· Jonathan Izquierdo · Ciberseguridad ·
AEPD multa con 650.000 euros a la VIU por reconocimiento facial en exámenes
La AEPD sanciona a la Universidad Internacional de Valencia con 650.000 euros por obligar a sus alumnos a usar reconocimiento facial con IA en exámenes online. Sin alternativa, sin consentimiento válido.
650.000 euros de multa por obligar a miles de estudiantes a escanearse la cara para poder hacer un examen. La Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la Universitat Internacional Valenciana (VIU) por imponer un sistema de reconocimiento facial con inteligencia artificial en sus exámenes online, sin ofrecer ninguna alternativa real a los alumnos. El software —pseudonimizado como “APP1” en la resolución, pero identificado públicamente como SMOWL— capturaba y analizaba imágenes biométricas en tiempo real mediante doble cámara, reconocimiento facial por IA y monitorización del escritorio.
El caso no es un incidente aislado. Es la señal definitiva de que la AEPD ha trazado una línea roja sobre el uso de datos biométricos en educación. Después de la multa récord de 10 millones a Aena por reconocimiento facial en aeropuertos, la sanción a la VIU confirma que ningún sector —ni el educativo— está exento de cumplir el RGPD cuando se procesan categorías especiales de datos.
Como perito informático forense, este caso me interesa especialmente porque ilustra un problema que veo con frecuencia en las investigaciones periciales: organizaciones que implementan tecnología de vigilancia biométrica sin realizar una evaluación de impacto adecuada, sin base legal suficiente y sin considerar alternativas menos invasivas. El resultado no es solo una multa millonaria, sino un daño reputacional y legal que podría haberse evitado con una auditoría técnico-legal previa.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Multa total: 650.000 euros a la VIU (300.000 por Art. 9 RGPD + 350.000 por Art. 5.1.c RGPD)
- Motivo: reconocimiento facial obligatorio con IA en exámenes online, sin alternativa para los estudiantes
- Software: SMOWL (doble cámara + reconocimiento facial + monitorización de escritorio)
- Consentimiento inválido: los alumnos que rechazaban el escaneo facial perdían el derecho a examinarse
- Precedentes: Aena multada con 10 millones (aeropuertos), UOC con 20.000 euros (caso similar)
- Universidades en riesgo: UNIR, Universidad Europea, Isabel I, Burgos, La Rioja
- Qué hacer: auditoría de impacto en protección de datos antes de implementar cualquier sistema biométrico
Qué ha pasado exactamente: la resolución de la AEPD contra la VIU
El 24 de marzo de 2023, una fundación presentó una reclamación ante la AEPD denunciando que la Universitat Internacional Valenciana obligaba a sus estudiantes a someterse a un sistema de reconocimiento facial con inteligencia artificial como condición imprescindible para realizar exámenes online. La investigación de la AEPD confirmó que la universidad llevaba utilizando el sistema al menos desde 2022, afectando a miles de alumnos matriculados en programas de educación a distancia (Infobae, 8 Feb 2026).
Cómo funcionaba el sistema de vigilancia
El software SMOWL —identificado como “APP1” en la resolución sancionadora y contratado a través de una empresa denominada “EMPRESA2”— desplegaba un sistema de vigilancia con tres capas simultáneas (Xataka, 2026):
| Capa de vigilancia | Función | Datos capturados |
|---|---|---|
| Cámara frontal | Reconocimiento facial con IA | Patrones biométricos faciales del estudiante, verificación 1:1 continua |
| Segunda cámara | Vigilancia del entorno (360 grados) | Imágenes del espacio físico, detección de personas u objetos no autorizados |
| Monitorización de escritorio | Control de actividad digital | Capturas de pantalla, programas activos, pestañas del navegador |
El sistema exigía que cada estudiante proporcionara una segunda cámara —típicamente un teléfono móvil— para grabar su entorno durante todo el examen. La IA comparaba continuamente las imágenes capturadas con los patrones biométricos faciales registrados para verificar que era el mismo estudiante quien realizaba la prueba.
Desglose de la multa: 650.000 euros en dos infracciones
La AEPD impuso dos sanciones separadas que suman los 650.000 euros (Valencia Noticias, 2026):
| Infracción | Artículo RGPD | Sanción | Motivo |
|---|---|---|---|
| Tratamiento ilícito de datos biométricos | Art. 9 RGPD | 300.000 euros | Procesamiento de categoría especial de datos sin base legal válida |
| Violación del principio de minimización | Art. 5.1.c RGPD | 350.000 euros | Sistema desproporcionado e innecesario para el fin perseguido |
| Total | 650.000 euros |
Por qué el consentimiento de los estudiantes no era válido
La VIU argumentó que los estudiantes habían dado su consentimiento explícito al aceptar las condiciones de matrícula y al instalar el software de vigilancia. La AEPD desmontó este argumento por completo.
El problema de la asimetría de poder
La relación entre una universidad y sus estudiantes es intrínsecamente desigual. El alumno depende de la institución para completar su formación, obtener su título y avanzar en su carrera profesional. En este contexto, la AEPD determinó que el consentimiento no podía considerarse libre porque (AEPD, resolución):
- No existía alternativa real: el reconocimiento facial era el único método permitido para los exámenes online
- Rechazar equivalía a perder la educación: el estudiante que no aceptaba el escaneo facial quedaba excluido de la evaluación y, por extensión, de la universidad
- Repetir una elección no libre no la hace libre: la VIU argumentó que el consentimiento se obtenía en varias etapas (matrícula, política de privacidad, instalación del software), pero la AEPD respondió que un consentimiento viciado no se valida por repetición
Cita clave de la AEPD
La Agencia fue contundente en su resolución: “En ningún caso es admisible que, como consecuencia de negar el consentimiento, se deniegue la posibilidad de matricularse o ser evaluado.” El consentimiento solo es válido cuando existe una alternativa genuina y efectiva.
Por qué la LOU no justifica el tratamiento biométrico
La VIU intentó otra vía legal: invocar el artículo 46.3 de la Ley Orgánica de Universidades (LOU), que establece la obligación de verificar los conocimientos del alumno. La AEPD rechazó este argumento por varias razones (PymeLegal, 2026):
- Norma demasiado genérica: el art. 46.3 LOU habla de “verificar conocimientos”, no autoriza expresamente el uso de biometría
- Sin salvaguardas específicas: no establece las condiciones, casos y garantías que el RGPD exige para tratar datos de categoría especial
- Se necesita una ley habilitante específica: la AEPD señaló que sería necesaria una norma que “establezca las condiciones, los supuestos y las garantías bajo las cuales pueda realizarse este tratamiento biométrico”
- La innovación no prevalece sobre los derechos fundamentales: el hecho de que la tecnología exista y sea eficaz no justifica su uso cuando vulnera derechos fundamentales
La destrucción inmediata de los datos no exime de responsabilidad
Un argumento adicional de la VIU fue que los datos biométricos se destruían automáticamente tras la comparación, por lo que no se almacenaban de forma permanente. La AEPD descartó también esta defensa: bajo el artículo 9 del RGPD, tanto la identificación como la verificación biométrica continua constituyen tratamiento de datos de categoría especial, independientemente de si las plantillas se conservan o se destruyen al instante.
El contexto: precedentes y otras universidades en riesgo
La sanción a la VIU no ocurre en el vacío. Se inscribe en una tendencia clara de la AEPD contra el uso desproporcionado de tecnología biométrica.
Comparativa con otros casos
| Entidad | Multa | Año | Tecnología | Diferencia clave |
|---|---|---|---|---|
| Aena | 10.043.002 euros | Nov 2025 | Reconocimiento facial embarques aeropuertos | Voluntario pero desproporcionado, almacenamiento centralizado hasta 2 años |
| VIU | 650.000 euros | Feb 2026 | Reconocimiento facial exámenes online | Obligatorio, sin alternativa, asimetría de poder universidad-estudiante |
| Mercadona | 2.500.000 euros | 2021 | Verificación facial en supermercados | Vigilancia masiva de clientes sin consentimiento informado |
| UOC | 20.000 euros | 2022 | Sistema similar de proctoring facial | Primer precedente en educación. La multa a la VIU es 32 veces mayor |
La multa a la VIU es especialmente significativa porque confirma que la AEPD ha endurecido su postura respecto al precedente de la UOC. La sanción ha pasado de 20.000 a 650.000 euros: un factor multiplicador de 32 que envía un mensaje inequívoco (Xataka, 2026).
Universidades que podrían ser las siguientes
Según la cobertura mediática y los datos del sector, otras universidades españolas utilizan o han utilizado sistemas de proctoring con componentes biométricos similares (Xataka, 2026):
- UNIR (Universidad Internacional de La Rioja)
- Universidad Europea
- Universidad Isabel I
- Universidad de Burgos
- Universidad de La Rioja
Aviso a universidades con proctoring biométrico
Si tu universidad o centro educativo utiliza un sistema de vigilancia con reconocimiento facial, verificación biométrica o monitorización con IA sin una ley habilitante específica y sin ofrecer alternativas reales a los estudiantes, estás expuesto a sanciones de hasta 20 millones de euros o el 4% de la facturación anual (la cifra mayor) bajo el RGPD. La resolución de la VIU es el precedente que la AEPD utilizará en futuros expedientes.
Qué alternativas existen al reconocimiento facial en exámenes
La propia AEPD señaló en su resolución que existen alternativas menos invasivas que las universidades españolas y europeas ya utilizan con éxito:
| Alternativa | Nivel de intrusión | Eficacia contra fraude | Requiere datos biométricos |
|---|---|---|---|
| Identificación visual por webcam (supervisor humano) | Bajo | Media-alta | No |
| Exámenes orales en vivo | Bajo | Alta | No |
| Controles aleatorios durante el examen | Bajo | Media | No |
| Software anti-plagio (Turnitin, etc.) | Mínimo | Alta para copia | No |
| Bloqueo de navegador (sin biometría) | Bajo | Media | No |
| Actividades prácticas continuas | Mínimo | Alta | No |
| Fórmulas híbridas (presencial + online) | Variable | Alta | No |
| Reconocimiento facial con IA (sistema VIU) | Muy alto | Alta | Sí |
La conclusión es clara: el reconocimiento facial puede ser efectivo contra el fraude académico, pero no es necesario ni proporcionado cuando existen múltiples alternativas que logran el mismo objetivo sin procesar datos de categoría especial. El principio de minimización del artículo 5.1.c RGPD exige utilizar siempre el medio menos invasivo que resulte eficaz.
Implicaciones para empresas y organizaciones: más allá de la educación
Aunque la resolución se dirige a una universidad, sus implicaciones legales afectan a cualquier organización que trate o planee tratar datos biométricos. La AEPD ha establecido criterios que se aplicarán transversalmente:
Lecciones para empresas que usan o planean usar biometría
Sectores especialmente expuestos
| Sector | Ejemplo de uso biométrico | Riesgo |
|---|---|---|
| Educación | Proctoring con reconocimiento facial | Alto (resolución VIU aplica directamente) |
| Retail | Verificación facial de clientes (precedente Mercadona) | Alto |
| Transporte | Embarque biométrico (precedente Aena) | Alto |
| Laboral | Control de fichaje por huella o reconocimiento facial | Alto (asimetría empleador-trabajador) |
| Sanidad | Identificación biométrica de pacientes | Medio (posible base legal en interés vital) |
| Banca | Autenticación biométrica en apps | Medio-bajo (consentimiento más libre) |
Lo que un perito informático aporta en casos de biometría y RGPD
La resolución contra la VIU demuestra que el cumplimiento del RGPD en materia de datos biométricos no es solo una cuestión jurídica: tiene un componente técnico fundamental que requiere análisis pericial especializado.
Auditoría técnica de sistemas biométricos
Un perito informático forense puede evaluar:
- Proporcionalidad técnica: ¿el sistema captura más datos de los estrictamente necesarios? ¿Existen configuraciones menos invasivas del mismo software?
- Destrucción efectiva de datos: ¿los datos biométricos se eliminan realmente tras la comparación, o quedan residuos en logs, bases de datos temporales o copias de seguridad?
- Seguridad del tratamiento: ¿el cifrado aplicado es adecuado? ¿Los datos biométricos viajan protegidos? ¿Quién tiene acceso a las plantillas?
- Trazabilidad: ¿existe un registro completo de todos los tratamientos realizados con los datos biométricos, como exige el artículo 30 del RGPD?
- Evaluación de alternativas técnicas: informe comparativo documentado de las opciones disponibles que logran el mismo fin sin procesar datos de categoría especial
Informe pericial para defensa o reclamación
En procedimientos administrativos ante la AEPD o en vía judicial, un informe pericial informático puede:
- Documentar el funcionamiento real del sistema: análisis forense del software, flujos de datos, puntos de captura y almacenamiento
- Acreditar el cumplimiento (o incumplimiento): evidencia técnica de que las medidas implementadas son suficientes (o no) bajo el RGPD
- Cuantificar el alcance de la exposición: número de sujetos afectados, volumen de datos tratados, período de exposición
- Proponer medidas correctoras: soluciones técnicas concretas y documentadas para adecuar el sistema a la normativa
¿Tu organización trata datos biométricos?
Auditoría técnico-legal de sistemas biométricos: evaluación de impacto, proporcionalidad, alternativas y cumplimiento RGPD. Informe pericial válido ante la AEPD y en procedimientos judiciales. Primera consulta gratuita.
Más informaciónEl Reglamento Europeo de IA: lo que viene
La resolución de la VIU se produce en un momento clave: el Reglamento Europeo de Inteligencia Artificial (AI Act) ya está en vigor y clasifica los sistemas de identificación biométrica remota como de alto riesgo, lo que impone requisitos adicionales de conformidad, supervisión humana y transparencia.
Para las organizaciones que utilicen IA con datos biométricos, esto significa una doble capa de cumplimiento:
- RGPD: base legal, consentimiento válido, evaluación de impacto, minimización
- AI Act: registro de sistemas de alto riesgo, supervisión humana, evaluación de conformidad, transparencia hacia los usuarios
La AEPD ya ha señalado que el Reglamento de IA no constituye por sí solo una base legal para el tratamiento de datos biométricos. Es decir, cumplir con el AI Act no exime de cumplir con el RGPD. Son normativas complementarias, no sustitutivas.
Referencias y fuentes
AEPD (2026). “La AEPD sanciona el tratamiento de datos biométricos con IA en la evaluación universitaria online, aunque apunta posibilidades normativas”. https://www.aepd.es/informes-y-resoluciones/criterios-juridicos-aepd/aepd-sanciona-tratamiento-datos-biometricos-ia
Infobae (2026). “La Universidad Internacional de Valencia, multada con 650.000 euros por obligar a sus alumnos a identificarse con reconocimiento facial en los exámenes”. 8 Feb 2026. https://www.infobae.com/espana/2026/02/08/la-universidad-internacional-de-valencia-multada-con-650000-euros-por-obligar-a-sus-alumnos-a-identificarse-con-reconocimiento-facial-en-los-examenes-online/
Xataka (2026). “Las universidades vieron en el reconocimiento facial la solución perfecta anti-copiones. La AEPD les ha parado los pies”. https://www.xataka.com/legislacion-y-derechos/universidades-espanolas-controlaban-examenes-online-reconocimiento-facial-aepd-ha-decidido-que-basta
Xataka (2026). “Usar reconocimiento facial para cazar copiones parecía buena idea. Esta universidad valenciana acaba de descubrir que no lo era”. https://www.xataka.com/legislacion-y-derechos/usar-reconocimiento-facial-para-cazar-copiones-parecia-buena-idea-esta-universidad-valenciana-acaba-descubrir-que-no-era
Valencia Noticias (2026). “Multa de 650.000 euros a la VIU por obligar a los alumnos a identificarse con reconocimiento facial en los exámenes”. https://valencianoticias.com/multa-de-650-000-euros-a-la-viu-por-obligar-a-los-alumnos-a-identificarse-con-reconocimiento-facial-en-los-examenes/
Valencia Plaza (2026). “Sancionada la Universidad Internacional Valenciana por usar datos biométricos de alumnos”. https://valenciaplaza.com/valenciaplaza/educacion/sancionada-la-universidad-internacional-valenciana-por-usar-datos-biometricos-de-alumnos
PymeLegal (2026). “La AEPD sanciona el uso de datos biométricos con IA en exámenes educativos: qué implica esta resolución”. https://www.pymelegal.es/noticias/aepd/la-aepd-sanciona-el-uso-de-datos-biometricos-con-ia-en-examenes-educativos-que-implica-esta-resolucion-y-que-debemos-tener-en-cuenta
Magisnet (2026). “Sancionada la Universidad Internacional de Valencia (VIU) por usar datos biométricos de alumnos”. https://www.magisnet.com/2026/02/proteccion-de-datos-sanciona-con-750-000-e-a-una-universidad-por-su-uso-de-datos-biometricos-en-examenes-remotos/
LEGITEC (2026). “IA y reconocimiento facial en exámenes online: hasta dónde pueden llegar con tus datos”. https://legitec.com/ia-y-reconocimiento-facial-en-examenes-online-hasta-donde-pueden-llegar-con-tus-datos/
CEEI Valencia / EmprenemJunts (2026). “La AEPD sanciona el tratamiento de datos biométricos con IA en la VIU”. https://ceeivalencia.emprenemjunts.es/?op=113&n=18314
Noticias Ciudadanas (2026). “Multa histórica a la Universidad Internacional de Valencia por el uso de reconocimiento facial en exámenes”. https://noticiasciudadanas.com/multa-historica-viu-reconocimiento-facial/
forLOPD (2026). “La AEPD sanciona el tratamiento de datos con IA en la VIU”. https://forlopd.es/la-aepd-sanciona-el-tratamiento-de-datos-biometricos-con-ia-en-la-viu/
Preguntas relacionadas
¿Es legal usar reconocimiento facial en exámenes online en España?
Actualmente no existe una ley española que autorice expresamente el uso de reconocimiento facial con datos biométricos en exámenes universitarios a distancia. La AEPD ha dictaminado que el art. 46.3 de la LOU es demasiado genérico y carece de las salvaguardas que exige el RGPD para tratar categorías especiales de datos. Para que sea legal, se necesitaría una norma habilitante específica que defina condiciones, supuestos y garantías concretas. Hasta entonces, cualquier universidad que lo use se expone a sanciones de hasta 20 millones de euros bajo el RGPD.
¿Qué diferencia hay entre la multa a la VIU y la multa a Aena?
Ambas sanciones abordan el uso desproporcionado de reconocimiento facial, pero con diferencias clave. La multa a Aena (10.043.002 euros) fue por un sistema voluntario en aeropuertos que almacenaba datos biométricos centralizados hasta 2 años y cuya evaluación de impacto era deficiente. La multa a la VIU (650.000 euros) fue por un sistema obligatorio en el que los estudiantes no tenían ninguna alternativa: o se escaneaban la cara o no podían examinarse. En ambos casos, la AEPD consideró que existían alternativas menos invasivas que no fueron consideradas.
¿Cómo puede un perito informático ayudar en un caso de datos biométricos?
Un perito informático forense puede realizar una auditoría técnica del sistema biométrico: evaluar si captura más datos de los necesarios, verificar que la destrucción de datos sea efectiva (sin residuos en logs o backups), analizar la seguridad del cifrado y las comunicaciones, y documentar alternativas técnicas menos invasivas. El informe pericial es válido tanto ante la AEPD en procedimientos sancionadores como en vía judicial, y puede demostrar diligencia debida o, en caso de reclamación, acreditar el incumplimiento técnico del responsable del tratamiento. Solicitar auditoría.
¿Qué deben hacer las universidades que usan proctoring con reconocimiento facial?
Las universidades deben, con carácter inmediato: (1) suspender el uso de reconocimiento facial y verificación biométrica hasta contar con base legal suficiente; (2) implementar alternativas validadas por la AEPD como identificación visual por webcam, exámenes orales o controles aleatorios; (3) realizar una Evaluación de Impacto en Protección de Datos (EIPD) si no la han hecho; y (4) consultar con un DPO cualificado y, si es necesario, con un perito informático que audite técnicamente el sistema. La resolución de la VIU es el precedente que la AEPD aplicará en próximos expedientes.
¿Qué es SMOWL y por qué es relevante en este caso?
SMOWL es un software de proctoring (supervisión remota de exámenes) desarrollado por la empresa Smowltech que utiliza reconocimiento facial con inteligencia artificial, doble cámara y monitorización de escritorio para verificar la identidad del estudiante durante exámenes online. La AEPD pseudonimizó el software como “APP1” en la resolución contra la VIU, pero múltiples medios lo han identificado. La relevancia del caso es que la AEPD ha determinado que este tipo de sistemas constituyen un tratamiento de datos biométricos de categoría especial bajo el artículo 9 del RGPD, independientemente de que las plantillas faciales se destruyan inmediatamente después de la comparación.
¿Cuánto puede costar una multa de la AEPD por uso indebido de datos biométricos?
Las sanciones por infracción del artículo 9 del RGPD (categorías especiales de datos) pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. En la práctica española, los precedentes van desde 20.000 euros (UOC, 2022) hasta 10.043.002 euros (Aena, 2025), pasando por 650.000 euros (VIU, 2026) y 2.500.000 euros (Mercadona, 2021). El importe depende de la gravedad, el número de afectados, la intencionalidad y las medidas de mitigación aplicadas. Una auditoría preventiva con informe pericial cuesta una fracción de cualquiera de estas sanciones.
Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis forense digital, investigación de ciberincidentes y auditoría de sistemas. Ex-CTO y 5x AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales.
Última actualización: 15 de febrero de 2026.
