El objetivo de esta Nota es intentar dar respuesta a todas las cuestiones que se plantean, en relación con el marco regulatorio actual en materia de protección de datos, así como los pronunciamientos al respecto realizados por la AEPD, y que han de tenerse en cuenta en las iniciativas de los centros educativos para mantener su actividad en tiempos de Covid19.

Debido a la situación extraordinaria actual derivada del COVID-19, los centros educativos se han visto obligados a acudir a la Teleeducación, lo que ha obligado al desarrollo de las aulas virtuales y clases online, y es en su desarrollo y la necesidad de evaluación consiguiente, donde surgen algunas dudas, ¿puedo obligar al alumno a encender la cámara web? ¿cómo controlo los exámenes virtuales realizados por el alumno? ¿cómo puedo evaluar a los alumnos asegurándome de que realmente han realizado las pruebas ellos mismos?

La AEPD, en su informe 0036/2020 se ha pronunciado respecto a una serie de cuestiones relativas al uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online derivada del estado de alarma declarado por el Real Decreto 463/2020, de 14 de marzo de 2020.

Una de las actividades principales de los centros educativos que tienen que seguir desarrollando es la verificación objetiva de los conocimientos de los estudiantes, lo cual puede presentar dificultades teniendo en cuenta que, ante la imposibilidad del control del profesorado a través de su presencia física, un estudiante pudiera abandonar su sitio, así como realizar pruebas haciéndose pasar por otro alumno. Para su identificación, se proponen dos formas de llevarla a cabo:

  • Mediante la asignación de identificadores de acceso a entornos de aula virtual.
  • Mediante el visionado remoto del estudiante a través de herramientas de videoconferencia o webcams.

No obstante, esta situación excepcional no exime del cumplimiento de todas las obligaciones recogidas en la normativa de protección de datos, y por tanto, a continuación, intentamos dar respuesta a las cuestiones que se plantean para que, en la implantación de medidas y acciones concretas, se cumpla con los requisitos normativos y se protejan, por tanto, los derechos y libertades de los alumnos y sus familias.

 

Finalidades del tratamiento: actividad docente habitual y realización de exámenes

¿Qué datos de los alumnos puedo tratar para llevar a cabo la teleeducación?

Los centros educativos, con la finalidad de desarrollar la actividad educativa, requieren del tratamiento de datos personales de los alumnos, encontrándose dicho tratamiento legitimado en el cumplimiento de la relación contractual existente entre el centro educativo y los padres/tutores de los alumnos, así como en la habilitación legal recogida en la Ley Orgánica 2/2006, de 3 de mayo, de Educación.

Existen determinados tratamientos relacionados con la imagen del alumno que requieren su consentimiento expreso o de sus padres/tutores, si bien, ante las nuevas circunstancias y necesidades derivadas de la distancia, la legitimación para el tratamiento de este tipo de dato, la imagen y voz de los alumnos, puede variar, conforme veremos a lo largo de la presente Nota.

¿Puedo utilizar recursos online para la actividad educativa?

El estado excepcional que vivimos supone el traslado de la actividad educativa al entorno online. Multitud de centros educativos hacen uso de plataformas en la red para poder comunicarse con sus alumnos, corregir trabajos, remitir documentación para el estudio y otras acciones que, indudablemente, suponen el tratamiento de datos personales más allá del tradicional espacio físico de las aulas. Considerando que, de acuerdo con lo dispuesto en la Ley Orgánica de Educación, la actividad educativa se configura como un servicio público, la legitimación que ampara a los centros educativos a llevarla a cabo, bien en las aulas, bien en la red, es el interés público que ofrece dicha normativa para el tratamiento de los datos necesarios para la enseñanza educativa, por lo que no será necesario el consentimiento de los interesados, sin perjuicio de dar cumplimiento al resto de obligaciones que dispone la normativa sobre protección de datos.

¿Puedo obligar a los alumnos a encender el micrófono? ¿Y la cámara?

Dentro de las actividades educativas, podemos encontrar multitud de acciones como la asistencia a clase, entrega de ejercicios, realización de exámenes, evaluaciones, etc., que requerirán de un tratamiento de datos personales específico para llevar a cabo el proceso educativo. Este ejercicio de distinción corresponde al centro educativo, pudiendo determinar en qué momentos será necesario la utilización del micrófono o la cámara y en qué momentos estos dispositivos pueden ser voluntarios. La clave fundamental es evaluar la necesidad de acudir a estos dispositivos para llevar a cabo la actividad que se persigue por lo que, en cada caso, será conveniente evaluar las condiciones del tratamiento de datos atendiendo a su finalidad. Si el centro educativo concluye que el uso de estos dispositivos es indispensable para la finalidad perseguida, será posible su utilización. Por tanto, convendrá determinar la finalidad del uso de la cámara o el micrófono para poder valorar si es lícito y proporcional el uso de estos dispositivos o si, por el contrario, se debe recurrir al consentimiento de los alumnos.

¿Puedo publicar las notas de los alumnos en la plataforma educativa?

Sí, siempre y cuando se respete el principio de limitación de la finalidad que inspira la normativa sobre protección de datos, se utilicen los datos estrictamente necesarios (nombre, apellidos y calificación), por un plazo de conservación determinado y con la debida confidencialidad.

Se recomienda su publicación en una intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo.

¿Puedo utilizar la imagen y/o vídeo de los alumnos para su publicación en las redes sociales?

En este caso, y dado que la finalidad del tratamiento es adicional al desarrollo especifico de la actividad docente, se debe atender al consentimiento otorgado por el alumno (si es mayor de 14 años) o, en su caso, de sus padres/tutores para la publicación de su imagen en los medios de difusión o redes sociales indicados por el centro educativo.

 

Uso de datos biométricos

¿Puedo utilizar sistemas de reconocimiento facial para la actividad educativa?

Considerando la especial injerencia en los derechos de los interesados al emplear este tipo de técnicas, conviene, en primer lugar, determinar exactamente la finalidad del uso de esta técnica y, a continuación, realizar un análisis para evaluar que, en primer lugar, esta es idónea para conseguir el objetivo que se pretende; en segundo lugar, que no existe otra forma menos intrusiva de conseguir dicha finalidad y, por último, si dicha medida supone más beneficios que perjuicios para las personas implicadas. Las técnicas de reconocimiento facial cobran mayor sentido cuando lo que se pretende es la identificación unívoca de una persona por lo que la finalidad perseguida debe centrarse en esta circunstancia. Si, por ejemplo, el objetivo de su uso es el de recibir una clase de historia, en la que dicha identificación unívoca puede resultar secundaria, quizás sea suficiente con conectar el audio de los dispositivos del alumno para poder atender al profesor y, por ende, esta medida podría resultar desproporcionada para la finalidad mencionada. Por ello, dependiendo de la actividad, será necesario realizar el análisis descrito para verificar la conveniencia de acudir a esta u otras tecnologías, siempre considerando los principios de minimización de datos y de limitación de la finalidad. Si, como consecuencia de dicho análisis, se concluye que esta técnica es proporcional, habrá que, en cualquier caso, dar cumplimiento al resto de obligaciones que dispone la normativa en materia de información y medidas de seguridad y responsabilidad proactiva.

¿Puedo utilizar datos biométricos para identificar a un alumno?

La identificación de un alumno puede ser necesaria para asegurar su identidad cuando el mismo se someta a una prueba de evaluación y poder descartar así cualquier práctica fraudulenta tendente a suplantar su identidad. Lo importante es determinar si dicha identificación puede lograrse a través de medios que prescindan de técnicas intrusivas para sus derechos y libertades fundamentales. En consecuencia, cada centro educativo debe valorar, de acuerdo con sus características e iniciativas, si, por ejemplo, el empleo de tarjetas identificativas (carnés universitarios, DNI, etc.) u otros identificadores pueden alcanzar el mismo objetivo sin recurrir a tecnologías innovadoras como la mencionada.

En cualquier caso, si se recurre a tecnologías de reconocimiento biométrico, será necesario realizar el preceptivo análisis de riesgos y evaluación de impacto sobre la privacidad de los alumnos, lo que supondrá la implementación de medidas que reduzcan el alto riesgo que supone esta utilización.

¿Puedo utilizar datos biométricos para saber si el alumno está copiando o recurriendo a prácticas fraudulentas?

Esta cobrando especial importancia la utilización de técnicas de reconocimiento biométrico para realizar actuaciones de perfilado consistentes en la detección de la conducta del alumno a la hora de enfrentarse a una prueba de evaluación. Así, existen técnicas capaces de detectar si un alumno se ha desplazado desde su posición frente a su ordenador o si su comportamiento refleja actitudes corporales reseñables, de acuerdo con la actividad que está realizando (su forma de mover el ratón, su expresión, o su pulso de mecanografía) las cuales podrían indicar un patrón único que sirva para identificar a un usuario o, al menos, ciertos niveles de conducta.

Estas técnicas suponen, asimismo, un riesgo para los derechos de los alumnos, pues podrían desembocar en consecuencias desfavorables para ellos, como, por ejemplo, llegar a verse sometidos a una revisión especifica por parte del profesorado, en detrimento de otros alumnos cuyos signos biométricos no reflejen una situación concreta.

En definitiva, la proporcionalidad es clave a la hora de impulsar el uso de estas técnicas, sopesando los fines a alcanzar y las características del tratamiento de datos personales, sobre todo si consideramos la posibilidad de tratar datos personales de menores de edad, en cuyo caso las garantías deben ser reforzadas.

 

Proveedores de tecnología y plataformas. Medidas de seguridad

¿Qué plataformas puedo utilizar para la actividad educativa online?

Aunque la actividad educativa se haya trasladado a internet, las obligaciones del centro educativo en materia de protección de datos no desaparecen, sino que cobran más fuerza por el entorno en el que ahora se llevan a cabo y las mayores amenazas ante la posibilidad de que la información se vea comprometida.

Por tanto, el centro deberá seleccionar exclusivamente aquellas plataformas que garanticen la seguridad de los datos personales, pero no solo eso, sino que, por su parte, deberá poner en marcha políticas de seguridad e información para que puedan ser conocidas, con carácter previo a su uso, por alumnos, padres y profesores. En este sentido, la redacción de un código de conducta sobre las actividades que se llevarán a cabo en dichas plataformas, así como las reglas de participación y, en su caso, prohibiciones que correspondan, se configuran como acciones fundamentales en la actualidad para realizar estas iniciativas y, especialmente, para demostrar la diligencia debida frente a las autoridades de protección de datos, en caso de un eventual requerimiento o incluso de un procedimiento sancionador.

¿Cómo saber si las plataformas utilizadas son seguras desde el punto de vista de la privacidad?

El centro deberá seleccionar cuidadosamente aquellas plataformas que garanticen la seguridad de los datos personales que en los mismos se tratan. Para ello, el centro deberá atender a las finalidades de dichas aplicación, considerando el objetivo que persiga (herramientas de entrega de trabajos, videoconferencias, repositorios de información, etc.), el modo en el que se permite conservar la información de los alumnos, las medidas implementadas para permitir el control por el profesorado respecto al contenido manejado y otras funcionalidades que sean relevantes desde el punto de vista de privacidad.

Por otra parte, será necesario regularizar la relación existente entre el proveedor de la plataforma y el centro educativo a través de un contrato en el que se detallarán aspectos como la duración del tratamiento de datos, sobre qué tipología de datos personales versará y a qué tipo de interesados afectará. Además, el centro educativo deber asegurar que el proveedor implemente las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales, sin olvidar el deber de información a los interesados y la posibilidad de que estos ejerciten sus derechos en materia de protección de datos, también en entornos online.

 

Por Área de Privacidad ECIJA

María González Moreno – Socia

Rubén Lahiguera Gallardo – Asociado

Silvia López Navas

13 Mayo 2020