por
defecto.
Documentos adjuntos:
- Pto 1-2-11 ***SISTEMA.1.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

15 / 58
- Pto 1. Curso Informacion y pruebas Alumnos.
- Pto 1. ***SISTEMA.1_studentguide_es.
2. Aplicación de la privacidad desde el diseño y por defecto. Documento
adjunto:
- Pto 1-2-11 ***SISTEMA.1.
3. Registro de actividades del tratamiento (RAT) sobre la finalidad relativa al
Software de supervisión de exámenes on-line – ***SISTEMA.1. Documento
adjunto:
- Pto 3. Informe de finalidad RAT
4. Evaluación de Impacto (EIPD) y evidencia del asesoramiento del DPO.
Documento adjunto:
- Pto 4. Informe EIPD y análisis de riesgo.”
En el informe técnico aportado, en relación con la descripción del sistema
***SISTEMA.1, se indica lo siguiente:
“***SISTEMA.1, es un sistema desarrollado por ***EMPRESA.1 (en adelante,
***EMPRESA.1) que monitoriza a los usuarios durante la realización de alguna
actividad de formación online para garantizar la calidad e integridad
académica. Así, podría definirse ***SISTEMA.1 como una herramienta de
supervisión en línea que proporciona las evidencias de lo que sucede en la
evaluación online de la institución para la toma de decisiones.
En función de las necesidades de la institución, el sistema se puede configurar
para monitorizar al usuario por medio de distintas herramientas (niveles de
seguridad). Estas herramientas, se pueden usar de forma independiente o
combinadas, siendo las siguientes:
• Monitorización a través de la webcam del equipo: por medio de este sistema,
***SISTEMA.1 monitoriza lo que ocurre al otro lado del equipo del usuario. El
sistema captura imágenes de forma periódica con la webcam del usuario que
se analizan por medio de algoritmos de IA. Es importante destacar que el
análisis se realiza sin almacenar en ningún momento datos biométricos del
usuario. Además, las comparaciones se realizan siempre 1 a 1 y no uno a
varios, resultando en un tratamiento muy poco intrusivo.
• Monitorización de escritorio: con esta herramienta, el sistema es capaz de
monitorizar las acciones (programas abiertos, navegación web...) que realiza el
alumno en su equipo durante el transcurso de la actividad online que esté
desarrollando. Este sistema, cuenta con todos los certificados de seguridad
necesarios y garantiza que en ningún momento se accede a información
privada del usuario. El estudiante es consciente en todo momento de la
monitorización y se registran exclusivamente sus actividades durante la
realización de la actividad online.
• Grabación de audio: la grabación del sonido es uno de los complementos que
ofrece la solución de ***EMPRESA.1. El funcionamiento de este sistema se
basa en un determinado umbral de sonido que, si se supera, comenzará la
grabación de audio. Estas grabaciones, se pondrán a disposición de la
institución para que pueda reproducirlas sin realizar ningún tipo de análisis.
• Monitorización del entorno a través de una segunda cámara: mediante el uso
de un teléfono móvil como cámara externa, ***SISTEMA.1 es capaz de
monitorizar el entorno del estudiante, aportando un mejor ángulo de visibilidad
y siendo capaz de detectar, entre otras cosas, la presencia de otras personas o
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

16 / 58
el uso de elementos no permitidos por parte del estudiante. El análisis y
procesamiento de las imágenes de este servicio se realiza mediante algoritmos
de IA sin aplicar técnicas de análisis biométrico.
De esta manera, combinando las distintas herramientas mencionadas,
***SISTEMA.1 es capaz de monitorizar la actividad del usuario online a través
de distintos niveles de seguridad. Esta monitorización, permite mejorar el
aseguramiento de la calidad académica y aporta credibilidad a la evaluación de
la formación online, consiguiendo procesos mucho más fiables y a la par,
proporcionando a los usuarios mayor flexibilidad y beneficios, como por
ejemplo, reducción de gastos, eliminación de desplazamientos, reducción de
tiempos, libertad para el usuario o equidad.”
En el mismo informa, en relación con los datos tratados, se indica:
“En el caso del sistema ***SISTEMA.1, se tratan de datos personales
exclusivamente destinados a autenticar a las personas y a detectar
comportamientos inadecuados.
Las categorías y clasificación de los datos tratados es la siguiente, en función
de cada herramienta de monitorización:
● Datos genéricos aplicables a todas las herramientas:
o Código de actividad/usuario. ***EMPRESA.1 recibe toda la información del
usuario asociada a un identificador del que no es posible extraer la identidad
de la persona, la relación con la identidad se mantiene en el responsable del
tratamiento. ***EMPRESA.1 no obtiene ninguna información sobra el contenido
de la actividad o examen online del usuario o las respuestas que proporciona.
o Nombre, apellido y correo electrónico. ***EMPRESA.1 accede a esta
información con la finalidad de proporcionar ayuda al usuario sobre el uso del
sistema.
o Información del sistema del usuario: ***EMPRESA.1 detecta información del
sistema del usuario como el sistema operativo y versión o dirección IP que ha
utilizado el alumno durante su actividad.
● Datos obtenidos por el “Bloqueo del navegador”:
o Detección de eventos por parte del alumno/a para intentar salir de la
actividad monitorizada.
● Datos obtenidos por la “Supervisión del ordenador”:
o Detección de la actividad del alumno/a en su equipo mientras realiza la
actividad monitorizada como por ejemplo los programas en uso, capturas de
pantalla, detección de navegación web o uso de comandos.
● Datos obtenidos por la “Supervisión por webcam”:
o Imágenes captadas aleatoriamente por la webcam del usuario/a previa
aceptación de éste del uso de dichos dispositivos.
o Obtención a través de las imágenes de un modelo biométrico de las
características del usuario/a para poder realizar la autenticación y
comprobaciones posteriores sobre la identidad del usuario/a. Categoría
especial de datos.
o Nota: el análisis biométrico se puede eliminar si el cliente lo requiere, como
sucede en el presente caso.
● Datos obtenidos por la “Monitorización del audio”:
o Audios captados por el micrófono del usuario/a previa aceptación de éste del
uso de dichos dispositivos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

17 / 58
● Datos obtenidos por la “Monitorización 360º”:
o Captura de imágenes por medio de una segunda cámara.”
En relación con el tratamiento de datos biométricos y a su riesgo, manifiesta:
“5.7.1 Procesamiento biométrico de bajo impacto
El procesamiento biométrico que se realiza es de autenticación/verificación y
no de identificación. Esto quiere decir que se realizan comparaciones de 1 a 1
y no de 1 a varios .
Esta diferenciación es muy importante ya que como el propio RGPD prevé en
su artículo 9.1, no todos los tratamientos biométricos corresponden a una
categoría especial de datos. Este aspecto también queda recogido en el
Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo
de Trabajo del Artículo 29 o en el Libro blanco sobre la inteligencia artificial de
la Comisión Europea.
Por todo ello, resulta bajo el impacto en la protección de datos de los
tratamientos que realiza ***EMPRESA.1.
5.7.2 No se almacenan datos biométricos
***EMPRESA.1 siempre ha tenido presentes todos los conceptos relacionados
con la min imización de riesgos y protección de la privacidad de los usuarios.
Es por ello, que el sistema se ha diseñado para trabajar sin almacenar ningún
dato biométrico. Cuando el sistema ***SISTEMA.1 recibe una imagen, extrae
los datos de la misma y del registro de ese usuario y los compara obteniendo
un resultado. Esos datos se destruyen, por lo que no quedan almacenados y el
tiempo en el que se encuentran en el sistema es de muy pocos segundos.”
No se aporta documentación que acredite que no existe almacenamiento de datos
biométricos.
En el apartado de conclusiones, manifiesta:
“6. CONCLUSIONES
Tras el análisis detallado del sistema ***SISTEMA.1 y su implementación en el
entorno formativo de la UEV, se concluye que la solución desarrollada por
***EMPRESA.1 cumple con los requisitos establecidos por el Reglamento
General de Protección de Datos (RGPD), tanto desde el punto de vista legal
como técnico. El sistema ha sido diseñado e implementado conforme al
principio de privacidad desde el diseño, integrando mecanismos de seguridad,
control y min imización del riesgo desde las fases más tempranas del
tratamiento.
Asimismo, se constata la aplicación de medidas de responsabilidad proactiva
que permiten mitigar los riesgos potenciales para los derechos y libertades de
los interesados, en particular en lo relativo al uso de tecnologías de
reconocimiento.
Aunque el uso de datos biométricos representa uno de los aspectos más
sensibles en materia de protección de datos, en este caso, el sistema
***SISTEMA.1 realiza únicamente comparaciones 1:1 sin almacenamiento de
datos biométricos, lo que reduce significativamente su impacto desde el punto
de vista de privacidad.
Por tanto, se puede afirmar que los riesgos asociados al tratamiento de datos
mediante ***SISTEMA.1 son bajos y, tras la aplicación de las medidas
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

18 / 58
previstas, se sitúan en niveles residuales. Esto permite considerar que el
sistema es conforme a la normativa aplicable y puede utilizarse con garantías
suficientes para los derechos de los usuarios.”
En la guía para estudiantes sobre ***EMPRESA.1 aportada consta la siguiente
información:
“[…] Las imágenes se almacenarán en los servidores de ***EMPRESA.1 el
tiempo necesario para permitir la certificación. No se utilizarán para otro
propósito diferente al de la autentificación y verificación de la identidad. No se
copiarán ni se visualizarán por un tercero. Después de la certificación, serán
destruidas.
[…]
3.1. Aplicación de registro
Se ejecuta automáticamente la primera vez que se accede a la actividad que
se esté monitorizando o cuando acceda al enlace de registro.
Es una sencilla aplicación con la cual el usuario tomará tres fotos mediante su
webcam para el registro de su identidad. Dichas imágenes se utilizarán para
crear un modelo biométrico-matemático de sus características faciales que
será utilizado en las futuras verificaciones. El usuario estará obligado a
efectuar este registro una vez al inicio del curso o examen. Para posteriores
cursos o exámenes, no será necesario volver a realizar el registro ya que el
modelo biométrico creado al inicio se va alimentando de nuevas imágenes.
[…]
3.1.1. Aceptación de condiciones
NOTA: Dependiendo de tu institución, puede que no sea necesario aceptar las
condiciones de uso de ***EMPRESA.1 ya que ya las habrás aceptado
previamente en tu institución. En ese caso, puedes pasar al siguiente paso.
Para proceder al registro, tras haber habilitado la cámara, el usuario deberá
primero leer y aceptar las condiciones y políticas de uso. Un link a la derecha
de la casilla de aceptación llevará a la página donde se detallan las mismas.
¡IMPORTANTE leerlas! […]”.
En el documento titulado “ SOFTWARE DE SUPERVISIÓN DE EXÁMENES ON-LINE-
***SISTEMA.1. Informe Finalidad ” con referencias a datos que debe contener el
Registro de Actividades del Tratamiento, figuran las siguientes manifestaciones:
“1.2 BASE LEGITIMADORA [RAT]
La base legitimadora del tratamiento de los datos personales para esta
finalidad es la siguiente:
Base legitimadora del tratamiento [RAT]
Consentimiento del titular de los datos
Cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento
Justificación de la Base Legitimadora: Ley aplicable/Misión de interés
público/Poderes públicos conferidos. [RAT]
Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.
Real Decreto 822/2021, de 28 de septiembre, por el que se establece la
organización de las enseñanzas
universitarias y del procedimiento de aseguramiento de su calidad.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

19 / 58
Consentimiento del interesado para el tratamiento de su imagen.
Descripción de las bases legitimadoras seleccionadas
Los tratamientos de datos personales (registro del alumno en la plataforma,
acceso a la cámara frontal del ordenador, captura del escritorio, acceso a la
cámara del dispositivo secundario, etc.) se realizan de acuerdo a la normativa
de protección de datos, e incluso basados no en el consentimiento del
interesado, sino en el interés público del responsable del tratamiento, esto es,
la Universidad Europea de Valencia. Todo ello, de acuerdo con el Real Decreto
822/2021, de 28 de septiembre, por el que se establece la organización de las
enseñanzas universitarias y del procedimiento de aseguramiento de su calidad,
así como con la Resolución de Archivo de Actuaciones de la .... ..........
N.º: EXP202200367 y su Informe Jurídico N/REF: 0036/2020.
Asimismo, será necesario el consentimiento del interesado para el tratamiento
de su imagen, conforme al artículo 7 RGPD y la Ley Orgánica 1/1982, de 5 de
mayo, de protección civil del derecho al honor, a la intimidad personal y familiar
y a la propia imagen”
Consta asimismo la afirmación siguiente:
“2.1 ***EMPRESA.1 (***EMPRESA.1)
Observaciones
Herramienta que utiliza IA y reconocimiento facial para identificar al alumno y
evitar que copie durante la realización de exámenes.”
En relación con el tratamiento se indica lo siguiente:
“4.1.1.13 ¿La recogida de los datos tiene como finalidad el tratamiento de
datos especialmente protegidos?
LOPDGDD: SI
(…)
4.1.2 RESULTADO DEL ANÁLISIS
El resultado del análisis de la necesidad realizado mediante el cuestionario de
evaluación objetiva, es el siguiente.
4.1.2.1 ¿En base a las respuestas realizadas en el cuestionario de evaluación
objetiva, debe calificarse la presente actividad de tratamiento como de
"RIESGO ALTO" para los derechos y libertades de las personas?: SI”
(…)
4.1.1.7 ¿Cómo se recopilan los datos personales?
Los datos personales de los estudiantes se recopilan inicialmente en el
momento de su matrícula en la UEV, como parte del proceso habitual de
gestión académica. Posteriormente, en el contexto del uso del sistema de
monitorización ***SISTEMA.1, se recogen los datos a través del sistema de
monitorización, previa aceptación expresa por parte del usuario para el uso de
los dispositivos necesarios (webcam, micrófono, navegador, etc.).
(…)
4.1.1.35. Descripción del ciclo de vida
Monitorización visual: La cámara web del alumno se activa para observar si
abandona la mesa.
Detección de software y navegación: El sistema detecta si el alumno utiliza otro
tipo de programas (como Skype) o si abre otra pestaña en el navegador.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

20 / 58
***SISTEMA.1 también tiene la capacidad de controlar las aplicaciones y
pestañas que el estudiante utiliza e incluso bloquear el navegador durante el
examen.
Captura de audio: ***SISTEMA.1 ofrece la opción de captura de audio.
Verificación de identidad: Para verificar la identidad del alumno y evitar que
copie, ***SISTEMA.1 utiliza inteligencia artificial y reconocimiento facial con
imágenes en lugar de video.
Descarga e instalación: El alumno debe descargar e instalar ***SISTEMA.1”
Aporta un documento con la Evaluación de Impacto donde consta referencia a la fecha
08/05/2025 y donde consta el siguiente contenido, entre otro:
“[…] Descripción del proyecto, proceso, sistema o producto sobre el que
realizar una evaluación de impacto.
Uso de la herramienta de vigilancia y monitorización remota a través de
reconocimiento facial “***SISTEMA.1” para la autenticación y verificación
durante la durante la realización de evaluaciones y exámenes on line por parte
de los alumnos de la Universidad Europea de Valencia (en adelante, UEV).
***SISTEMA.1 es un sistema de autenticación de la identidad del estudiante
online que utiliza un algoritmo de reconocimiento automático para comprobar la
identidad del usuario y detectar comportamientos incorrectos a lo largo del
examen.
Descripción de la finalidad y objetivos a alcanzar al realizar un PIA
La finalidad relativa a SOFTWARE DE SUPERVISIÓN DE EXÁMENES ON-
LINE (***SISTEMA.1) consiste en el tratamiento de datos personales con el
objetivo de verificar la identidad de los estudiantes y garantizar la autoría en la
realización de pruebas de evaluación y exámenes online. Este tratamiento se
lleva a cabo como una medida necesaria para el cumplimiento de lo dispuesto
en el artículo 2.2.f) de la Ley Orgánica 6/2001, de 21 de diciembre, de
Universidades, que reconoce a las universidades la competencia para verificar
los conocimientos de los estudiantes de forma autónoma.”
“[…]
Los datos tratados son:
Datos genéricos aplicables a todas las herramientas: Se recopila información
básica como el código de actividad/usuario (asociado a un identificador
anónimo), nombre, apellidos, correo electrónico y datos técnicos del sistema
utilizado (por ejemplo, sistema operativo y dirección IP). ***EMPRESA.1 no
accede al contenido de las actividades o exámenes.
Datos por funcionalidades específicas de monitorización:
Bloqueo del navegador: Registro de eventos que detectan intentos de
abandonar o manipular la actividad monitorizada.
Supervisión del ordenador: Detección de la actividad en el dispositivo del
estudiante, como uso de programas, capturas de pantalla, navegación web o
comandos utilizados.
Supervisión por webcam: Captura de imágenes aleatorias para autenticar la
identidad del usuario.
Monitorización del audio: Captación de audio a través del micrófono, previa
autorización expresa del usuario.
Monitorización 360º: Captura de imágenes adicionales mediante una segunda
cámara para supervisar el entorno del usuario.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

21 / 58
[…]
El sistema utilizado por el proveedor se trata de un servicio cloud y garantiza
que los datos residen en la UE y por tanto no hay transferencia internacional de
datos […]”.
Respecto a los juicios de idoneidad, necesidad y proporcionalidad manifiesta que:
“2.1.2 Idoneidad, necesidad y proporcionalidad de la finalidad
Determinación de la necesidad y proporcionalidad [6.2 ISO29134]
¿El tratamiento permite y logra alcanzar la finalidad perseguida? SI
Justificación
Los datos personales se recogen y utilizan exclusivamente para asegurar que
el alumno que realiza la prueba es efectivamente quien debe realizarla, y para
prevenir comportamientos irregulares durante la evaluación.
Además, el uso de tecnologías como el reconocimiento, la monitorización de
audio y vídeo, y la detección de actividad en el equipo del usuario está
justificado bajo el principio de interés público esencial en el ámbito educativo,
en relación con el cumplimiento de la Ley Orgánica 6/2001, de Universidades y
el Real Decreto 822/2021, de 28 de septiembre, por el que se establece la
organización de las enseñanzas universitarias y del procedimiento de
aseguramiento de su calidad.
Los datos recogidos se van a usar exclusivamente para la finalidad declarada y
no para ninguna otra no informada ni incompatible con la legitimidad de su uso
(principio de limitación de la finalidad) SI
Justificación
Los datos recogidos se van a utilizar exclusivamente para la declarada de
verificación de identidad y la supervisión del correcto desarrollo de los
exámenes online, y no serán empleados para ninguna otra finalidad no
informada o incompatible, en cumplimiento del principio de limitación de la
finalidad recogido en el artículo 5.1.b del RGPD. Esta finalidad ha sido
claramente definida, es legítima en el contexto educativo y ha sido
debidamente informada a los interesados a través de los mecanismos
correspondientes, como la política de privacidad y cláusulas informativas
específicas.
La finalidad que se pretende cubrir requiere de todos los datos a recabar y para
todas las personas/interesados afectados (principio de min imización de datos)
SI
Justificación
***SISTEMA.1 captura únicamente la información necesaria para cumplir con el
propósito del sistema, es decir, la monitorización de los estudiantes y
proporcionar evidencias a la institución. Así, los datos capturados son los
mínimos para cumplir con esos propósitos, eliminando de esta forma cualquier
procesamiento innecesario de datos.
Las tecnologías empleadas son adecuadas para la finalidad establecida desde
el punto de vista del cumplimiento de los principios fundamentales de la
privacidad SI
Justificación
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

22 / 58
Las tecnologías empleadas para el tratamiento son adecuadas y necesarias
para alcanzar la finalidad establecida, desde el punto de vista del cumplimiento
de los principios fundamentales de la privacidad. Estas herramientas permiten
verificar de forma efectiva la identidad del estudiante y detectar posibles
comportamientos irregulares durante los exámenes online, garantizando la
integridad del proceso evaluador. Además, no existen alternativas menos
intrusivas que permitan alcanzar este mismo nivel de garantía en un entorno no
presencial.
Los datos no se mantienen más tempo del necesario para las finalidades del
tratamiento (principio de limitación del plazo de conservación) NO
Justificación
Los datos no se mantienen más tempo del necesario para las finalidades del
tratamiento, en cumplimiento del artículo 5.1.e del RGPD. La información
recabada durante la realización de los exámenes online se conserva
únicamente durante el tempo estrictamente necesario para verificar la identidad
del estudiante, garantizar la integridad del proceso evaluador y atender
posibles reclamaciones académicas.
Conclusión
El análisis de necesidad y proporcionalidad del tratamiento concluye que el uso
de la herramienta ***SISTEMA.1 para la supervisión de exámenes online es
necesario y proporcionado en relación con la finalidad perseguida: verificar la
identidad del estudiante y prevenir conductas fraudulentas durante las
evaluaciones no presenciales. Dicha finalidad responde a un interés público y
legalmente reconocido de la UEV, en el marco de su competencia para
garantizar la validez de sus procesos de evaluación, de acuerdo con los
poderes conferidos por la Ley Orgánica 6/2001, de 21 de diciembre, de
Universidades y el Real Decreto 822/2021, de 28 de septiembre, por el que se
establece la organización de las enseñanzas universitarias y del procedimiento
de aseguramiento de su calidad.
Teniendo esto en cuenta, el sistema realiza toda la monitorización en base a
códigos numéricos. El sistema no maneja identidades y todos los datos que
llegan, son siempre relacionados a un código numérico y toda la monitorización
se realiza en base a ese código.
En este sentido, es la institución académica la que tiene en sus servidores la
relación entre persona y código. De esta manera, al trasladar los resultados la
institución puede hacer la transformación de código numérico a identidad de un
usuario.
La consecuencia de todo esto es que ***EMPRESA.1 en sus servidores sólo va
a tener datos relacionados con un código numérico y nunca con la identidad de
una persona consiguiendo así un proceso de monitorización anonimizado.
Los datos relacionados con la identidad el estudiante que se manejan como
son el nombre, apellido y email se almacenan y procesan de manera
independiente a los de la monitorización. De esta manera, conseguimos que la
monitorización siga siendo totalmente anonimizada.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

23 / 58
En definitiva, aunque el uso de datos biométricos representa uno de los
aspectos más sensibles en materia de protección de datos, en este caso, el
sistema ***SISTEMA.1 realiza únicamente comparaciones 1:1 sin
almacenamiento de datos biométricos, lo que reduce significativamente su
impacto desde el punto de vista de privacidad.”
Consta un apartado con el siguiente contenido:
“[…] Los requisitos de privacidad asociados a la evaluación son los siguientes:
- Deber de información
- Consentimiento
- Encargos de tratamiento
- Registro de actividades de tratamiento
Los controles ya planeados o existentes que se espera cumplan con los
requisitos de privacidad identificados en la evaluación, son los siguientes:
Tras el análisis inicial realizado, la UEV ha establecido aquellas medidas
correctoras con el fin de poder mitigar los niveles de riesgo detectados para el
tratamiento de datos personales llevado a cabo por esta institución:
- Adecuar las cláusulas legales con los requerimientos establecidos en el
artículo 9 y 6 del RGPD.
- Revisar la legitimación de los tratamientos de datos personales y asegurar
que encaja con los requerimientos establecidos en el artículo 9 y 6 del RGPD.
- Adecuar la recabación del consentimiento a las condiciones establecidas en
el artículo 7 del RGPD.
- Establecer procedimientos claros para manifestar la revocación del
consentimiento o la solicitud de oposición a un determinado tratamiento de
acuerdo con el artículo 21 del RGPD. Si la organización realiza acciones
publicitarias, tener en cuenta las reglas especiales existentes para
comunicaciones comerciales.
- Adecuar las cláusulas legales a los requerimientos establecidos en el artículo
5 b), 9, 6, 13 y 14 del RGPD.
- Supervisar que el proveedor recoge exclusivamente los datos necesarios
para la finalidad prevista.
- Utilizar datos anónimos o disociados siempre que sea posible y no implique
un esfuerzo desproporcionado.
- Permitir el uso anónimo de los servicios y productos cuando no sea necesaria
la identificación de las personas.
- Utilizar pseudónimos o atribuir códigos de sustitución de los datos
identificativos que, aunque no consigan la disociación absoluta de los mismos,
sí que pueden contribuir a que la información sobre la identidad de los
afectados solo sea accesible a un número reducido de personas.
- Se recogen los datos mínimos necesarios para cumplir las finalidades
previstas.
- Establecer procedimientos de atención y respuesta ante el ejercicio de los
derechos de los interesados establecidos en el RGPD.
- Establecer canales para el ejercicio de los derechos de los interesados
gratuitos y fácilmente accesibles.
- Adecuar las cláusulas legales a lo establecido en el RGPD.
- Realizar auditorías periódicas al encargado de tratamiento para verificar que
cumple las estipulaciones del contrato.[…]”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

24 / 58
También entre la documentación aportada por la UNIVERSIDAD se incluye un análisis
de riesgos donde, entre otros, consta el de tratar “ categorías especiales de datos o
que permitan inferirlos ” con un nivel de riesgo “ muy alto ”, un nivel de riesgo inherente
de “ 90 ” con color rojo y un nivel de riesgo residual de “ 2.85 ” con color verde.
No consta justificación de esa reducción del nivel del riesgo.
A su escrito adjunta también la UNIVERSIDAD una relación de correos electrónicos
dirigidos a los estudiantes en relación con la configuración de ***SISTEMA.1 y, a
continuación, un texto de consentimiento informado cuyo texto coincide con el
formulario de consentimiento para los exámenes de fechas 6 y 7 de abril, aportado por
el reclamante junto con la reclamación.
Aporta copia de la “POLÍTICA DE PRIVACIDAD COMPLETA” donde consta la
siguiente información:
“Responsable del tratamiento: aquella Institución/Universidad en la que usted
se encuentre matriculado y para la cual realice la presenta prueba de
evaluación:
• UNIVERSIDAD EUROPEA DE MADRID, S.A.U., con CIF nº A-79122305 y
con domicilio social en C/ Tajo s/n 28670 Villaviciosa de Odón, Madrid.
• UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U., con CIF nº B-97934467 y
con domicilio social en Paseo de la Alameda 10, 46010 Valencia.
• UNIVERSIDAD EUROPEA DE CANARIAS, S.L.U., con CIF nº B-57257263 y
con domicilio social en C/ Inocencio García Feo 1 Casa Salazar, 38300 La
Orotava, Santa Cruz de Tenerife.
• INSTITUCION ARTÍSTICA DE ENSEÑANZA IADE, S.L. con CIF nº
B06988380 y domicilio social en C/ Claudio Coello, 48 28001, Madrid.
Para todas ellas se ha nombrado formalmente un Delegado de Protección de
Datos y se ha habilitado el siguiente canal de comunicación: ***EMAIL.2
Finalidad del tratamiento: Se realiza automatizadamente tratamientos de datos
personales con la finalidad de autenticar a los usuarios e identificar y observar
comportamientos inadecuados en la realización de pruebas, exámenes o
certificaciones a distancia principalmente en el sector de la educación
universitaria. En ningún caso se utilizarán para otras finalidades no
determinadas por el Responsable de Tratamiento.
Los datos que obtiene la plataforma del usuario/a de la misma son los
siguientes en función de las distintas herramientas contratadas:
• Código de actividad/usuario. ***EMPRESA.1 recibe toda la información del
usuario asociada a un identificador del que no es posible extraer la identidad
de la persona, la relación con la identidad se mantiene en el responsable del
tratamiento. ***EMPRESA.1 no obtiene ninguna información sobra el contenido
de la actividad o examen online del usuario o las respuesta que proporciona.
• Nombre, apellido y correo electrónico. ***EMPRESA.1 accede a esta
información con la finalidad de proporcionar ayuda al usuario sobre el uso del
sistema.
• Información del sistema del usuario: el sistema detecta información del
sistema del usuario como el sistema operativo y versión o dirección IP que ha
utilizado el alumno durante su actividad.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

25 / 58
• Bloqueo del navegador: Detección de eventos por parte del alumno/a para
intentar salir de la actividad monitorizada.
• Supervisión del ordenador: Detección de la actividad del alumno/a en su
equipo mientras realiza la actividad monitorizada como por ejemplo los
programas en uso, capturas de pantalla, detección de navegación web o uso
de comandos.
• Imágenes y/o audios captados aleatoriamente por la webcam o el micrófono
del usuario/a previa aceptación de éste del uso de dichos dispositivos.
• Supervisión 360 Captura de imágenes por medio de una segunda cámara.
La base legal para el tratamiento de los datos es el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos por
la Ley Orgánica de Universidades, así como el consentimiento del titular de la
imagen, de acuerdo con la Ley Orgánica 1/1982, de 5 de mayo, de protección
civil del derecho al honor, a la intimidad personal y familiar y a la propia
imagen.
Encargado de tratamiento: ***EMPRESA.1 actúa en todo momento como
encargado de tratamiento de las entidades a las que presta el servicio de
autenticación y de identificación y análisis de comportamientos que puedan ser
considerados inadecuados. ***EMPRESA.1 ofrece un informe con los
resultados del análisis realizado. ***EMPRESA.1 tiene firmados los
correspondientes contratos en cumplimiento de la normativa de protección de
datos de carácter personal y aplica las medidas de seguridad correspondientes
siendo responsable activamente de garantizar la confidencialidad de los datos
que trata.”
No aporta evidencias de en qué momento se presenta dicho contenido a los alumnos.
Aporta copia del documento “SOLICITUD DE MATRÍCULA POSTGRADO” con la firma
del alumno reclamante, de fecha 27/07/2023, en la parte inferior de la cual consta:
“ El estudiante presta su consentimiento para que sus datos sean tratados por
UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U. para las actividades propias
de la Universidad en los términos reflejados en las Condiciones Generales de
Matriculación anexas ”.
A continuación, figura una información con el título “CONDICIONES GENERALES DE
ADMISIÓN Y DE MATRICULACIÓN A TITULACIONES DE POSTGRADO” en la que
consta lo siguiente:
“12. Normativa Interna de la Universidad.
El estudiante declara expresamente aceptar y conocer la Normativa Interna de
la Universidad Europea de Valencia y sus reglamentos académicos a los que
queda sujeto, por su condición de estudiante, durante todo el tiempo de
vinculación con la Universidad. Esta normativa se encuentra debidamente
publicada en https://universidadeuropea.com/conocenos/normativa/. El
estudiante que curse estudios en modalidad presencial queda obligado a la
asistencia a sus clases y a la acreditación de su registro a través de las
herramientas tecnológicas puestas a su disposición por la Universidad.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

26 / 58
(…)
14. Tratamiento de datos personales
UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U., en su calidad de
responsable del tratamiento, tratará los datos personales consignados en este
formulario con las finalidades de gestión académica, y matriculación del titular
de los mismos en la Universidad, conocer mejor las preferencias del titular de
los datos por medio de la evaluación de su perfil y realizar estudios de su
comportamiento, por medio de fuentes internas y externas, para el envío de
publicidad y promoción de productos y servicios propios y de terceros incluso
una vez finalizada su relación con UNIVERSIDAD EUROPEA DE VALENCIA,
S.L.U., enriquecer sus datos con fuentes externas, como por ejemplo, redes
sociales y para usar su imagen en sesiones de trabajos del campus. La base
para el tratamiento de los datos personales recogidos en este formulario se
encuentra en el desarrollo y ejecución de la relación formalizada con el titular
de los mismos y que se encuentra detallada en el presente documento, así
como en el cumplimiento de obligaciones legales de UNIVERSIDAD
EUROPEA DE VALENCIA, S.L.U. y el consentimiento inequívoco del titular de
los datos.
Asimismo, los datos personales tratados por UNIVERSIDAD EUROPEA DE
VALENCIA, S.L.U. para alcanzar las finalidades detalladas anteriormente
podrán ser comunicados a Organismos y Administraciones Públicas
autonómicas, estatales, europeas o internacionales, responsables económicos
para información acerca de resultados académicos y a entidades financieras
para la gestión de cobros y pagos.
El titular de los datos tiene derecho a acceder, rectificar y suprimir los datos,
limitar su tratamiento, oponerse al tratamiento y ejercer su derecho a la
portabilidad de los datos de carácter personal, todo ello de forma gratuita, tal
como se detalla en la información completa sobre protección de datos, en el
enlace https://universidadeuropea.com/politica-privacidad/.
El titular de los datos podrá revocar el consentimiento otorgado para la
recepción de comunicaciones comerciales o promocionales en cualquier
momento, dirigiéndose a UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U. en
la dirección c/ Tajo, s/n, 28670, Villaviciosa de Odón (Madrid) o enviando un
mensaje de correo electrónico a la dirección dpo@unviersidadeuropea.es
indicando en el asunto la referencia “revocación de publicidad”
Aporta copia de contrato de prestación de servicios, con fecha 18/12/2023, entre la
UNIVERSIDAD (entre otras universidades) y ***EMPRESA.1.
Aporta copia de contrato de encargo del tratamiento, con fecha 18/12/2023, entre la
UNIVERSIDAD (entre otras) y ***EMPRESA.1. En dicho contrato figura lo siguiente:
“SEGUNDA.- Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de
este encargo, RESPONSABLE DEL TRATAMIENTO, pone a disposición del
ENCARGADO DEL TRATAMIENTO, la información que se describe a
continuación según el servicio contratado:
- Datos seudoanomizados
- Bloqueo del ordenador
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

27 / 58
o Detección de eventos por parte del alumno para intentar salir de la
actividad monitorizada.
- Supervisión del ordenador:
o Detección de la actividad del alumno en su equipo mientras realiza la
actividad monitorizada como por ejemplo los programas en uso,
capturas de pantalla, detección de navegación web o uso de comandos.
- Supervisión por webcam:
o Captura de imágenes y análisis por medio de tecnología biométrica.
- Monitorización del audio:
o Grabación del audio del usuario
- Supervisión 360:
o Captura de imágenes por medio de una segunda cámara (sin análisis
biométrico).
Las categorías de interesados cuyos datos podrán ser tratados por el
ENCARGADO en virtud de este contrato son las siguientes:
- Alumnos/as”
Con fecha 24/07/2025 por parte del Inspector se comprueba lo siguiente:
1. En la segunda capa de información sobre protección de datos, a la que hace
referencia el enlace o link que consta en la primera capa de la información aportada
por la parte reclamada, consta publicado lo siguiente:
“POLÍTICA DE PRIVACIDAD COMPLETA:
***EMPRESA.1 (en adelante ***EMPRESA.1) (…).
Puede contactar con nuestro Delegado de Protección de Datos (DPO) a través
del siguiente email: dpo@***EMPRESA.1.com.
***EMPRESA.1 realiza automatizadamente tratamientos de datos personales
con la finalidad de autenticar a los usuarios e identificar y observar
comportamientos inadecuados en la realización de pruebas, exámenes o
certificaciones a distancia principalmente en el sector de la educación
universitaria. La finalidad del tratamiento es prestar el servicio contratado por la
Institución/Universidad (responsable de tratamiento) de la que usted forma
parte. En ningún caso se utilizarán para otras finalidades no determinadas por
el Responsable de Tratamiento.
Los datos que obtiene la plataforma del usuario/a de la misma son los
siguientes en función de las distintas herramientas contratadas:
Código de actividad/usuario. ***EMPRESA.1 recibe toda la información
del usuario asociada a un identificador del que no es posible extraer la
identidad de la persona, la relación con la identidad se mantiene en el
responsable del tratamiento. ***EMPRESA.1 no obtiene ninguna
información sobra el contenido de la actividad o examen online del
usuario o las respuesta que proporciona.
Nombre, apellido y correo electrónico. ***EMPRESA.1 accede a esta
información con la finalidad de proporcionar ayuda al usuario sobre el
uso del sistema.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

28 / 58
Información del sistema del usuario: el sistema detecta información del
sistema del usuario como el sistema operativo y versión o dirección IP
que ha utilizado el alumno durante su actividad.
Bloqueo del navegador: Detección de eventos por parte del alumno/a
para intentar salir de la actividad monitorizada.
Supervisión del ordenador: Detección de la actividad del alumno/a en su
equipo mientras realiza la actividad monitorizada como por ejemplo los
programas en uso, capturas de pantalla, detección de navegación web
o uso de comandos.
Imágenes y/o audios captados aleatoriamente por la webcam o el
micrófono del usuario/a previa aceptación de éste del uso de dichos
dispositivos.
Obtención a través de las imágenes y de los audios de un modelo
biométrico de las características del usuario/a para poder realizar la
autenticación y comprobaciones posteriores sobre la identidad del
usuario/a.
Supervisión 360 Captura de imágenes por medio de una segunda
cámara.
Encargado de tratamiento: ***EMPRESA.1 actúa en todo momento como
encargado de tratamiento de las entidades a las que presta el servicio de
autenticación y de identificación y análisis de comportamientos que puedan ser
considerados inadecuados. ***EMPRESA.1 ofrece un informe con los
resultados del análisis realizado. ***EMPRESA.1 tiene firmados los
correspondientes contratos en cumplimiento de la normativa de protección de
datos de carácter personal y aplica las medidas de seguridad correspondientes
siendo responsable activamente de garantizar la confidencialidad de los datos
que trata.
La base legal para el tratamiento de los datos es la legitimación basada en el
consentimiento del interesado/a prestado para las finalidades anteriormente
descritas, que se solicitará en el momento de comenzar a utilizar el sistema.
Plazo de conservación: Los datos personales proporcionados se conservarán
desde el momento que el usuario haya prestado su consentimiento hasta que
se revoque el mismo. Asimismo, como encargado de tratamiento se estará
sujeto a lo establecido por el Responsable sobre los periodos de conservación
de los datos, procediendo a su eliminación una vez que ***EMPRESA.1 deje
de dar servicio o el propio Responsable de Tratamiento haya eliminado los
datos. Los datos biométricos no se conservan de ningún modo puesto que se
destruyen tras realizar la autenticación.
Posibilidad de retirar el consentimiento: en el caso de que se haya otorgado el
consentimiento, el usuario/a tiene derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada. En todo caso se informará asimismo al
responsable del tratamiento dicha retirada del consentimiento para que adopte
las decisiones oportunas.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

29 / 58
2. En el documento “REGLAMENTO DE EVALUACIÓN DE LAS TITULACIONES
OFICIALES DE GRADO Y MÁSTER IMPARTIDAS EN MODALIDAD VIRTUAL EN LA
UNIVERSIDAD EUROPEA DE VALENCIA” publicado en internet, consta:
“[…]
TÍTULO I. DEL SISTEMA DE EVALUACIÓN DE LAS MATERIAS EN LOS‐
TÍTULOS OFICIALES DE
GRADO Y MÁSTER IMPARTIDOS EN MODALIDAD VIRTUAL
Art. 1. De la modalidad de impartición virtual

1. El Real Decreto 822/2021, de 28 de septiembre, por el que se establece la
ordenación de las enseñanzas universitarias oficiales, entiende por modalidad
de impartición virtual aquella en la que el conjunto de la actividad lectiva que se
enmarca en el plan de estudios se articula a través de la interacción académica
entre el profesorado y el estudiantado que no requiere la presencia física de
ambos en el mismo espacio docente de la universidad. Esta modalidad de
enseñanza universitaria se caracteriza fundamentalmente por basarse en el
uso intensivo de tecnologías digitales de la información y la comunicación. En
términos de carga crediticia, en las titulaciones oficiales de un Grado podrá
definirse como impartido en modalidad virtual cuando al menos un 80 por
ciento de créditos (ECTS) que lo configuran se imparten en dicha modalidad de
enseñanza.
[…]
Art. 4. De las pruebas de evaluación final

1. En los casos en que el sistema de evaluación de una materia de una
titulación impartida en modalidad virtual contemple la realización de una prueba
final o global (tanto si es prueba de evaluación presencial o virtual), cuyas
características estarán descritas en la Guía de aprendizaje publicada en el
campus virtual del estudiante, el Departamento de Evaluaciones Online, a
través del tutor online de cada titulación, hará pública la fecha de la celebración
de la prueba con una antelación mínima de 30 días naturales a la fecha de su
realización, siempre que sea viable por la organización de la titulación.
En ambos casos, pruebas de evaluación presenciales o virtuales, aparecerá la
denominación de la materia, el curso o grupo docente, la fecha, la hora y el
lugar de la prueba de evaluación final. Esta norma general se establece sin
perjuicio de la evaluación continua de los estudiantes.
La modificación de las fechas establecidas para las pruebas de evaluación
finales presenciales se regirá según la normativa específica:
https://universidadeuropea.com/resources/media/documents/NormativaOnline_
UEM_c7evCak.pdf.
2. Durante la realización de las pruebas de evaluación finales, se solicitará a
los estudiantes la acreditación de su identidad, mediante la presentación del
D.N.I., carné de conducir o pasaporte. La universidad cuenta con herramientas
para verificar la identidad del estudiante en el momento de realizar pruebas de
evaluación virtuales, que facilitará al estudiante y exigirá su instalación para su
realización. Si fuera preciso, también se solicitará la grabación de la ejecución
de la prueba por lo que los alumnos deberán disponer del hardware necesario
(cámara/s y micrófono). Todo ello respetando la legislación de protección de
datos. […]”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

30 / 58
Con fecha 26/07/2025 se comprueba que accediendo a la url (...) aparece el formulario
de Google ya descrito por el reclamante y reclamado con el mismo texto ya descrito.
QUINTO : Con fecha 14 de noviembre de 2025 la Presidencia de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a la UNIVERSIDAD,
por la presunta infracción del artículo 35 del RGPD y del artículo 9 del RGPD,
tipificadas en el artículo 83.4 del RGPD y el artículo 83.5 del RGPD, respectivamente.
SEXTO : Notificado el citado acuerdo de inicio, con fecha 28 de noviembre de 2025 se
recibió escrito de la UNIVERSIDAD, en el que informaba que había realizado el pago
voluntario de 160.000 euros, correspondientes a la sanción fijada en el acuerdo de
inicio (200.000 euros) con una reducción de un 20% de su importe. Asimismo,
manifestaba expresamente su renuncia a ejercitar cualquier acción o recurso en vía
administrativa contra la sanción. A su escrito aportaba el justificante bancario del
ingreso realizado.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran los siguientes
HECHOS PROBADOS
PRIMERO : La UNIVERSIDAD implantó en enero de 2024 el software ***SISTEMA.1
para el control de la realización de exámenes no presenciales de la universidad.
SEGUNDO : ***SISTEMA.1 incorporaba el uso de una herramienta de vigilancia y
monitorización remota a través de reconocimiento facial para la autenticación
(realizando comparaciones 1:1) y verificación de identidad durante la realización de
exámenes online de alumnos de la UNIVERSIDAD. Dicho sistema utilizaba un
algoritmo de reconocimiento automático para comprobar la identidad del usuario,
previo registro del alumno, y detectar posibles comportamientos incorrectos a lo largo
del examen.
TERCERO : El software fue utilizado para la realización de dos exámenes, celebrados
los días 6 y 7 de abril de 2024, dejando de utilizarse tras esas pruebas. El tratamiento
afectó a los datos personales de 153alumnos matriculados que realizaron exámenes
con la activación de ***SISTEMA.1.
CUARTO : La UNIVERSIDAD no ha acreditado haber informado y solicitado
consentimiento a los alumnos de la utilización del software ***SISTEMA.1 en el
momento de la matrícula de éstos al recoger sus datos.
QUINTO : Con fecha 5 de abril 2024 la UNIVERSIDAD remitió a los alumnos que iban
a examinarse los días 6 y 7 de abril de 2024, un correo electrónico con un formulario
para recoger su consentimiento para el tratamiento de sus datos mediante el software
***SISTEMA.1 en la realización de dichas pruebas. En dicho correo electrónico se les
informaba de la necesidad de aportar dicho formulario para la realización de los
exámenes, ofreciendo la posibilidad de realizar los exámenes los días 20 y 21 de abril
de 2024 en caso de no consentir el tratamiento de sus datos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

31 / 58
SEXTO : La UNIVERSIDAD ha aportado un documento de EIPD relativa al tratamiento
de datos personales del citado software sin firma y de fecha posterior a la celebración
de los exámenes de 6 y 7 de abril de 2024, de 8 de mayo de 2024.
SÉPTIMO : De acuerdo con el informe recogido de la herramienta AXESOR, la
UNIVERSIDAD contaba con un volumen de negocios de 69.027.530 euros en el año
2024.
FUNDAMENTOS DE DERECHO
I
Competencia y procedimiento
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
resolver este procedimiento la Presidencia de la Agencia Española de Protección de
Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
II.1. Datos personales objeto de tratamiento
El artículo 4.1) del RGPD define «dato personal» como: “ toda información sobre una
persona física identificada o identificable («el interesado»); se considerará persona
física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un nombre,
un número de identificación, datos de localización, un identificador en línea o uno o
varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona ”.
En el presente caso, consta la realización de un tratamiento de datos personales, toda
vez que la UNIVERSIDAD realizaba, entre otros tratamientos, la recogida de datos de
los estudiantes en el marco de la realización de exámenes en remoto. Dicho
tratamiento se realizaba a través del software ***SISTEMA.1 y constaba de dos
operaciones diferentes: (1) el control a través de vídeo y audio de los movimientos y
sonidos en la ubicación de los alumnos y (2) el tratamiento de datos biométricos de los
alumnos para su verificar su identidad para realizar el examen.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

32 / 58
Es relevante para el presente procedimiento el hecho de que parte de los datos objeto
de tratamiento sean datos biométricos, de acuerdo con el artículo 4.14 del RGPD, que
establece que éstos son:
“ datos personales obtenidos a partir de un tratamiento técnico específico,
relativos a las características físicas, fisiológicas o conductuales de una
persona física que permitan o confirmen la identificación única de dicha
persona, como imágenes faciales o datos dactiloscópicos ”.
De acuerdo con lo previsto en el RGPD, para poder determinar si estamos en
presencia de datos biométricos de carácter personal, deben concurrir tres requisitos,
que se deducen de la interpretación conjunta del artículo 4.14 (definición de datos
biométricos) y el artículo 4.1 del RGPD (definición de datos personales):
(i) En primer lugar, la naturaleza de los datos: deben ser relativos a las
características físicas, fisiológicas o conductuales de una persona física. Si el
tratamiento requiere el registro previo de la imagen, huella dactilar, voz, iris, etc.
o tiene en cuenta comportamientos o diferencia características como la raza,
sexo, etc., cumple con esta característica inicial, aunque no las almacene y
solo las emplee para generar el patrón biométrico.
(ii) En segundo lugar, la finalidad del tratamiento: los datos biométricos deben
permitir o confirmar la identificación única de dicha persona. No todos los
datos biométricos sirven para la identificación de personas físicas, pero los
sistemas biométricos dirigidos a permitir o confirmar la identificación única de
una persona sí tratan datos biométricos de carácter personal.
Las tecnologías biométricas permiten utilizar dos grandes tipos de sistemas
que se dirigen a identificar de manera única a las personas a partir de datos
biométricos, según señaló el Dictamen 3/2012 sobre la evolución de las
tecnologías biométricas de 27/04/2012 del Grupo de Trabajo del Artículo 29,
órgano consultivo independiente europeo en materia de protección de datos,
precedente del actual Comité Europeo de Protección de Datos (en adelante,
Dictamen 3/2012):
“- Identificación biométrica: la identificación de un individuo por un
sistema biométrico es normalmente el proceso de comparar sus datos
biométricos (adquiridos en el momento de la identificación) con una
serie de plantillas biométricas almacenadas en una base de datos (es
decir, un proceso de búsqueda de correspondencias uno-a-varios). (En
adelante, 1:N)
- Verificación/autenticación biométrica: la verificación de un individuo
por un sistema biométrico es normalmente el proceso de comparación
entre sus datos biométricos (adquiridos en el momento de la
verificación) con una única plantilla biométrica almacenada en un
dispositivo (es decir, un proceso de búsqueda de correspondencias
uno-a-uno).” (En adelante, 1:1).
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

33 / 58
Cabe aclarar que, en ambos casos, se trate de identificación o de
verificación/autenticación, las técnicas utilizadas se basan en una concordancia
estimada entre plantillas: la que se compara y la(s) de referencia. Desde este
punto de vista, son técnicas probabilísticas: la comparación deduce una
probabilidad mayor o menor de que la persona sea efectivamente quien se ha
de autenticar o identificar y, si esta probabilidad supera un determinado umbral
en el sistema, definido por su usuario o su desarrollador, el sistema entenderá
que existe una coincidencia. Pero, con independencia de las diferencias
existentes entre ambos sistemas biométricos respecto a la probabilidad de
errores, o desde el punto de vista de las medidas de seguridad, lo cierto es que
la finalidad de ambas técnicas es la misma, toda vez que ambas se dirigen a
identificar de forma unívoca a una persona, considerándose que ambas tratan
datos biométricos de carácter personal.
(iii) En tercer lugar, los medios y las formas de tratamiento: datos “ obtenidos a
partir de un tratamiento técnico específico ”; que “ permitan o confirmen la
identificación única de dicha persona ”.
Ya el Dictamen WP80 del Grupo de Trabajo del Artículo 29 se señalaba que los
sistemas biométricos son: « aplicaciones de las tecnologías biométricas que
permiten la identificación automática, y/o la autenticación/comprobación de una
persona. Se suelen utilizar aplicaciones de autenticación/comprobación para
diversas tareas en campos muy distintos y bajo la responsabilidad de una
amplia gama de entidades diferentes .» Todo sistema biométrico dirigido a
permitir o confirmar la identificación unívoca de las personas, para poder ser
usado, ha de registrar antes la identidad del usuario en el sistema por medio de
la captura de una serie de parámetros biométricos en bruto.
Es preciso aclarar que la información biométrica de las personas (sobre las
características físicas, fisiológicas o conductuales) puede procesarse y almacenarse
de diferentes formas:
 Una opción es que la información biométrica capturada de una persona se
almacene y se trate en bruto, lo que permite reconocer la fuente de la que
procede sin conocimientos especiales. Por ejemplo, la fotografía de una cara,
la fotografía de una huella dactilar (muestra) o una grabación de voz. Estas
serán un dato personal, pero, según el artículo 4.14 del RGPD, no serán datos
biométricos de carácter personal puesto que no se cumple con el requisito de
que el dato biométrico en bruto haya sido procesada mediante un tratamiento
técnico que permita su identificación por una máquina a través de un
tratamiento automatizado.
 Otra opción es que esta información biométrica se manifieste en forma de
plantilla biométrica o patrón biométrico (código alfanumérico). En estos casos,
la información biométrica bruta capturada es tratada por un software de manera
que solo se extraen de la misma ciertas características o rasgos (como
fragmentos de la muestra de huella o puntos de la imagen de la imagen de la
cara) y se salvan como una plantilla biométrica, llamado “vector” o “patrón
biométrico” que permite la identificación de su titular de forma automatizada.
Este sería el caso del sistema de control utilizado por la UNIVERSIDAD.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

34 / 58
Las Directrices sobre el uso de las tecnologías de reconocimiento facial dictadas por el
Consejo de Europa el 28/04/2021 (Guidelines on Facial Recognition, Council of Europe),
definen la plantilla biométrica como “una representación digital de las características
únicas que se han extraído de una muestra biométrica y se almacenan en una base de
datos biométrica”.
Una plantilla o patrón biométrico es una forma de escritura de una característica
biométrica humana, como un rostro o una huella dactilar, que se manifiesta en forma de
código alfanumérico, de manera que sea interpretable por una máquina de forma
eficiente y eficaz para un propósito o propósitos determinados. La plantilla biométrica no
está orientada a ser interpretada por una persona, como una fotografía, sino que está
orientada a ser tratada en un proceso automatizado, es decir, ser eficiente y
eficazmente interpretable por una máquina. Esta forma de almacenamiento permitiría
singularizar a un individuo y ejecutar acciones de forma automática, perfilar o inferir
información sobre un sujeto como actitudes o patrones de comportamiento, etc.
En otras palabras, la plantilla o patrón biométrico es la forma de medición de las
características físicas, fisiológicas o conductuales de una persona física que son
procesadas para asignar un código identificador único a cada individuo, de forma que
éste pueda ser interpretado automáticamente al realizar cada lectura por el software y
los dispositivos de hardware asociados a un sistema de verificación/identificación de la
identidad biométrico, permitiendo la comparación de los datos y verificación de la
identidad de forma automatizada.
En consecuencia, siempre que se emplee un sistema biométrico que procese
características físicas, fisiológicas o conductuales de las personas para convertirlas en
un patrón o plantilla biométrica que pueda interpretar una máquina de forma
automatizada para verificar la identidad de una persona de forma unívoca, no hay duda
de que se estarán tratando datos biométricos de carácter personal que están sometidos
a las obligaciones que el RGPD establece, siendo considerados de categoría especial
por el artículo 9 del RGPD y requiriendo la previa elaboración y superación de una
EIPD, como se analiza más adelante en los fundamentos de derecho de este acuerdo
de inicio.
Las Directrices 5/2022 del Comité Europeo de Protección de Datos (CEPD), sobre el
uso de reconocimiento facial en el ámbito de las fuerzas de orden público (véase
Versión 2.0, de 26 de abril de 2023), determinan, en su apartado 12, que el concepto
de dato biométrico incluye tanto la autenticación como la identificación, y que, si bien
son conceptos distintos, ambos implican el tratamiento de datos dirigidos a identificar a
una persona física, como se ha señalado anteriormente, por lo que constituyen
tratamientos de categorías especiales conforme al artículo 9 del RGPD.
Por tanto, tanto la identificación (1:N) como la autenticación (1:1), cuando emplean
datos biométricos para confirmar de forma unívoca la identidad de una persona,
implica un tratamiento de “categorías especiales de datos personales” del artículo 9.1
RPGD. Ello implica la activación en general de las garantías especiales que una y otra
norma confieren respecto del tratamiento de este tipo de datos especialmente
protegidos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

35 / 58
Ahora bien, sin perjuicio de que la autenticación y la identificación supongan un
tratamiento de datos especialmente protegidos, el riesgo para los derechos del
interesado será menor, en función de cómo estructure el responsable el tratamiento, y
sobre todo de las medidas adecuadas y específicas que adopte. Así, la proyección
concreta de estas garantías, no necesariamente habrá de serlo con la misma
intensidad. No puede obviarse que -aun en el ámbito de los datos especialmente
protegidos- esta distinción entre autenticación e identificación sigue siendo un
elemento relevante y distintivo del impacto y riego que se genera y debe protegerse.
El mismo CEPD en el apartado 17 del referido informe recuerda respecto del
reconocimiento facial que:
“El reconocimiento facial basado en una plantilla almacenada en un dispositivo
personal (tarjeta inteligente, teléfono inteligente, etc.) perteneciente a dicha
persona, utilizada para la autenticación y el uso estrictamente personal a través
de una interfaz específica, no plantea los mismos riesgos que, por ejemplo, el
uso con fines de identificación, en un entorno no controlado, sin la participación
activa de los interesados, en el que la plantilla de cada cara que entra en la zona
de supervisión se compara con las plantillas de una amplia sección transversal
de la población almacenada en una base de datos.
Entre estos dos extremos existe un espectro muy variado de usos y cuestiones
conexas relacionadas con la protección de los datos personales.”
En consecuencia, la distinción entre identificación o autenticación y especialmente de
los elementos concretos de estos tratamientos tanto por sus fines como especialmente
por los medios son elementos esenciales para determinar la proporcionalidad del
tratamiento, la necesidad de realizar una evaluación de impacto y la aplicabilidad de
excepciones al tratamiento de datos biométricos, especialmente en ámbitos como el
laboral, la seguridad pública o la prestación de servicios digitales.
Así, la identificación tiende a requerir justificaciones mucho más sólidas, siquiera sea
porque un número mayor de interesados se ven afectados. No todos los tratamientos
tienen la misma intensidad de impacto o requieren idénticas medidas de protección. La
norma general se mantiene: la prohibición del artículo 9.1 del RGPD puede exceptuarse
solo mediante las circunstancias específicas del artículo 9.2 del RGPD, como por
ejemplo el consentimiento explícito del interesado, el interés público relevante, o el que
se hayan hecho manifiestamente públicos. Sin embargo, cuando se emplean datos
biométricos en contextos de bajo riesgo o control restringido, el impacto sobre derechos
y libertades puede ser menor, lo que influye en la proporcionalidad de las salvaguardas
exigidas.
Cabe mencionar expresiones de la voluntad legislativa de mantener diferencias respecto
de estos tratamientos diferentes. Así, la Directiva (UE) 2024/2831 sobre trabajadores de
plataformas digitales prohíbe expresamente el uso de datos biométricos con fines de
identificación (1:N), es decir, mediante el cotejo de los datos de una persona con los de
una base de datos de múltiples individuos. En cambio, permite la autenticación o
verificación unívoca (1:1) con las garantías correspondiente a los datos especialmente
protegidos cuando esta se limita a cotejar los datos del interesado con los que él mismo
proporcionó previamente, siempre que el tratamiento sea lícito conforme al RGPD u
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

36 / 58
otras normas aplicables (Considerando 41). Esta directiva mantiene así una distinción
funcional y jurídica clara entre identificación y autenticación, reconociendo su diferente
impacto sobre los derechos fundamentales el tratamiento de estos datos sensibles. En
un sentido similar, el Reglamento (UE) 2024/1684 sobre inteligencia artificial, mantiene
esa distinción operativa y jurídica (considerandos 14 y ss.). En particular, el Anexo III. 1º
distingue claramente entre identificación biométrica remota (varios-a-varios, M:N),
considerada de alto riesgo, y verificación biométrica (uno-a-uno, 1:1), que queda
expresamente excluida cuando su única finalidad es confirmar la identidad declarada
por una persona.
Esta distinción, de nuevo, refleja una diferencia en el nivel de impacto y riesgo sobre los
derechos fundamentales. Así las cosas y en el contexto de la normativa de protección
de datos que aquí interesa, sin perjuicio de que nos encontramos ante datos
especialmente protegidos del artículo 9, no todos los tratamientos basados en el artículo
9 del RGPD comportan el mismo nivel de riesgo ni exigen el mismo grado de
salvaguardas. Desde una perspectiva de la legalidad y, especialmente de la
proporcionalidad y evaluación de riesgos, la identificación (1:N) suele presentar mayores
riesgos para los derechos y libertades fundamentales, en especial por su carácter
invasivo y su tendencia a extenderse sin control en el caso de la identificación remota.
En cambio, la autenticación biométrica localizada, bien diseñada y según toda una serie
de circunstancias a tener en cuenta en cada caso concreto, puede ser en muchos
contextos más proporcionada y menos intrusiva, especialmente si existe regulación o
consentimiento libre e informado y garantías adecuadas.
Por tanto, aunque desde el plano formal ambos usos pueden estar incluidos en el
artículo 9 del RGPD, el impacto real sobre los derechos y la intensidad de las medidas
de protección requeridas pueden variar sustancialmente, debiendo valorarse caso por
caso en función del contexto, la escala, la tecnología empleada y el control efectivo que
conserve el interesado sobre sus datos biométricos.
En el presente caso, de acuerdo con lo que consta en el informe técnico sobre la
herramienta ***SISTEMA.1 aportado por la UNIVERSIDAD, “ podría definirse
***SISTEMA.1 como una herramienta de supervisión en línea que proporciona las
evidencias de lo que sucede en la evaluación online de la institución para la toma de
decisiones.” Tanto en el informe, como en la información contenida en el RAT y en la
documentación remitida a los alumnos, se menciona el tratamiento de datos
biométricos. De acuerdo con el informe técnico y la evaluación de impacto
presentados por la UNIVERSIDAD, el procesamiento de los datos incluye la
verificación (1:1) de la identidad de los alumnos.
II.2. Operaciones de tratamiento
El artículo 4.2) del RGPD define «tratamiento» como: “ cualquier operación o conjunto
de operaciones realizadas sobre datos personales o conjuntos de datos personales,
ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación, extracción,
consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción .”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

37 / 58
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, el
tratamiento de datos personales se realiza con la herramienta ***SISTEMA.1, utilizada
en los exámenes de la UNIVERSIDAD, a través de la cual se realiza la recogida y
comparación de datos biométricos de los estudiantes. Así consta en el RAT de la
UNIVERSIDAD, en el informe técnico aportado por la UNIVERSIDAD y en la
documentación remitida a los alumnos.
En el correo enviado en fecha 05/04/2024 desde el correo electrónico ***EMAIL.5 hacia
el correo electrónico del reclamante, se incluye una descripción del tratamiento a
realizar, donde se explica que existen dos tratamientos diferenciados, uno de los cuales
incluye reconocimiento facial.
En relación con este segundo tratamiento, en el informe técnico aportado por la
UNIVERSIDAD se indica lo siguiente:
“5.7.1 Procesamiento biométrico de bajo impacto
El procesamiento biométrico que se realiza es de autenticación/verificación y
no de identificación. Esto quiere decir que se realizan comparaciones de 1 a 1
y no de 1 a varios .”
También la Evaluación de Impacto de fecha 08/05/2025 remitida por la UNIVERSIDAD
contiene una descripción del tratamiento en la que se incluye el sistema de
autenticación de identidad:
“[…] Descripción del proyecto, proceso, sistema o producto sobre el que
realizar una evaluación de impacto.
Uso de la herramienta de vigilancia y monitorización remota a través de
reconocimiento facial “***SISTEMA.1” para la autenticación y verificación
durante la durante la realización de evaluaciones y exámenes on line por parte
de los alumnos de la Universidad Europea de Valencia (en adelante, UEV).
***SISTEMA.1 es un sistema de autenticación de la identidad del estudiante
online que utiliza un algoritmo de reconocimiento automático para comprobar la
identidad del usuario y detectar comportamientos incorrectos a lo largo del
examen.”
Asimismo, en la Guía remitida a los estudiantes se menciona expresamente la
creación de un patrón biométrico, en los siguientes términos:
“3.1. Aplicación de registro
Se ejecuta automáticamente la primera vez que se accede a la actividad que
se esté monitorizando o cuando acceda al enlace de registro.
Es una sencilla aplicación con la cual el usuario tomará tres fotos mediante su
webcam para el registro de su identidad. Dichas imágenes se utilizarán para
crear un modelo biométrico-matemático de sus características faciales que
será utilizado en las futuras verificaciones. El usuario estará obligado a
efectuar este registro una vez al inicio del curso o examen. Para posteriores
cursos o exámenes, no será necesario volver a realizar el registro ya que el
modelo biométrico creado al inicio se va alimentando de nuevas imágenes.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

38 / 58
De acuerdo con la información facilitada por la UNIVERSIDAD, dicho sistema estuvo
vigente desde enero de 2024, se utilizó en los mencionados exámenes de 6 y 7 de abril
de ese año y no se ha vuelto a utilizar, si bien en la información sobre tratamiento de
datos publicada por la UNIVERSIDAD y recogida con fecha 24/07/2025 en el marco de
las actuaciones de investigación, todavía figura una referencia a dicho tratamiento.
II.3. Responsable y encargado de tratamiento
El artículo 4.7) del RGPD define al «responsable del tratamiento» o «responsable»
como: “ la persona física o jurídica, autoridad pública, servicio u otro organismo que,
solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la
Unión o de los Estados miembros determina los fines y medios del tratamiento, el
responsable del tratamiento o los criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados miembros ”.
A su vez el artículo 4.8) del RGPD determina al «encargado del tratamiento» o
«encargado» como la persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento.
En el presente caso, la UNIVERSIDAD realiza esta actividad en su condición de
responsable del tratamiento, dado que es quien determina los fines y medios de tal
actividad, de acuerdo con el artículo 4.7 del RGPD.
III
Obligación incumplida. Tratamiento de categorías especiales de datos personales
(artículo 9 del RGPD)
El artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos
personales, establece lo siguiente:
"1. Quedan prohibidos el tratamiento de datos personales que revelen el origen
étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas,
o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos
dirigidos a identificar de manera unívoca a una persona física, datos relativos a
la salud o datos relativos a la vida sexual o la orientación sexual de una
persona física.
2. El apartado 1 no será de aplicación cuando concurra una de las
circunstancias siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos
datos personales con uno o más de los fines especificados, excepto cuando el
Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el
ejercicio de derechos específicos del responsable del tratamiento o del
interesado en el ámbito del Derecho laboral y de la seguridad y protección
social, en la medida en que así lo autorice el Derecho de la Unión o de los
Estados miembros o un convenio colectivo con arreglo al Derecho de los
Estados miembros que establezca garantías adecuadas del respeto de los
derechos fundamentales y de los intereses del interesado;
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

39 / 58
c) el tratamiento es necesario para proteger intereses vitales del interesado o
de otra persona física, en el supuesto de que el interesado no esté capacitado,
física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con
las debidas garantías, por una fundación, una asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros
actuales o antiguos de tales organismos o a personas que mantengan
contactos regulares con ellos en relación con sus fines y siempre que los datos
personales no se comuniquen fuera de ellos sin el consentimiento de los
interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho
manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de
reclamaciones o cuando los tribunales actúen en ejercicio de su función
judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre
la base del Derecho de la Unión o de los Estados miembros, que debe ser
proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para
proteger los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral,
evaluación de la capacidad laboral del trabajador, diagnóstico médico,
prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de
los sistemas y servicios de asistencia sanitaria y social, sobre la base del
Derecho de la Unión o de los Estados miembros o en virtud de un contrato con
un profesional sanitario y sin perjuicio de las condiciones y garantías
contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la
salud pública, como la protección frente a amenazas transfronterizas graves
para la salud, o para garantizar elevados niveles de calidad y de seguridad de
la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la
base del Derecho de la Unión o de los Estados miembros que establezca
medidas adecuadas y específicas para proteger los derechos y libertades del
interesado, en particular el secreto profesional;
j) el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el
artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados
miembros, que debe ser proporcional al objetivo perseguido, respetar en lo
esencial el derecho a la protección de datos y establecer medidas adecuadas y
específicas para proteger los intereses y derechos fundamentales del
interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

40 / 58
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los
fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por
un profesional sujeto a la obligación de secreto profesional, o bajo su
responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados
miembros o con las normas establecidas por los organismos nacionales
competentes, o por cualquier otra persona sujeta también a la obligación de
secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o
de las normas establecidas por los organismos nacionales competentes.
4. Los Estados miembros podrán mantener o introducir condiciones
adicionales, inclusive limitaciones, con respecto al tratamiento de datos
genéticos, datos biométricos o datos relativos a la salud."
En el presente caso, de acuerdo con los hechos probados, consta la realización de un
tratamiento de datos personales que incluye operaciones de tratamiento sobre datos
biométricos de los alumnos de la UNIVERSIDAD, en el marco de la realización de
exámenes online.
Como se ha detallado en el fundamento anterior, de acuerdo con la definición dada por
el artículo 4.14 del RGPD, los datos biométricos tratados por estos sistemas se
convertirán en datos de carácter personal siempre y cuando la finalidad del tratamiento
sea la identificación o autenticación de una persona, en el sentido previsto en el artículo
4.1 del RGPD.
Así, el artículo 9.1 del RGPD, prevé la prohibición del tratamiento de datos “ datos
biométricos dirigidos a identificar de manera unívoca a una persona física ”, salvo que
concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD.
Cabe señalar además que cualquier excepción a dicha prohibición habrá de ser objeto
de interpretación restrictiva, tal y como se deduce de los considerandos 51 y 52 del
RGPD.
Así las cosas, las excepciones que podrían permitir el levantamiento de la prohibición
general de tratar datos biométricos dirigidos a identificar/verificar la identidad de
personas físicas previstas en el artículo 9.2. del RGPD, transcrito anteriormente.
En definitiva, si el responsable no acredita que su tratamiento está amparado por alguna
de estas excepciones, incurre en una infracción del artículo 9 del RGPD.
En el presente caso, la UNIVERSIDAD alega que excepción que permite el
levantamiento de la prohibición del artículo 9 del RGPD es el consentimiento de los
interesados (los alumnos).
Así lo indica la propia UNIVERSIDAD en diferentes documentos, entre otros:
- En el escrito de 09/05/2024 de la UNIVERSIDAD como respuesta al traslado,
dice que “ se recaban los respectivos consentimientos de los interesados
proveyéndose como alternativa la deshabilitación de dicha funcionalidad y la
consiguiente identificación manual por medio de personal interno cualificado”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

41 / 58
- En el correo electrónico enviado en fecha 05/04/2024 desde la dirección
***EMAIL.5 al reclamante, donde se diferencia entre dos tratamientos para los
que se utiliza ***SISTEMA.1, el segundo de los cuales sería el reconocimiento
facial para acreditar la identidad del alumno. En relación con este, señala la
UNIVERSIDAD que “d icho reconocimiento facial conlleva el tratamiento de
datos personales biométricos de los alumnos, una categoría especial de datos,
por lo que se requiere que concurra alguna de las circunstancias habilitantes
del artículo 9 RGPD, y siendo ésta el consentimiento prestado por el
interesado”.
- También consta en la segunda capa de información a la que dirige el RAT.
Sin embargo, de acuerdo con las evidencias que constan en el expediente, hay varios
elementos que pondrían en cuestión que dicho consentimiento se haya otorgado de
acuerdo con las exigencias que impone el RGPD.
En este sentido, cabe aclarar que el RGPD regula expresamente las condiciones en
las que cabe entender que existe o no consentimiento.
En primer lugar, el considerando 42 establece que:
“Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el
responsable del tratamiento debe ser capaz de demostrar que aquel ha dado
su consentimiento a la operación de tratamiento. En particular en el contexto
de una declaración por escrito efectuada sobre otro asunto, debe haber
garantías de que el interesado es consciente del hecho de que da su
consentimiento y de la medida en que lo hace. De acuerdo con la Directiva
93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de
consentimiento elaborado previamente por el responsable del tratamiento con
una formulación inteligible y de fácil acceso que emplee un lenguaje claro y
sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento
sea informado, el interesado debe conocer como mínimo la identidad del
responsable del tratamiento y los fines del tratamiento a los cuales están
destinados los datos personales. El consentimiento no debe considerarse
libremente prestado cuando el interesado no goza de verdadera o libre
elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio
alguno.”
El artículo 4.11) del RGPD lo define del siguiente modo:
“11) «consentimiento del interesado»: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen”
Por último, el artículo 7 del RGPD regula las condiciones para el consentimiento,
estableciendo lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

42 / 58
“1. Cuando el tratamiento se base en el consentimiento del interesado, el
responsable deberá ser capaz de demostrar que aquel consintió el tratamiento
de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración
escrita que también se refiera a otros asuntos, la solicitud de consentimiento se
presentará de tal forma que se distinga claramente de los demás asuntos, de
forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No
será vinculante ninguna parte de la declaración que constituya infracción del
presente Reglamento.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier
momento. La retirada del consentimiento no afectará a la licitud del tratamiento
basada en el consentimiento previo a su retirada. Antes de dar su
consentimiento, el interesado será informado de ello. Será tan fácil retirar el
consentimiento como darlo.
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta
en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de
un contrato, incluida la prestación de un servicio, se supedita al consentimiento
al tratamiento de datos personales que no son necesarios para la ejecución de
dicho contrato.”
Esta regulación del RGPD ha sido interpretada por el Comité Europeo de Protección
de Datos (CEPD) en sus Directrices 5/2020 sobre el consentimiento en el sentido del
Reglamento (UE) 2016/679, adoptadas el 4 de mayo de 2020.
De esas Directrices cabe destacar las siguientes afirmaciones, relacionadas con el
presente procedimiento:
“13. El término «libre» implica elección y control reales por parte de los
interesados. Como norma general, el RGPD establece que, si el sujeto no es
realmente libre para elegir, se siente obligado a dar su consentimiento no
sufrirá consecuencias negativas si no lo da, entonces el consentimiento no
puede considerarse válido, Si el consentimiento está incluido como una parte
no negociable de las condiciones generales se asume que no se ha dado
libremente. En consecuencia, no se considerará que el consentimiento se ha
prestado libremente si el interesado no puede negar o retirar su consentimiento
sin perjuicio14. La noción de desequilibrio entre el responsable del tratamiento
y el interesado también se tiene en cuenta en el RGPD.
14. A la hora de valorar si el consentimiento se ha dado libremente, deben
considerarse también las situaciones concretas en las que el consentimiento se
supedita a la ejecución de contratos o a la prestación de un servicio tal y como
se describe en el artículo 7, apartado 4. El artículo 7, apartado 4, se ha
redactado de manera no exhaustiva mediante el uso de la expresión «entre
otras cosas», lo que significa que puede haber otras circunstancias que entren
en el ámbito de aplicación de esta disposición. En términos generales, el
consentimiento quedará invalidado por cualquier influencia o presión
inadecuada ejercida sobre el interesado (que puede manifestarse de formas
muy distintas) que impida que este ejerza su libre voluntad.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

43 / 58
(…)
42. Un servicio puede conllevar múltiples operaciones de tratamiento de datos
para más de un fin. En dichos casos, los interesados deberían tener libertad
para elegir qué fines aceptan, en lugar de tener que dar su consentimiento a un
conjunto de fines. En algunos casos, de conformidad con el RGPD, serán
necesarios varios consentimientos para comenzar a ofrecer un servicio.
43. El considerando 43 aclara que se presume que el consentimiento no se ha
dado libremente cuando el proceso o el procedimiento para obtener el
consentimiento no permita a los interesados autorizar por separado las
distintas operaciones de tratamiento de datos personales (por ejemplo, solo
para algunas operaciones de tratamiento de datos y no para otras) pese a ser
apropiado en ese caso concreto. El considerando 32 señala que «El
consentimiento debe darse para todas las actividades de tratamiento
realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga
varios fines, debe darse el consentimiento para todos ellos».
(…)
55. El artículo 6, apartado 1, letra a), confirma que el consentimiento del
interesado para el tratamiento de sus datos debe darse «para uno o varios
fines específicos» y que un interesado puede elegir con respecto a cada uno
de dichos fines28. El requisito de que el consentimiento deba ser «específico»
tiene por objeto garantizar un nivel de control y transparencia para el
interesado. Este requisito no ha sido modificado por el RGPD y sigue estando
estrechamente vinculado con el requisito de consentimiento «informado». Al
mismo tiempo, debe interpretarse en línea con el requisito de «disociación»
para obtener el consentimiento «libre»29. En suma, para cumplir con el
carácter de «específico» el responsable del tratamiento debe aplicar:
i la especificación del fin como garantía contra la desviación del uso,
ii la disociación en las solicitudes de consentimiento, y
iii una clara separación entre la información relacionada con la obtención del
consentimiento para las actividades de tratamiento de datos y la información
relativa a otras cuestiones.
(…)
64. Para que el consentimiento sea informado es necesario comunicar al
interesado ciertos elementos que son cruciales para poder elegir. Por tanto, el
CEPD opina que se requiere, al menos, la información siguiente para obtener
el consentimiento válido:
i. la identidad del responsable del tratamiento32,
ii. el fin de cada una de las operaciones de tratamiento para las que se solicita
el consentimiento,
iii. qué (tipo de) datos van a recogerse y utilizarse, 34
iv. la existencia del derecho a retirar el consentimiento35,
v. información sobre el uso de los datos para decisiones automatizadas de
conformidad con el artículo 22, apartado 2, letra c)36, cuando sea pertinente, e
vi. información sobre los posibles riesgos de transferencia de datos debido a la
ausencia de una decisión de adecuación y de garantías adecuadas, tal y como
se describen en el artículo 46.”
Por otro lado, la jurisprudencia sobre este tema ha dejado clara la inadmisibilidad del
consentimiento tácito. Así, la Sentencia de la Audiencia Nacional de 14 de febrero de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

44 / 58
2023, en el recurso 463/2020, dispone sobre los requisitos del consentimiento lo
siguiente:
“De todo lo cual ha de concluirse que la normativa de protección de datos
excluye en la actualidad el consentimiento tácito y exige que el mismo sea
explícito. Considera la Sala, por tanto, que solo resultará válido el
consentimiento expreso, que debe otorgarse a través de un acto afirmativo
claro que evidencie una declaración de voluntad libre, específica, informada e
inequívoca del titular de los datos de carácter personal, en el sentido de que no
exista la más mínima duda de que ha habido voluntad manifiesta por parte de
dicho afectado”.
En el presente caso, la UNIVERSIDAD alude a varios momentos en los que se
informaría a los alumnos sobre el tratamiento: en el momento en que se realiza la
matrícula en el máster; en el momento en que se les envía información sobre el
funcionamiento del software ***SISTEMA.1 y en el formulario que se envió a los
alumnos el día 05/04/2024 previo a la realización de los exámenes de los días 6 y 7 de
ese mes.
En cuanto a la matrícula, a su escrito de fecha 08/05/2025, la UNIVERSIDAD aporta
copia del documento “SOLICITUD DE MATRÍCULA POSTGRADO” con la firma del
alumno con fecha 27/07/2023, en la que, en la parte inferior consta lo siguiente:
“El estudiante presta su consentimiento para que sus datos sean tratados por
UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U. para las actividades propias
de la Universidad en los términos reflejados en las Condiciones Generales de
Matriculación anexas”.
A continuación, figura una información con el título “CONDICIONES GENERALES DE
ADMISIÓN Y DE MATRICULACIÓN A TITULACIONES DE POSTGRADO” en la que
consta lo siguiente en relación con el tratamiento de datos personales:
“14. Tratamiento de datos personales
UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U., en su calidad de
responsable del tratamiento, tratará los datos personales consignados en este
formulario con las finalidades de gestión académica, y matriculación del titular
de los mismos en la Universidad, conocer mejor las preferencias del titular de
los datos por medio de la evaluación de su perfil y realizar estudios de su
comportamiento, por medio de fuentes internas y externas, para el envío de
publicidad y promoción de productos y servicios propios y de terceros incluso
una vez finalizada su relación con UNIVERSIDAD EUROPEA DE VALENCIA,
S.L.U., enriquecer sus datos con fuentes externas, como por ejemplo, redes
sociales y para usar su imagen en sesiones de trabajos del campus. La base
para el tratamiento de los datos personales recogidos en este formulario se
encuentra en el desarrollo y ejecución de la relación formalizada con el titular
de los mismos y que se encuentra detallada en el presente documento, así
como en el cumplimiento de obligaciones legales de UNIVERSIDAD
EUROPEA DE VALENCIA, S.L.U. y el consentimiento inequívoco del titular de
los datos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

45 / 58
Asimismo, los datos personales tratados por UNIVERSIDAD EUROPEA DE
VALENCIA, S.L.U. para alcanzar las finalidades detalladas anteriormente
podrán ser comunicados a Organismos y Administraciones Públicas
autonómicas, estatales, europeas o internacionales, responsables económicos
para información acerca de resultados académicos y a entidades financieras
para la gestión de cobros y pagos.
El titular de los datos tiene derecho a acceder, rectificar y suprimir los datos,
limitar su tratamiento, oponerse al tratamiento y ejercer su derecho a la
portabilidad de los datos de carácter personal, todo ello de forma gratuita, tal
como se detalla en la información completa sobre protección de datos, en el
enlace https://universidadeuropea.com/politica-privacidad/.
El titular de los datos podrá revocar el consentimiento otorgado para la
recepción de comunicaciones comerciales o promocionales en cualquier
momento, dirigiéndose a UNIVERSIDAD EUROPEA DE VALENCIA, S.L.U. en
la dirección c/ Tajo, s/n, 28670, Villaviciosa de Odón (Madrid) o enviando un
mensaje de correo electrónico a la dirección dpo@unviersidadeuropea.es
indicando en el asunto la referencia “revocación de publicidad”
En dicha matrícula, por tanto, no hay una referencia al posible tratamiento de sus datos
biométricos a través de la aplicación ***SISTEMA.1 con el objeto de verificar su
identidad. En la referencia genérica a la finalidad de gestión académica no podría
considerarse amparado ese tratamiento de datos, ya que éste tiene una finalidad
específica y debería, por tanto, constar una información diferenciada para esa finalidad.
En cuanto a la información previa al examen en sus diferentes comunicaciones con el
reclamante y en sus respuestas a esta autoridad, que han sido transcritas en los
Hechos, la UNIVERSIDAD reconoce que inicialmente estaba previsto el tratamiento
consistente en la autenticación con reconocimiento facial para los exámenes a
celebrar los días 6 y 7/04/2024.
Sin embargo, tras las comunicaciones con el reclamante, toma la decisión de dar a los
alumnos a elegir entre realizar el examen aceptando ese tratamiento o bien posponer
la realización a una fecha alternativa. Esta decisión consta en el correo electrónico
enviado en fecha 05/04/2024 desde el correo electrónico ***EMAIL.5 , así como en el
correo electrónico enviado en fecha 05/04/2024 desde el correo electrónico
***EMAIL.6 , dirigido al correo electrónico del reclamante, en los siguientes términos:
“Ante las reservas trasladadas por el delegado de vuestra titulación en materia
de protección de datos personales, y a fin de asegurar la protección de
vuestros derechos con las máximas garantías, se ha determinado habilitar una
doble posibilidad para la realización de los exámenes de vuestra titulación
(convocatorias ordinarias de cada semestre y convocatoria extraordinaria):
Opción 1: Realización del examen en modo virtual mediante utilización del
software ***SISTEMA.1 con activación automática del reconocimiento facial.
Opción 2: Realización del examen en modo virtual mediante utilización del
software ***SISTEMA.1 sin activación automática del reconocimiento facial
(identificación por sistema manual).
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

46 / 58
La elección de uno de los sistemas excluye la posibilidad de acogerse al otro y
opera en relación a todos los exámenes de la titulación.
Los estudiantes que se acojan a la Opción 1, deberán comunicarlo hoy, viernes
5 de abril de 2024 antes de las 20:00 horas (hora peninsular española),
prestando su consentimiento expreso referente al uso del software
***SISTEMA.1 con reconocimiento facial automático activado mediante
cumplimentación del formulario disponible en el siguiente enlace: (...) . Los
exámenes correspondientes al primer semestre bajo esta Opción 1 se
realizarán con sujeción a los horarios ya aprobados y comunicados.
Los estudiantes que se acojan a la Opción 2 (y todos los que no se hayan
acogido a la Opción 1 de forma expresa en los términos indicados en el párrafo
anterior) realizarán sus exámenes el fin de semana del 20 y 21 de abril, en
horarios que serán comunicados por la Universidad próximamente.”
En el formulario mencionado conta el siguiente texto relativo al consentimiento:
“Al rellenar este formulario usted manifiesta su voluntad de realizar el
correspondiente examen de su titulación en su fecha y horario ya estipulados
(6 y/o 7 de abril), prestando su consentimiento a que el software de supervisión
del examen lleve a cabo el reconocimiento facial previamente informado al
momento de acceder a la plataforma.
Igualmente, le recordamos que, como medida alternativa a dicho
reconocimiento facial, la Universidad ha habilitado la posibilidad de realizar el
examen en una fecha posterior (20 y/o 21 de abril) una vez configurada la
funcionalidad de identificación manual del alumno por personal cualificado.
Asimismo, le informamos que la Universidad Europea de Valencia, en calidad
de responsable, tratará sus datos personales introducidos en el presente
formulario y, en base a su consentimiento, con la finalidad de gestionar su
inscripción en el examen del 6 y 7 de abril y mantener un registro de aquellos
alumnos que hayan consentido la realización en los términos expuestos; y en
su caso, el cumplimiento de la normativa impuesta al responsable (…)”.
De acuerdo con esta información, en el momento de la matrícula no se habría recabado
el consentimiento a los interesados, tampoco en el momento de comunicarles la
realización de los exámenes a través de la herramienta ***SISTEMA.1 y no es hasta el
día anterior a la primera fecha de examen cuando se les envía un correo informando de
la posibilidad de hacer el examen sin someterse al tratamiento de autenticación que
incluye datos biométricos, dando como alternativa la realización del examen en una
fecha posterior.
Cabría considerar, por tanto, si la cumplimentación de dicho formulario podría
considerarse un otorgamiento válido del consentimiento de acuerdo con el RGPD.
Al respecto cabe indicar que dicho texto menciona el reconocimiento facial, si bien no
indica la finalidad (autenticación) y remite a la información que se mostrará en el
momento de acceder a la plataforma. Por otro lado, se trata de un formulario remitido a
los alumnos con posterioridad a haberles informado de la obligatoriedad de realizar el
examen en determinada fecha y utilizando esa herramienta informática. Por último, el
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

47 / 58
formulario se envía el día anterior a la realización de la prueba, lo que cabe entender
que afecta a la decisión de los alumnos matriculados en el máster y con la expectativa
de realizar la prueba en una fecha determinada.
En estos términos, no cabría considerar que el consentimiento otorgado implicara una
elección y control reales por parte de los interesados. El hecho de que el consentimiento
se ligue a la no realización de la prueba en una fecha concreta, previamente informada
y que es el día siguiente al propio consentimiento, supone una presión que afecta a la
decisión de los alumnos.
Por tanto, de conformidad con los hechos probados, se considera que los hechos son
constitutivos de una infracción, imputable a la UNIVERSIDAD, por vulneración del
artículo transcrito anteriormente.
IV
Tipificación de la infracción del artículo 9 del RGPD y calificación a efectos de
prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, que se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9"
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los
apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las
que resulten contrarias a la presente ley orgánica”.
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD
establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679
se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y,
en particular, las siguientes:
e) El tratamiento de datos personales de las categorías a las que se refiere el
artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las
circunstancias previstas en dicho precepto y en el artículo 9 de esta ley
orgánica."
V
Sanción por la infracción del artículo 9 del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

48 / 58
“1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del
presente Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso
individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas
contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la
imposición de una multa administrativa y su cuantía en cada caso individual se
tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción”.
Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD
dispone:
“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del
Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de
graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

49 / 58
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier
interesado”.
En el presente caso, considerando la gravedad de la infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
corresponde la imposición de multa.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
estos principios, se considera, con carácter previo, el volumen de negocio de la
UNIVERSIDAD de 69.027.530 euros en el año 2024.
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con las evidencias de que se dispone en este procedimiento sancionador,
se considera que procede graduar la sanción a imponer de acuerdo con las
circunstancias siguientes, contempladas en los preceptos antes citados:
 La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido (artículo 83.2.a) del RGPD).
En el presente caso, el tratamiento se puso en marcha en enero de 2024 y se
ha limitado a las pruebas de los días 6 y 7/04/2024, afectando a 153 alumnos,
habiéndose dejado de utilizar la herramienta, de acuerdo con lo manifestado
por la UNIVERSIDAD.
Por otro lado, cabe tener en cuenta la propia naturaleza del tratamiento y sus
limitaciones. Así, si bien se tratan datos biométricos, no se archivan plantillas
biométricas lo que reduce de manera significativa el riesgo que este
tratamiento puede suponer para los derechos y libertades de los usuarios.
Además, el tratamiento que está realizado el responsable es y se trata de un
sistema de autenticación. Este hecho es importante porque, aunque no elimina
el riesgo, sí lo reduce con relación a otros tratamientos en los que se utilice la
identificación. Como se ha detallado en el fundamento segundo, los
tratamientos basados en autenticación (1:1), implican un impacto y riesgos
para los derechos de los afectados menores que los de identificación (1:N).
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

50 / 58
 Intencionalidad/Negligencia en la infracción (artículo 83.2.b) del RGPD). En el
presente caso, si bien existe negligencia en la actuación de la UNIVERSIDAD,
en la medida en que no existe una excepción que levante la prohibición del
artículo 9.1 del RGPD, hay que indicar que los datos que está utilizando son
datos biométricos utilizados en un tratamiento de autenticación, que como se
ha indicado tiene un riesgo menor que los tratamientos de datos de
identificación.
 Las categorías de los datos de carácter personal afectados por la infracción
(artículo 83.2.g) del RGPD). En el presente caso se trata de datos biométricos,
que son datos de categoría especial, de acuerdo con el artículo 9 del RGPD y
cuyo tratamiento puede entrañar un riesgo elevado, como se ha expuesto en el
fundamento de derecho de cuestiones previas.
Además, se considera el siguiente factor de graduación en calidad de atenuante según
el artículo 83.2 del RGPD:
 Cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados (artículo 83.2.c) del
RGPD). En el presente caso consta que, tras las comunicaciones con el
reclamante, la UNIVERSIDAD ofreció a los alumnos una alternativa al uso de
datos biométricos. Asimismo, cabe tener en cuenta el hecho de que la
UNIVERSIDAD decidiera recabar el consentimiento de los interesados con
carácter previo a la realización de la prueba. Si bien dicho consentimiento
adolece de las exigencias que impone el RGPD, como se ha señalado
anteriormente, sí pondría de manifiesto un esfuerzo por parte de la
UNIVERSIDAD por contar con una base de legitimación para el tratamiento.
El balance de las circunstancias contempladas en los artículos 83.2 del RGPD y 76.2
de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 9 del RGPD, permite fijar una sanción de multa administrativa de 50.000,00
euros.
VI
Obligación incumplida. Evaluación de impacto relativa a la protección de datos
(artículo 35 del RGPD)
La evaluación de impacto relativa a la protección de datos se regula en el artículo 35
del RGPD en los siguientes términos:
"1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza
nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento realizará, antes del tratamiento, una evaluación del
impacto de las operaciones de tratamiento en la protección de datos
personales. Una única evaluación podrá abordar una serie de operaciones de
tratamiento similares que entrañen altos riesgos similares.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

51 / 58
2. El responsable del tratamiento recabará el asesoramiento del delegado de
protección de datos, si ha sido nombrado, al realizar la evaluación de impacto
relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se
refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas
físicas que se base en un tratamiento automatizado, como la elaboración de
perfiles, y sobre cuya base se tomen decisiones que produzcan efectos
jurídicos para las personas físicas o que les afecten significativamente de
modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se
refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas
e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
4. La autoridad de control establecerá y publicará una lista de los tipos de
operaciones de tratamiento que requieran una evaluación de impacto relativa a
la protección de datos de conformidad con el apartado 1. La autoridad de
control comunicará esas listas al Comité a que se refiere el artículo 68.
5. La autoridad de control podrá asimismo establecer y publicar la lista de los
tipos de tratamiento que no requieren evaluaciones de impacto relativas a la
protección de datos. La autoridad de control comunicará esas listas al Comité.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad
de control competente aplicará el mecanismo de coherencia contemplado en el
artículo 63 si esas listas incluyen actividades de tratamiento que guarden
relación con la oferta de bienes o servicios a interesados o con la observación
del comportamiento de estos en varios Estados miembros, o actividades de
tratamiento que puedan afectar sustancialmente a la libre circulación de datos
personales en la Unión.
7. La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de
los fines del tratamiento, inclusive, cuando proceda, el interés legítimo
perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de
tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los
interesados a que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas
de seguridad y mecanismos que garanticen la protección de datos personales,
y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta
los derechos e intereses legítimos de los interesados y de otras personas
afectadas.
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el
artículo 40 por los responsables o encargados correspondientes se tendrá
debidamente en cuenta al evaluar las repercusiones de las operaciones de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

52 / 58
tratamiento realizadas por dichos responsables o encargados, en particular a
efectos de la evaluación de impacto relativa a la protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de
sus representantes en relación con el tratamiento previsto, sin perjuicio de la
protección de intereses públicos o comerciales o de la seguridad de las
operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras
c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del
Estado miembro que se aplique al responsable del tratamiento, tal Derecho
regule la operación específica de tratamiento o conjunto de operaciones en
cuestión, y ya se haya realizado una evaluación de impacto relativa a la
protección de datos como parte de una evaluación de impacto general en el
contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de
aplicación excepto si los Estados miembros consideran necesario proceder a
dicha evaluación previa a las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme
con la evaluación de impacto relativa a la protección de datos, al menos
cuando exista un cambio del riesgo que representen las operaciones de
tratamiento."
En el presente caso, como se ha indicado en el fundamento segundo, tiene lugar un
tratamiento de datos personales biométricos. Este tipo de tratamiento puede ser
considerado como de riesgo los derechos y libertades de las personas físicas.
De acuerdo con el principio de gestión de riesgos desde el diseño y por defecto, así
como el principio de responsabilidad proactiva, el RGPD hace hincapié en que el
responsable debe evaluar seriamente los riesgos del tratamiento que quiera establecer
en los derechos y libertades de los interesados (siempre previamente a iniciar
cualquier tratamiento, y de forma continua si decide hacerlo), optando por un enfoque
de análisis de riesgos desde el diseño y por defecto, para poder identificarlos,
determinar la probabilidad de materialización y su impacto y prever medidas y
garantías que eliminen o, cuando menos, mitiguen los riesgos detectados, evitando su
materialización. Análisis que el responsable debe documentar, e incluir en una
preceptiva EIPD en el caso de que sea probable que el tratamiento entrañe un “alto
riesgo” de acuerdo con lo previsto en el artículo 35 del RGPD.
La decisión de optar por un tratamiento basado en métodos biométricos como la huella
dactilar no es baladí. Este tratamiento puede ser realmente intrusivo y requiere un
análisis y EIPD antes de decidir su implantación, toda vez que recoger la huella dactilar
puede tener efectos adversos en los derechos fundamentales y la libertad e integridad
de los empleados que no se producirían con otros métodos de control de jornada.
La EIPD aparece como la herramienta exigida por el RGPD para garantizar que se
cumple con esta vertiente cuando el tratamiento se considerado de “alto riesgo”, según
lo establecido en el artículo 35 en su apartado 1 del RGPD:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

53 / 58
“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo
para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las
operaciones de tratamiento en la protección de datos personales…”.
Esta EIPD se hará con carácter previo al inicio del tratamiento, si bien debe
entenderse como una evaluación continua o periódica, en el sentido establecido por el
artículo 35.11 del RGPD y debe cumplir, además, con los requisitos o contenido
mínimo relacionado en el artículo 35.7 del RGPD, anteriormente transcritos.
En definitiva, la superación de una EIPD exige que el responsable de un tratamiento
de alto riesgo documente por escrito que supera la evaluación de idoneidad,
necesidad y proporcionalidad del tratamiento, y que gestione desde el diseño los
riesgos específicos del tratamiento, con la aplicación práctica de medidas orientadas a
los mismos de forma que se garantice un umbral de riesgo aceptable durante todo el
ciclo de vida del tratamiento, tal como se establece en el artículo 35 del RGPD.
En relación con el triple juicio de proporcionalidad, se ha de analizar su idoneidad para
la finalidad pretendida, valorar si existen varias medidas igualmente adecuadas y
optar, en ese caso, por la menos gravosa y, finalmente, analizar si los perjuicios
causados por la medida son desproporcionados respecto del objetivo perseguido. Así,
un sistema sería idóneo si sirve para alcanzar el fin determinado.
Por otra parte, el sistema es necesario necesaria en ausencia de otras alternativas
más moderadas. En este sentido, la reciente Sentencia del Tribunal de Justicia (Gran
Sala) de 21 de marzo de 2024, asunto C 61/22, RL y Landeshauptstadt Wiesbaden , si
las medidas “ se limitan a lo estrictamente necesario, en el sentido de que tales
objetivos no podrían alcanzarse razonablemente de manera igualmente eficaz ”. Por
tanto, cuando existen varias medidas eficaces, el responsable puede optar por la más
eficaz, siempre que se respete la proporcionalidad y se min imicen las injerencias en
los derechos fundamentales.
En cualquier caso, cabe señalar que, en el ámbito técnico, existen desarrollos
recientes en tecnologías biométricas que permiten reducir significativamente el
impacto sobre los derechos de los interesados, especialmente cuando se aplican
condiciones como la generación local de identificadores, la no interoperabilidad, la
ausencia de almacenamiento centralizado, la imposibilidad de reversión y el control
exclusivo por parte del propio interesado. Estas características, recogidas en el
sistema analizado, reflejan una evolución hacia esquemas de autenticación biométrica
más seguros y menos intrusivos, que pueden considerarse buenas prácticas en el
diseño de sistemas de control de accesos con menor impacto.
Por último, en cuanto a la proporcionalidad en sentido estricto, supone valorar si los
perjuicios causados por la medida son desproporcionados respecto al objetivo
perseguido, lo que requiere un análisis de los derechos y libertades de los interesados
afectados.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

54 / 58
La UNIVERSIDAD ha presentado un informe técnico en el que se describe el
tratamiento y se valora el riesgo asociado al mismo. En dicho informe puede leerse lo
siguiente:
“5.7.1 Procesamiento biométrico de bajo impacto
El procesamiento biométrico que se realiza es de autenticación/verificación y
no de identificación. Esto quiere decir que se realizan comparaciones de 1 a 1
y no de 1 a varios .
Esta diferenciación es muy importante ya que como el propio RGPD prevé en
su artículo 9.1, no todos los tratamientos biométricos corresponden a una
categoría especial de datos. Este aspecto también queda recogido en el
Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo
de Trabajo del Artículo 29 o en el Libro blanco sobre la inteligencia artificial de
la Comisión Europea.
Por todo ello, resulta bajo el impacto en la protección de datos de los
tratamientos que realiza ***EMPRESA.1”.
Esta valoración del riesgo asociado a un tratamiento de datos biométricos en, sin
embargo, cuestionable. Como se ha indicado anteriormente, hay diferentes formas de
articular un procesamiento de datos biométricos, pudiendo diferenciar entre procesos
de autenticación/verificación (1:1) y procesos de identificación (1:N). Los segundos
suponen un mayor riesgo para los derechos de los afectados. Sin embargo, eso no
implica, como se indica en el informe presentado por la UNIVERSIDAD, que utilizar
procedimientos 1:1 pueda ser calificado como de bajo impacto. Es el propio
procesamiento de datos biométricos lo que hace que el riesgo del procedimiento sea
elevado.
Por otro lado, la UNIVERSIDAD ha presentado un documento de análisis de riesgos y
de evaluación de impacto. Sin embargo, dicho documento presentaría algunos
aspectos que podrían no ser conformes con lo establecido en el artículo 35 del RGPD
antes transcrito.
En primer lugar, el documento no está firmado por el responsable del tratamiento (la
UNIVERSIDAD) y la fecha del documento (08/05/2024) es posterior al inicio del
tratamiento cuando, de acuerdo con el artículo 35 del RGPD, la realización de la
evaluación debe ser anterior.
En segundo lugar, el documento contiene afirmaciones contradictorias. Así, en el punto
4 del análisis se indica califica de alto el riesgo asociado al tratamiento:
“ 4.1.2 RESULTADO DEL ANÁLISIS
El resultado del análisis de la necesidad realizado mediante el cuestionario de
evaluación objetiva, es el siguiente.
4.1.2.1 ¿En base a las respuestas realizadas en el cuestionario de evaluación
objetiva, debe calificarse la
presente actividad de tratamiento como de "RIESGO ALTO" para los derechos
y libertades de las personas?: SI”.
Sin embargo, el apartado “ 6. Conclusiones ” de la evaluación no menciona este hecho
y señala (en línea con el informe mencionado anteriormente) que el hecho, ya
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

55 / 58
comentado anteriormente, de que se realicen comparaciones 1:1 reduce su impacto
desde el punto de vista de la privacidad, por lo que afirma que los riesgos son bajos.
Se afirma, como se ha dicho, que el riesgo del tratamiento de datos biométricos es
bajo porque no se almacenan datos biométricos. Sin embargo, la guía para
estudiantes aportada por el reclamante sí se menciona que las imágenes se
almacenarán en los servidores de ***EMPRESA.1, si bien no se utilizarán para otro
propósito diferente al de la autenticación y verificación de identidad.
Asimismo, en la tabla resumen del análisis de riesgos presentado por la
UNIVERSIDAD, consta que se tratan “categorías especiales de datos o que permitan
inferirlos” con un nivel de riesgo “muy alto”, un nivel de riesgo inherente de “90”, sin
que se justifique por qué ese nivel de riesgo inherente pase a ser calificado de residual
(más allá de la ya mencionada referencia al procesamiento 1:1).
Por último, en la evaluación de impacto no se menciona y valora si existen y son
conocidas por el responsable soluciones para la misma finalidad (comprobación de la
identidad de los interesados) que sean equivalentes en su eficacia para conseguir
dicha finalidad y menos intrusivas para los derechos de los interesados. En este
sentido, el propio hecho de que el responsable haya ofrecido finalmente a los alumnos
una alternativa (como es la comprobación de la identidad por personal de la
UNIVERSIDAD), pone de manifiesto que esas alternativas existirían y no se habrían
tenido en cuenta en el juicio de proporcionalidad.
Por tanto, de conformidad con los hechos probados, se considera que se ha cometido
una infracción, imputable a la UNIVERSIDAD, por vulneración del artículo transcrito
anteriormente.
VII
Tipificación de la infracción del artículo 35 del RGPD y calificación a efectos de
prescripción
El artículo 83.4 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de
una cuantía equivalente al 2 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43;
b) las obligaciones de los organismos de certificación a tenor de los artículos
42 y 43;
c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado
4."
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los
apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las
que resulten contrarias a la presente ley orgánica”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

56 / 58
A los solos efectos del plazo de prescripción, el artículo 73 de la LOPDGDD establece
lo siguiente:
"En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679
se consideran graves y prescribirán a los dos años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y,
en particular, las siguientes:
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del
impacto de las operaciones de tratamiento en la protección de datos
personales en los supuestos en que la misma sea exigible."
VIII
Sanción por la infracción del artículo 35 del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD y en el artículo 76 de la LOPDGDD,
transcritos en el fundamento V.
En el presente caso, considerando la gravedad de la posible infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
corresponde la imposición de multa.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
estos principios, se considera, con carácter previo, el volumen de negocio de
UNIVERSIDAD de 69.027.530 euros en el año 2024.
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con las evidencias de que se dispone en este procedimiento sancionador,
se considera que procede graduar la sanción a imponer de acuerdo con las
circunstancias siguientes, contempladas en los preceptos antes citados:
• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido (artículo 83.2.a) del RGPD): La obligación impuesta por el artículo
35 del RGPD es la realización por el responsable, antes del tratamiento, de una
EIPD. En el presente caso, como se ha analizado anteriormente la
UNIVERSIDAD habría puesto en marcha dicho tratamiento prescindiendo por
completo de dicha EIPD, dado que presenta un documento sin firma del
responsable y de una fecha posterior a la puesta en marcha que, además,
presenta las deficiencias analizadas anteriormente.
• Las categorías de los datos de carácter personal afectados por la
infracción (artículo 83.2.g) del RGPD). En el presente caso se trata de datos
biométricos, que son datos de categoría especial, de acuerdo con el artículo 9 del
RGPD y cuyo tratamiento puede entrañar un riesgo elevado, como se ha
expuesto en el fundamento de derecho de cuestiones previas.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

57 / 58
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida al vulnerar lo establecido en el artículo 35 del RGPD,
permite fijar una sanción de multa administrativa de 150.000,00 euros.
IX
Pago voluntario y terminación del procedimiento
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo LPACAP), bajo la rúbrica
“Terminación en los procedimientos sancionadores” dispone lo siguiente:
“1. Iniciado un procedimiento sancionador, si el infractor reconoce su
responsabilidad, se podrá resolver el procedimiento con la imposición de la
sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa
imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha
justificado la improcedencia de la segunda, el pago voluntario por el presunto
responsable, en cualquier momento anterior a la resolución, implicará la
terminación del procedimiento, salvo en lo relativo a la reposición de la
situación alterada o a la determinación de la indemnización por los daños y
perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,
el órgano competente para resolver el procedimiento aplicará reducciones de,
al menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos
acumulables entre sí. Las citadas reducciones, deberán estar determinadas en
la notificación de iniciación del procedimiento y su efectividad estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción. El porcentaje de reducción previsto en este
apartado podrá ser incrementado reglamentariamente.”
De conformidad con lo dispuesto en el citado artículo 85 de la LPACAP, tras el inicio
del presente procedimiento sancionador, la UNIVERSIDAD ha realizado el pago
voluntario de 160.000 euros, correspondientes a la sanción fijada en el acuerdo de
inicio (200.000 euros) con una reducción de un 20% de su importe. Asimismo, ha
manifestado su renuncia a cualquier acción o recurso en vía administrativa contra la
sanción. Dicho pago implica la terminación del procedimiento, de conformidad con el
apartado 3 del artículo 85 LPACAP.
Debe tenerse en cuenta que, de acuerdo con los preceptos de la LPACAP, así como
de la jurisprudencia del Tribunal Supremo en esta materia, el ejercicio del pago
voluntario por el presunto responsable no exime a la administración de la obligación de
resolver y notificar todos los procedimientos, cualquiera que sea su forma de
iniciación. De igual forma, el artículo 88 de la citada norma establece que la resolución
que ponga fin al procedimiento decidirá todas las cuestiones planteadas por los
interesados y aquellas otras derivadas del mismo.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de
la Agencia Española de Protección de Datos RESUELVE :
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es

58 / 58
PRIMERO : DECLARAR la comisión por la UNIVERSIDAD EUROPEA DE VALENCIA,
S.L., con NIF B97934467 , de una infracción del artículo 9 y una infracción del artículo
35 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD, respectivamente.
SEGUNDO : DECLARAR la terminación del procedimiento, de conformidad con lo
establecido en el artículo 85 de la LPACAP, por haber procedido la UNIVERSIDAD
EUROPEA DE VALENCIA, S.L. al pago voluntario de la sanción.
TERCERO : NOTIFICAR la presente resolución a la UNIVERSIDAD EUROPEA DE
VALENCIA, S.L.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública. La publicación se realizará una vez haya sido notificada a
los interesados .
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el artículo 114.1.c) de la LPACAP, el interesado podrá interponer recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente
a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3.a) de la LPACAP , se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-101025
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeaepd.gob.es


Link: https://www.aepd.es/documento/ps-00447-2025.pdf

Testo del 2026-04-12 Fonte: aepd.es




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


  Newsletter
Ricevi gli aggiornamenti su Aepd on students at exams and video e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza
Caffe20.it - dal 2008 il podcast più longevo in Italia