Las universidades no podrán usar reconocimiento facial para vigilar exámenes ‘online’
La Agencia Española de Protección de Datos concluye que el tratamiento de datos biométricos para autenticar a los alumnos no está justificado habiendo alternativas viables que supongan menos riesgo para la privacidad
Nuevo toque de atención de la Agencia Española de Protección de Datos (AEPD) a propósito del reconocimiento facial. Si hace varias semanas obligó a Mercadona a pagar una multa de 2,5 millones de euros por el uso indebido de esta tecnología a modo de prueba en algunos de sus establecimientos, el organismo se fija ahora en la aplicación de estos sistemas de inteligencia artificial en el terreno de la enseñanza. La AEPD emitió el 27 de julio una resolución de advertencia a la Universidad Internacional de La Rioja (UNIR) en la que concluye que “no resulta justificada” la necesidad de tratar datos personales por esos medios e insta al centro a “que adopte las medidas correctivas encaminadas a evitar que el tratamiento previsto pueda suponer un posible incumplimiento de la legislación de protección de datos”.
La resolución de la AEPD hace referencia a una prueba piloto que realizó la UNIR en septiembre de 2020 con un programa informático que incluye la lectura y recogida de datos biométricos de los alumnos. El examen se hizo en la Escuela Superior de Ingeniería y Tecnología y, según detalla a EL PAÍS un portavoz del centro, con la total connivencia de los alumnos.
En esencia, el sistema lee los rasgos biométricos de las personas y saca un patrón numérico único de cada rostro, de manera que se pueda identificar a los individuos y, en este caso, comprobar que no haya un tercero haciendo el examen. El programa en cuestión, Smowl, necesita permisos que incluyen el acceso a la cámara, el micrófono y al escritorio del ordenador.
Tras las quejas de algunos estudiantes y las dudas que plantea el reconocimiento facial tanto a la AEPD como a la Conferencia de Rectores de Universidades Españolas (CRUE), la UNIR decidió desactivar la aplicación de reconocimiento biométrico del programa, aunque mantuvo el resto. “El programa Smowl toma el control del escritorio del alumno, de manera que bloquea el resto de aplicaciones que no se puedan usar durante el examen”, explica Rubén González, vicerrector de Ordenación Académica y Profesorado de la UNIR. “También controla el audio, con lo que el profesor oye si hay ruidos anómalos, y el entorno visual gracias al uso de una segunda cámara, lo que permite ver que no haya nadie detrás de la pantalla del ordenador”, añade.
Exámenes en plena pandemia
El confinamiento y la situación de pandemia obligaron a las universidades a ofrecer la opción a sus alumnos de examinarse desde casa en 2020. La mayoría de centros optaron por hacerlo mediante videollamada: el alumno conecta su videocámara de forma que se le vea todo el torso y sigue las instrucciones del profesor, que le solicitará que muestre el DNI y que observará que no haga trampas.
Algunos centros, sin embargo, decidieron optar por métodos alternativos. El reconocimiento facial ya se venía usando en universidades de todo el mundo para controlar a los alumnos cuando hacen exámenes online, desde Estados Unidos, donde los estudiantes elaboran listas negras de centros en los que se usan estas tecnologías (las llaman e-proctoring), hasta la India. La UNIR fue uno de los centros españoles que barajó el uso de esta tecnología.
La AEPD ya advirtió hace un año en un informe de que no veía recomendable el empleo de esta tecnología como método de vigilancia de exámenes online. “Las técnicas de reconocimiento facial (...) implican el tratamiento de datos biométricos con la finalidad de identificar de forma unívoca a una persona física, por lo que exigen garantías reforzadas”, señaló a propósito. La pandemia no implica la suspensión de los derechos fundamentales de protección de datos, concluye. “Debe primar un criterio de prudencia que permita un análisis de sus implicaciones y, en todo caso, un riguroso estudio de los riesgos que implican esos tratamientos y de las garantías necesarias para proteger el derecho a la protección de datos personales”, añadía el análisis de la agencia, que respondía de hecho a consultas de estudiantes y de la CRUE acerca de la conveniencia de esta tecnología.
Algunas universidades, como la de Granada, tomaron buena nota y decidieron descartar el uso de estas herramientas. La UNIR, por su parte, puso en marcha su prueba piloto tras la publicación del primer informe de la AEPD. Tal y como adelantó Newtral, un grupo de estudiantes se organizó para demandar a dicha universidad al considerar que sus métodos eran demasiado invasivos. La asociación que montaron recaudó más de 6.000 euros a través de crowdfunding para costearse un despacho de abogados que les permitiera recurrir a acciones legales en caso de ser necesario.
Si la Universidad debe educar en valores, ¿Que valores enseña cuando vulnera los derechos de sus estudiantes y les exige otorgar un consentimiento que la @AEPD_es considera no válido?. Si debe ser ejemplar, ¿Que ejemplo da al vulnerar los derechos fundamentales?
— HUxIR - Asociacion de Estudiantes Universitarios (@Huxir_Esp) May 11, 2021
La nueva resolución de la AEPD supone un espaldarazo para sus reclamaciones. “No se justifica la necesidad del tratamiento [de datos biométricos], ya que la identificación online de los alumnos se ha estado realizando de forma habitual por los centros Universitarios mediante la visualización del alumno sin emplear técnicas de reconocimiento facial. (...) La utilización de técnicas de reconocimiento facial puede ser conveniente para UNIR, pero no son necesarias para la consecución del fin pretendido”, especifica el escrito. Puede leerse, de hecho, como un aviso a navegantes: si algún centro opta por recurrir al reconocimiento facial y alguien les lleva a los tribunales, tendrán las de perder.
Una tecnología controvertida
Las aplicaciones del reconocimiento facial plantean importantes dudas desde el punto de vista del derecho a la privacidad. Tanto es así que El Supervisor Europeo de Protección de Datos (EDPS, por sus siglas inglesas) y la Junta Europea de Protección de Datos (EDPB) emitieron a finales de junio una declaración conjunta en la que solicitan la prohibición total de estas tecnologías al considerar que suponen “un riesgo extremadamente alto” para la privacidad.
El proyecto de reglamento europeo de la inteligencia artificial, actualmente en fase de tramitación, contempla una moratoria sobre estos sistemas, considerados de “alto riesgo” y por tanto circunscritos a situaciones excepcionales (bajo decisión de cada Estado miembro).
Una de las aplicaciones más controvertidas de esta tecnología es su uso por parte de las fuerzas de seguridad para la vigilancia de los espacios públicos. En Estados Unidos hace tiempo que se emplea, si bien la baja efectividad de estos sistemas en el reconocimiento de rostros de personas negras ha provocado una ola de protestas que ha llevado a varias ciudades a renunciar a su uso. En China, el reconocimiento facial es uno de los pilares sobre los que se levanta el poderoso y opaco sistema de control social del Gigante Asiático. Mientras, en Europa, Reino Unido es el país que con más decisión ha apostado por esta herramienta de vigilancia, que poco a poco se va abriendo paso por el continente.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Sobre la firma
