Proctoring o supervisión en los exámenes online

Desde la declaración, por el Real Decreto 463/2020, de 14 de marzo, del estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, ha aumentado exponencialmente la migración de todas las actividades docentes a entornos online, y en consecuencia la realización de pruebas de evaluación por este mismo medio. Ello ha provocado que surjan innovaciones tecnológicas como cámaras o softwares de reconocimiento facial utilizados tanto para controlar la identidad del alumno como la realización del examen, conocidos con el término de “proctoring” (supervisión). Esta tecnología, tiene la principal ventaja para la universidad o centro educativo de poder controlar la realización de los exámenes de forma remota por los profesores, siendo ello una importante garantía en los exámenes online. No obstante, no todo son ventajas, puesto que implican una mayor intrusión en los derechos de los usuarios, tratándose datos biométricos de los mismos, calificados en el artículo 9 del RPGD como categorías especiales de datos. Por tanto ¿Es lícito utilizar estas medidas  en la realización de un examen online con el objeto de  evitar el fraude?

La AEPD se ha pronunciado recientemente en su resolución 36/2020, a causa de la consulta formulada por un grupo de estudiantes contra la Universidad Internacional de la Rioja (UNIR), ya que se encontraba usando un software mediante una prueba piloto con el consentimiento del alumnado, permitiendo durante la realización de los exámenes identificar al usuario, comprobar que no se ha levantado de su sitio, así como identificar patrones faciales para comprobar comportamientos anómalos, tratando por tanto los datos biométricos del alumnado. En este caso, la AEPD ha priorizado el derecho fundamental a la privacidad y protección de datos personales, frente al interés legítimo y público perseguido por la universidad para verificar objetivamente los conocimientos adquiridos por los estudiantes. La AEPD entiende que “no resulta justificado”, pues si bien cumple con el juicio de idoneidad, no queda acreditado el juicio de necesidad y proporcionalidad, al existir otro tipo de alternativas de evaluación online, que se venían utilizando anteriormente por la Universidad y que son mucho menos intrusivas para los alumnos.

En su resolución, la AEPD declara que esa situación no puede servir de excusa para dejar de respetar los derechos de protección de datos de los ciudadanos, sin que exista un análisis riguroso de los riesgos en los que se puede incurrir. Por ello, el interés público de la educación superior debe respetar igualmente el RGPD, puesto que no legitima cualquier tipo de tratamiento de datos personales, sino que deberá estarse, en primer lugar, a las condiciones que haya podido establecer el legislador, así como a los principios de limitación de la finalidad y minimización de datos.

En cuanto la legitimidad del consentimiento, la AEPD ha establecido que es posible la aplicación de estas técnicas, si se trata de un consentimiento libre de los alumnos, ello requiere que a los mismos se les ofrezca la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento. Lo que no sería admisible, en ningún caso, es que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno. Por tanto el consentimiento deberá ser expreso, específico, informado y revocable.

En similares circunstancias, un grupo de alumnos de la Universidad Oberta de Catalunya (UOC), ha denunciado ante la Autoridad Catalana de Protección de Datos la utilización de un Sistema de Reconocimiento Facial para la realización de exámenes. El objeto de la denuncia versa sobre el no cumplimiento de ninguno de los requisitos establecidos por la AEPD para que la UOC pueda poner en marcha un Sistema de Reconocimiento Facial para controlar la realización de pruebas online.

En este supuesto, la UOC establece como base de legitimación la ejecución de un contrato entre el interesado y el responsable y el cumplimiento de una misión realizada en interés público. Ambas bases de legitimación no son correctas, y por lo tanto no pueden eludir la prohibición del artículo 9 del RGPD relativo al tratamiento de datos biométricos. La denuncia destaca también que la Universidad Oberta de Cataluña no ha facilitado opción alguna para poder realizar las pruebas online con medios menos intrusivos, por lo que, si el cliente o alumno no se registra en el Sistema de Reconocimiento Facial, no podrá realizar los exámenes y suspenderá.

Por su parte, la Universidad Nacional de Educación a Distancia (UNED) descartó emplear este sistema por razones jurídicas y técnicas, al considerar que afecta al derecho a la privacidad, la vulnerabilidad del principio de igualdad y el de necesidad y proporcionalidad. Considera que se pueden establecer otras medidas de control más proporcionadas a la realidad que se ha de inspeccionar y, sobre todo, menos invasivas de la privacidad. Por esta razón, la UNED implantó otras medidas garantes de la identificación, como una declaración jurada de que son los autores del examen, que no usan el fraude y que se comprometen a que una vez hecha la corrección se le pueda pedir una cita para verificar su nivel de conocimiento.

Es importante tener en cuenta que, para considerar si el sistema de reconociendo o proctoring trata datos biométricos, se deberá identificar la finalidad de del mismo, distinguiendo entre identificación (1:n) o autenticación (1:1).

Por lo tanto, y según consideraciones de la propia AEPD, cuando hablamos de la identificación, los datos biométricos tratados deben considerarse datos sensibles (categorías especiales de datos), ya que permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta. Por el contrario, en el caso de la autenticación, únicamente se verifica la identidad de una persona concreta, como si se tratase de un doble factor de autentificación, siendo los datos biométricos datos ordinarios que por tanto quedan fuera del ámbito del artículo 9 del RGPD.

Por tanto, entre las consideraciones que se deben tener en cuenta en caso de que quisiéramos implementar un sistema de reconocimiento facial, serían las siguientes:

1. La base de un consentimiento libre de los afectados, y adecuarse a lo dispuesto en el caso de que se apruebe una norma con rango de ley que lo ampare.
2. Que la medida sea idónea, necesaria y proporcional.
3. La realización del correspondiente análisis de riesgos.
4. La realización de una evaluación de impacto en la protección de datos, al estar sujetos a una especial protección en el caso de que se trate de un sistema de reconocimiento facial con la finalidad de identificar unívocamente a una persona (1:n).
5. Consultar a la autoridad de protección de datos competente antes de proceder al tratamiento cuando la evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, salvo que pueda mitigarse por otros medios.
6. En el supuesto que el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 RGPD.
7. Adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD.

Esta condición de sujetos obligados, deriva en que estos operadores deban cumplir con las medidas de prevención del fraude, registrarse en el Banco de España, y conservar los datos de sus clientes. No obstante, no debemos olvidar, que una de las principales características esenciales del blockchain (sistema de registro distribuido que sirve de una suerte de libro mayor de las transacciones en criptomonedas, entre otras funciones) es la anonimización mediante hashes de, los intervinientes. Por lo que parece complicado cumplir con las obligaciones que impone la Quinta Directiva, sin desvirtuar la naturaleza de la plataforma en si misma.