La Agencia española de Protección de Datos (AEPD) ha hecho pública una resolución por la que tras analizar el uso de tecnologías de reconocimiento facial para evitar el fraude en exámenes y evaluaciones online de los estudiantes universitarios, «rechaza la legitimación de este tratamiento en la actualidad, pero no lo excluye con un adecuado desarrollo normativo» más adelante.
Precisamente el día en el que comenzaron en casi toda España los exámenes de la antigua selectividad, ahora llamada Prueba de Acceso a la Universidad (PAU), que siempre ha sido presencial, con identificación mediante DNI y vigilancia por parte de los profesores para evitar copiones, la AEPD por fin aclaró su postura ante una de las prácticas que se han desarrollado al albor de tecnologías disruptivas como el reconocimiento biométrico y la inteligencia artificial (IA).
La agencia ha analizado las consecuencias legales en materia de derecho a la privacidad y al tratamiento de los datos ante la imposición de un sistema monitorización de exámenes a distancia debido a una denuncia presentada ante el regulador contra la Universitat Internacional Valenciana (UIV).
El sistema en cuestión implicaba, «obligatoriamente y sin alternativas válidas para el alumnado, el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360)
El sistema en cuestión implicaba, «obligatoriamente y sin alternativas válidas para el alumnado», el uso de tecnologías biométricas de reconocimiento facial y doble cámara (monitorización 360) con la «finalidad declarada de evitar fraudes y suplantaciones en evaluaciones académicas online».
Tal y como explica el organismo, el software utilizaba un sistema de reconocimiento facial mediante inteligencia artificial por el que se capturaban y analizaban imágenes en tiempo real para verificar de forma continuada la identidad de los estudiantes durante los exámenes.
La UIV justificaba el tratamiento de los datos personales biométricos en la necesidad de garantizar la autenticidad y calidad de las evaluaciones online, previniendo fraudes y suplantaciones. También señaló que contaba con el consentimiento libre y expreso del alumnado (otorgado al matricularse y aceptar las condiciones generales), así como con un supuesto “interés público esencial” en la lucha contra el fraude académico.
Según ha constatado la AEPD, el sistema utilizaba una verificación continua (comparación 1:1 en tiempo real) basada en datos biométricos (patrones faciales generados y suprimidos cada pocos segundos). También incluía monitorización del escritorio de la persona examinada (captura de pantallas, detección de programas, periféricos conectados, etc.) así como la monitorización del entorno del estudiante mediante una segunda cámara, con la que se analizaba con IA la presencia de otras personas u objetos no permitidos (chuletas, libros de texto, otra pantalla, etc).
En defensa del sistema, la universidad valenciana argumentaba que los datos tratados eran «seudonimizados y suprimidos rápidamente», aunque el análisis de impacto de la misma universidad suponía ya de entrada «un riesgo muy alto de impacto para los derechos y libertades de las personas afectadas».
LA AEPD NO VE LEGITIMACIÓN
La AEPD ha argumentado su rechazo con elementos jurídicos muy claros. El primero de ellos es que los datos que se recogen con ese sistema constituyen «datos de categoría especial«, regulados por el artículo 9 del Reglamento General de Protección de Datos (RGPD), que establece la prohibición general de tratamiento de categorías especiales de datos que sólo puede ser exceptuada cuando concurra alguna de las circunstancias previstas en el apartado 2 del artículo 9 del RGPD.
El artículo se refiere a que «se descarta el consentimiento«, mientras que la universidad aseguraba que este lo recogía en varios momentos (en la fase precontractual al consultar condiciones generales, al formalizar la matrícula, al registrar la imagen en el software utilizado y al instalar la aplicación). Así, la AEPD entiende que «el consentimiento no puede considerarse válido por cuanto no se daba alternativa real y efectiva a los estudiantes al ser el software empleado el único método permitido para realizar los exámenes online», y su rechazo significaba que el alumno pedía el derecho a la evaluación. Tampoco se considera un consentimiento válido la aceptación obligatoria de unas condiciones generales al matricularse.
sería precisa una «ley habilitante específica» que determine concretamente en qué casos, condiciones y bajo qué garantías puede realizarse este tratamiento biométrico.
El regulador también rechaza que exista una base de legitimación del interés público esencial (art. 9.2.g RGPD), porque «no existe actualmente ninguna ley nacional específica del ámbito educativo universitario que habilite expresamente a las universidades a realizar este tratamiento biométrico en el marco de los exámenes a distancia» y considera insuficiente la base normativa a la que se aferraba la universidad valenciana, que es el artículo 46.3 de la Ley Orgánica de Universidades, que establece la obligación general de las universidades de verificar los conocimientos adquiridos por sus estudiantes. parece ser que no es factible con métodos al estilo Black Mirror.
Sin embargo, el futuro de la utilización de los datos biométricos y de la IA va muy deprisa, y probablemente terminarán teniéndose que implantar este tipo de controles. Así, el organismo indica que sería precisa una «ley habilitante específica» que determine concretamente en qué casos, condiciones y bajo qué garantías puede realizarse este tratamiento biométrico. A juicio de la AEPD, como interés público esencial perseguido.
También habría de incluir las circunstancias y modalidades específicas de aplicación del tratamiento biométrico y en su caso con IA de considerarse posible, y los elementos básicos de las garantías técnicas, organizativas y procedimentales exigidas para proteger derechos fundamentales.
Por todo ello ahora no se pueden utilizar este tipo de sistemas para examinar a distancia, pero la resolución no cierra la puerta al uso de estos sistemas para la identificación de los estudiantes con la finalidad de prevención del fraude en el contexto educativo, incluso con sistemas de inteligencia artificial, en un futuro en el que tengan su propia regulación.
En cuanto a esta, en la actualidad, estos sistemas están expresamente previstos en el Reglamento de Inteligencia Artificial (RIA) de la UE como de alto riesgo (Anexo III), pero a juicio de la AEPD, «el RIA no proporciona cobertura legal para amparar el uso actual de este tipo de tecnologías en el ámbito educativo en España», y se requiere una decisión nacional (o europea) al respecto que imponga esas garantías.
