A VUELTAS CON LAS TÉCNICAS PROCTORING PARA SUPERVISAR LAS EVALUACIONES ON LINE. LA AEPD DA EL VISTO BUENO

Recientemente se ha dictado por parte de la Agencia Española de Protección de Datos (en adelante AEPD) una resolución que ha supuesto un antes y un después en el método de realización de los exámenes online o en las denominadas técnicas proctoring analizadas más en profundidad en esta y en esta entrada del blog.

En concreto, la autoridad de control ha validado un sistema de evaluación consistente en la instalación y uso de un software en los ordenadores de los examinados (denominado “SMOWLTECH”) tras comprobar que no se realizaban tratamientos biométricos ni técnicas de reconocimiento facial, al no haber encontrado evidencias que acrediten la existencia de vulneración del derecho a la protección de datos.

Son muchas las instituciones que actualmente realizan exámenes online, tanto por su propia configuración de Universidades y Escuelas a distancia, como a consecuencia de la situación epidemiológica que, aún, tiene incidencia en nuestro día a día. Una de ellas, la Universidad de la Rioja (en adelante UNIR), lleva ya dos años en el punto de mira por la polémica que han acarreado sus técnicas de evaluación online.

Ya en el año 2021 se interpuso por parte de algunos alumnos una reclamación ante la Agencia, analizada ampliamente en esta entrada del blog, en la que se denunciaba la utilización de técnicas de reconocimiento facial para confirmar la identidad de los alumnos que iban a realizar exámenes de forma telemática para prevenir el contagio de la Covid-19.

El procedimiento terminó con una resolución de advertencia a la UNIR en la que se instaba a adoptar las medidas correctivas encaminadas a evitar tratamientos biométricos sustituyéndolos por un proceso de revisión manual realizado por personal del centro. Se concluyó por parte de la AEPD que, en el caso, no se justificaba la necesidad del tratamiento ya que la identificación online de los alumnos se había estado realizando de forma habitual en otros centros universitarios mediante la visualización del alumno sin emplear técnicas de reconocimiento facial. Para apoyar esta posición, se invocó el Informe de la AEPD 0036/2020  donde se pone de manifiesto quela utilización de este tipo de técnicas de reconocimiento facial puede ser conveniente para la UNIR, pero no necesarias para la consecución del fin perseguido”.

Los reclamantes no se conformaron y esta cuestión no acabó aquí, desembocando en esta inédita y reciente resolución.

En el marco de esta nueva resolución, los afectados alegan en su reclamación una novedad presentada por la Universidad para la convocatoria de febrero de 2022. Los reclamantes manifiestan que se ha implantado, como requisito obligatorio, que los alumnos instalen una segunda cámara, además de la frontal que ya se venía utilizando para la realización de las evaluaciones, obligando a que dicha cámara enfoque el entorno del alumno, se visualicen sus dos manos, su cuerpo, así como sus pantallas de trabajo, de forma que en todo momento se vea claramente lo que se estaba haciendo. Específicamente, se alega por los reclamantes que se utilizaba un sistema de identificación del alumno por medio de la herramienta informática “SMOWLTECH” que empleaba algoritmos de reconocimiento facial para el registro de la imagen del estudiante mientras realizaba el examen. Asimismo, esta tecnología también capturaba las acciones que se realizaban en el escritorio con el teclado y el ratón.

Se considera por parte de los afectados que esta práctica no solo es desproporcionada, sino que es del todo intrusiva al no respetar los derechos a la protección de datos e intimidad de los alumnos y de sus propios familiares. Para fundamentar su postura, han adjuntado al procedimiento, entre otros, los siguientes documentos y extremos:

  • Una consulta sobre la utilización de tecnologías de vigilancia del entorno del alumno y una resolución de la Universidad de Granada de 4 de mayo de 2020 en contra del requerimiento de la segunda cámara para la evaluación.
  • La propia resolución de advertencia de 27 de julio sobre el uso de técnicas biométricas y reconocimiento facial, con el objetivo de denunciar la intrusión de la UNIR al exigir el uso de un dispositivo del propio estudiantado para activar una segunda cámara de vigilancia, suponiendo esto una vulneración del derecho a la intimidad al poder provocar una brecha de filtración de datos personales almacenados en el dispositivo.
  • La vigilancia a través de la segunda cámara del entorno del alumno o “revisión 360º” del domicilio en el que se realiza la prueba. A partir de esta consulta se mantiene que dicha vigilancia podría ser desproporcionada por la posible visión de terceras personas o elementos personales ajenos al objetivo de la propia evaluación que proporcionaría información acerca del ámbito personal del examinado y de tales terceros que podría implicar un riesgo para la intimidad del alumno y la inviolabilidad de su domicilio.
  • La violación del Informe de la AEPD 0036/2020 puesto que en los términos y condiciones del proceso de registro para la realización de los exámenes online se indicaba textualmente por la UNIR que el alumno debía aceptar “la obtención a través de imágenes y de los audios de un modelo biométrico de las características del usuario/a para poder realizar la identificación y comprobaciones posteriores sobre la identidad del usuario/a”.
  • Por último, también alegan que el consentimiento en relación con la segunda cámara no es realmente libre para los alumnos con alto riesgo sanitario ya que no pueden acudir a un examen presencial.

Por su parte y, como contrapartida, la UNIR procedió a contestar a esta reclamación indicando, como cuestiones más fundamentales, las siguientes:

  • Que ninguna de las dos cámaras utiliza técnicas reconocimiento facial. Para apoyar esta aseveración la UNIR aporta certificado de SMOWLTECH que también se manifiesta en este sentido.
  • Que, además, no se instala ningún programa en el dispositivo del alumno para el uso de dicha segunda cámara.
  • Que, considerando lo anterior, la base de legitimación del tratamiento no es el consentimiento del alumno previsto en el artículo 6.1.a) del Reglamento General de Protección de Datos al no emplearse reconocimiento facial. Realmente considera la Universidad que el tratamiento se fundamenta en el cumplimiento de una misión realizada en interés público o en el ejercicio de los poderes públicos conferidos por la Ley Orgánica 6/2001 de Universidades. Asimismo, para apoyar esta afirmación, la UNIR dispone que la AEPD afirmaba que este tratamiento estaba amparado por el artículo 6.1.e) del Reglamento General de Protección de Datos.
  • También afirma el centro que el software instalado nunca accede a información personal del interesado, salvo que el propio alumno acceda a estos datos mostrándolos en pantalla mientras realiza la prueba ya que el sistema captura el escritorio y así se ha informado al alumnado. De esto se deduce que, si en el transcurso del examen el alumno accede a una pestaña con información no compatible con la misma, el software podría realizar capturas de pantallas que, posteriormente serían evaluadas por el personal de la UNIR. Una vez comprobada la no existencia de prácticas fraudulentas, dichas capturas se eliminarían.
  • Igualmente, también se aduce la aportación de la evaluación de impacto y el análisis de riesgos, pero sin inclusión del uso de la segunda cámara utilizada por el dispositivo del alumno. Hay que tener en cuenta que, ante esta ausencia, la Subdirección General de Inspección de Datos requirió a la institución para que aportara tales documentos contando con el tratamiento omitido. La UNIR procedió a la entrega de tales documentos con la inclusión de todos los términos solicitados.

Con respecto a las confirmaciones dadas por la UNIR, la AEPD planteó a esta institución las siguientes actualizaciones y aclaraciones:

  1. Que era necesario eliminar de los apartados de la pantalla del registro para la realización del examen el consentimiento como base de legitimación para ese tratamiento de los datos personales.
  2. Que, pese al mensaje que se mostraba en la pantalla de la herramienta del uso del consentimiento como base de legitimación, la UNIR no realiza tratamientos de datos biométricos ni técnicas de reconocimiento facial. De hecho, incide la Agencia en que no es lo mismo la captura de imágenes del rostro del alumno para su almacenamiento y posterior revisión manual por personal cualificado que el uso de técnicas de reconocimiento facial con la finalidad de mapear características de rostros y crear huellas faciales que, posteriormente, pudieran ser comparadas para verificar la identidad de una persona.

Tras la consideración por parte de la AEPD de todas las actuaciones vertidas en el proceso, y, como adelantábamos al principio, en esta ocasión la UNIR ha salido victoriosa en una resolución que ha terminado con el archivo de las actuaciones y que, en consecuencia, habilita ya no solo a la UNIR, sino a cualquier institución a utilizar este tipo de tecnología como método válido de evaluación a distancia.

Se constata que, efectivamente, no se realizaban tratamientos de categorías especiales de datos tras verificar la autenticidad de los certificados aportados por SMOWL, la eliminación de la información que se aportaba, por error, en el proceso de registro, así como la sustitución del consentimiento por el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos como base legitimadora.

Esta resolución, por tanto, ha resuelto el reto que comporta el mantenimiento del equilibrio entre la identificación del estudiante que realiza la evaluación, la correcta supervisión del examen y la salvaguarda del derecho a la intimidad y a la protección de datos de todos los examinados.

No obstante, esta decisión aún es susceptible de recurso de reposición ante la AEPD y de recurso contencioso administrativo ante la Audiencia Nacional por lo que habrá que esperar a que definitivamente este cauce finalice para que pueda proclamarse este visto bueno.