22 May Uso de técnicas de reconocimiento facial en exámenes on line
El Informe N/REF: 0036/2020 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) analiza el impacto legal en materia de protección de datos del posible uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, partiendo de que el estado de alarma declarado por la situación de crisis sanitaria ocasionada por el COVID-19, ha determinado la migración de las actividades docentes a entornos online.
Se indican a continuación las principales conclusiones del Informe, que centra su análisis en la enseñanza universitaria:
¿Implica el reconocimiento facial en exámenes on line el tratamiento de categorías especiales de datos?
En el caso de utilizar técnicas de reconocimiento facial en los exámenes, nos encontraríamos ante un tratamiento de datos biométricos, tal y como los define el artículo 4.14 del RGPD: “Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Por su parte, el artículo 9.1 del RGPD identifica como categorías especiales de datos, entre otros, los datos biométricos dirigidos a identificar de manera unívoca a una persona física.
¿Debemos por tanto, considerar que el sistema de reconocimiento facial en exámenes on line implica el tratamiento de categorías especiales de datos? según lo indicado por la AEPD, de una interpretación conjunta del artículo 9.1 y 4.14 del RGPD se podría concluir que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.
Puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establece el Grupo de Trabajo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:
- Identificación: La identificación de un individuo por un sistema biométrico es el proceso de comparar sus datos biométricos con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general,los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
En este sentido, analiza la AEPD en su informe que pueden existir distintas medidas para la identificación y control durante la prueba online con un nivel distinto de intromisión en la privacidad del interesado:
- Acceso a la imagen y micrófono del alumno, incluyendo:
– Grabación de la imagen y sonido del alumno durante el examen
– Visualización del alumno multicámara, desde distintas perspectivas
– Grabaciones del entorno personal del alumno previa a la prueba y/o durante la prueba. - Acceso al sistema del alumno, incluyendo:
– Acceso a la pantalla del alumno
– Control del sistema del alumno (al menos bloqueando la ejecución deaplicaciones distintas a las aplicaciones docentes)
– Grabación de la interacción del alumno con el sistema. - Tratamiento de la información biométrica, incluyendo:
– Identificación mediante reconocimiento facial y, además, otros parámetros biométricos del alumno (como perfil de mecanografía).
– Tratamiento de datos biométricos para perfilar actitudes, gestos, estados
de ánimo o de ansiedad, etc.
Los distintos escenarios analizados implican el tratamiento de datos biométricos en los que el reconocimiento facial no se realiza en un momento puntual sino que se realiza de manera continuada, pudiendo implicar el tratamiento de los datos biométricos de un tercero para su comparación con los del alumno al objeto de identificar una posible suplantación. Por lo tanto, debe concluirse que los procesos de
reconocimiento facial empleados para la realización de evaluaciones online implican el tratamiento de datos biométricos con la finalidad de identificar unívocamente a una persona física por lo que se consideran categorías especiales de datos.
¿Se podría amparar el reconocimiento facial en el consentimiento del alumnado?
El principal problema que plantea el consentimiento en el presente caso es el relativo al requisito de que el mismo sea libre. De acuerdo con las Directrices sobre el consentimiento del Grupo de Trabajo del Artículo 29 el término «libre» implica elección y control reales por parte de los interesados. Como norma general, el Reglamento General de Protección de Datos establece que, si el sujeto no es realmente libre para elegir, se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido.
Partiendo de dichos criterios, la posibilidad de admitir un consentimiento libre de los alumnos que permitiera el empleo de técnicas de reconocimiento facial al objeto de tratar sus datos biométricos en las evaluaciones online requeriría que a los mismos se les ofreciera la posibilidad de realizar dichas evaluaciones en una situación equiparable en la que no fuera necesario su tratamiento, como pudiera ser la realización de la misma actividad presencialmente, u ofreciendo otras alternativas que no requieran el tratamiento de sus datos biométricos y que fueran equiparables en cuanto a su duración y dificultad a las que se realicen mediante el empleo del reconocimiento facial. Únicamente de este modo, el consentimiento podría legitimar de dicho tratamiento.
¿Se podría legitimar el reconocimiento facial por razones de interés público?
El tratamiento de datos biométricos al amparo del interés público del artículo 9.2.g) del RGPD requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma según la doctrina constitucional y lo previsto en el artículo 9.2 de la LOPDGDD, rango de ley. Dicha ley deberá, además
especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente la invocación genérica de un interés público.
Y dicha ley deberá establecer, además, las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos.
En relación con la evaluación de los alumnos, el artículo 46.3. de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, señala que las Universidades establecerán los procedimientos de verificación de los conocimientos de los estudiantes.
En las Universidades públicas, el Consejo Social, previo informe del Consejo de Universidades, aprobará las normas que regulen el progreso y la permanencia en la Universidad de los estudiantes, de acuerdo con las características de los respectivos estudios. Dicho precepto se considera insuficiente para permitir la utilización de técnicas
de reconocimiento facial en os procesos de evaluación, siendo necesario que se aprobara una norma con rango de ley que justifique específicamente en qué medida y en qué supuestos, la identificación de los alumnos mediante el empleo de la biometría respondería a un interés público esencial.
¿Qué garantías deberán adoptarse en materia de protección de datos?
Deberán adoptarse las medidas que garanticen, además del principio de licitud analizado en los apartados anteriores, el cumplimiento de los principios de finalidad, limitación del plazo de conservación, minimización y seguridad del tratamiento. En relación con la aplicación de medidas que garanticen la seguridad, confidencialidad e integridad de los datos, la AEPD considera ejemplos de medidas adecuadas, la conversión de la huella a su algoritmo, el cifrado de la información, la vinculación a un dato distinto de la identificación directa del alumno, la limitación de los protocolos de acceso a los datos, o incluso que el dato biométrico permanezca en poder del titular. En cualquier caso, se deberá realizar la correspondiente Evaluación de Impacto sobre la Protección de Datos, con el fin de auditar el funcionamiento del proceso de reconocimiento, analizar los riesgos para los derechos y libertades y establecer las medidas y controles para mitigar los riesgos detectados. Si aun después de este proceso, se sigue detectando un riesgo alto para los interesados, se deberá remitir consulta a la Agencia Española de Protección de Datos sobre la viabilidad del tratamiento.
Conclusiones
La implantación del reconocimiento facial en la evaluación online presenta grandes retos en el ámbito educativo, así como para la privacidad y protección de datos personales.
El equipamiento tecnológico y las competencias digitales de profesorado y alumnado se configuran como ejes fundamentales para garantizar la continuidad del proceso formativo, no solo ante situaciones de pandemia como la actual, sino como un canal más de impartición de una formación de calidad, cercana y con pleno aprovechamiento
de las múltiples ventajas de la tecnología ofrece.
En este sentido, el artículo 46.3 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, establece que las Universidades establecerán los procedimientos de verificación de los conocimientos de los estudiantes, por lo que se enfrentan ahora al desafío de implantar nuevos procedimientos de evaluación a distancia con pleno respeto a la privacidad y protección de datos de los interesados (y terceros).
Para conseguir este el objetivo, es esencial contar con la intervención y consenso de todos los sujetos involucrados: el pronunciamiento de la CRUE, posicionamiento de los distintos Delegados de Protección de Datos de Universidades, orientaciones y directrices de la Agencia Española de Protección de Datos, y todo ello sin olvidar a los auténticos motores del cambio: alumnos y comunidad docente.