El viernes dedicamos nuestra publicación al análisis de las técnicas de proctoring y el conflicto que se puede llegar a crear entre los métodos de control en los exámenes online y la protección de datos de carácter personal.
Justamente ese mismo día, la Agencia Española de Protección de Datos (AEPD) hizo público el Informe N/REF: 0036/2020 en el que analiza la utilización del reconocimiento facial para realizar exámenes online.
Siendo el criterio plasmado en nuestra publicación se encuentra en la línea de lo expuesto por la AEPD, debemos de tener presente que este es un tema que genera cierta duda y alerta, y es por ello por lo que consideramos oportuno recoger algunos de los principales criterios establecidos por la AEPD en el mencionado Informe, en aras de completar lo ya indicado en nuestra publicación acerca de las técnicas proctoring.
La AEPD, como ya ha hecho en otros informes relacionados con la COVID-19, vuelve a partir de la base fundamental de que el derecho fundamental a la protección de datos personales no ha visto suspendido como consecuencia de la pandemia y de la declaración del estado de alarma, y por lo tanto, todo tratamiento de datos personales deberá respetar este derecho fundamental ajustándose para ello a la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Así, aunque el informe se centra en el análisis jurídico del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, antes desarrollar tal análisis, trata otro tipo de cuestiones respecto de las que la AEPD ya se pronunció en su Informe 36/2019 sobre tratamiento de datos en universidades, como por ejemplo la publicación de las calificaciones de los alumnos.
Pero ¿cuál es la respuesta que da la AEPD a la consulta planteada?
Las conclusiones esenciales que a nuestro juicio se pueden extraer, son las siguientes:
Base jurídica del tratamiento.
- El consentimiento de los afectados, no se descarta como posible base legitimadora del tratamiento, pero se insiste en la necesidad de que su configuración debe asegurar que se ha obtenido de forma libre, para que este sea válido.
Para recabar el consentimiento libre de los alumnos, requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad a las que se realicen mediante el empleo del reconocimiento facial; ya que en otro caso, como por ejemplo, si las actividades alternativas fueran más gravosas o implicaran una mayor dificultad, el consentimiento no podría considerarse libremente prestado.
No sería admisible en ningún caso, que como consecuencia de la denegación del consentimiento se denegara la posibilidad de matriculación o de acceder a la evaluación o cualquier otra consecuencia negativa importante para el alumno.
- El interés público [art. 9.2.g) RGPD: el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros (…)], no podrá utilizarse como base legitimadora del tratamiento de datos biométricos para la evaluación online de los alumnos.
Sería necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la identificación de los alumnos mediante el empleo de la biometría respondería a un interés público esencial, definiendo dicha norma legal, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías técnicas, organizativas y procedimentales adecuadas, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos.
Proporcionalidad
Atendiendo a la situación generada como consecuencia del Covid-19 y de la declaración del estado de alarma, podría valorarse la prevalencia del reconocimiento facial frente a otras medidas, atendiendo a que una de las mismas, consistente en la evaluación presencial, pudiera no ser posible, tal y como ocurre en el momento actual. Sin embargo, en ningún caso la AEPD entiende que optarse por la misma con carácter general, sino que debería quedar limitada a aquellas enseñanzas y asignaturas concretas que, por su importancia, complejidad u otras circunstancias de especial incidencia, no aconsejaran acudir a otras opciones, como la evaluación continua, o hicieran excesivamente gravoso la adopción de otros medios como el control por videocámara o la realización de exámenes orales.
Necesidad de realizar una Evaluación de impacto.
El tratamiento en el presente caso va a implicar un alto riesgo que haría necesario la realización de una evaluación de impacto en la protección de datos.
Medidas de seguridad.
Tanto en el caso de que se procediera al reconocimiento facial sobre la base de un consentimiento libre de los afectados como en el caso de que se apruebe una norma con rango de ley que lo ampare conforme al artículo 9.2.g), deberán adoptarse todas las medidas que garanticen que el tratamiento es conforme a la normativa sobre protección de datos personales, las cuales, en el último caso, deberán recogerse en la propia norma legal, sin perjuicio de su especificación por el responsable.
De este modo, y con independencia de cuál sea la base jurídica que habilite este tratamiento de datos, las garantías a adoptar serán las que resulten del correspondiente análisis de riesgos y de la evaluación de impacto y que deberá valorar el responsable del tratamiento.
La AEPD aplica en este supuesto el mismo criterio que ya ha manifestado en lo que se refiere al tratamiento de datos de la huella dactilar como dato biométrico, al indicar que:
Según lo establecido en el artículo 25 del RGPD con relación a la aplicación de medidas de privacidad desde el diseño y por defecto, para disminuir el riesgo del tratamiento es recomendable que sea el interesado quien mantenga el máximo control sobre sus datos, en particular sobre los datos biométricos.
En definitiva, la AEPD recomienda a los responsables del tratamiento optar por métodos menos restrictivos del derecho fundamental a la protección de datos, que permitan alcanzar un mismo fin. En el supuesto de que se desee implementar una herramienta de reconocimiento facial para realizar las evaluaciones online, el responsable del tratamiento deberá realizar una Evaluación de Impacto que permita:
- Identificar la base jurídica del tratamiento de los datos (consentimiento libre del interesado).
- Realizar y documentar el juicio de proporcionalidad de esta medida.
- Determinar los riesgos a los que está expuesto el tratamiento.
- Definir las medidas de seguridad adecuadas para disminuir el riesgo del tratamiento (teniendo siempre en cuenta que la AEPD considera más garantista que el dato biométrico permanezca en poder del afectado).
Ver artículo Técnicas proctoring – Control en exámenes online vs. Privacidad y Protección de Datos