Pinganillos en el examen: la insostenible postura del legislador y las autoridades de protección de datos pone en riesgo a las universidades
Durante la pandemia de COVID la Universidad española se enfrentó a la necesidad de activar protocolos de vigilancia activa asistida por tecnología para asegurar que los estudiantes no copiaban al realizar el examen en sus casas. En aquellos momentos emergieron muy distintas técnicas. Entre ellas, destacan la vigilancia del espacio doméstico de examen con una visión de 360º combinando la webcam del ordenador personal con la videocámara del smartphone. También se usaron las llamadas herramientas de proctoring. Estas herramientas son programas informáticos que controlan el entorno de trabajo informático en el ordenador del estudiante bloqueando el acceso a fuentes externas y pueden integrar herramientas de inteligencia artificial capaces de verificar la identidad utilizando técnicas biométricas de reconocimiento facial del estudiante, así como de registrar comportamientos anómalos.
Sin embargo, unas y otras se enfrentaban a la garantía del derecho a la vida privada. Al fin y al cabo, la penetración virtual invade la intimidad y la inviolabilidad del domicilio en los mismos términos que la entrada física. Por otro lado, el uso de biometría e inteligencia artificial es altamente invasivo y puede presentar algunos problemas legales. En aquel momento, la Agencia Española de Protección de Datos fue muy contundente: no existía base legal para el uso de las tecnologías avanzadas basadas datos biométricos y bajo ninguna circunstancia, salvo en casos muy excepcionales, las iba a permitir. Es más, en el caso de que a cualquier Gobierno se le ocurriera legislar al respecto, se iba a enfrentar a un informe probablemente negativo que, con toda certeza, serviría de fundamento a un recurso de inconstitucionalidad. Esta misma posición se ha mantenido sólidamente en el tiempo en relación con el empleo de videovigilancia en aulas físicas. En lógica coherencia se ha impuesto una sanción millonaria a una universidad privada online por usar técnicas de proctoring.
Hasta hoy, ni el Gobierno, ni el legislador han regulado una materia que se encuentra sujeta a reserva de ley por cuanto afecta a derechos fundamentales. Y la posición del regulador es clara: ni la mera invocación de una finalidad legítima, ni el argumento del interés público ni la apertura del Reglamento de Inteligencia Artificial a reconocer estos sistemas como de alto riesgo, constituyen una base legal suficiente para avalar su uso.
Desde COVID la tecnología ha avanzado y han proliferado los sistemas para copiar con pinganillos prácticamente invisibles y se requiere usar la tecnología para combatir este fraude. Para ello, la nueva estrategia que se propone se basa en identificar emisiones de radiofrecuencia. Es decir, rastrear aparatos conectados mediante wifi o bluetooth susceptibles de estar emitiendo o recibiendo información. Este tipo de decisión se enfrenta a un análisis jurídico en cascada bien asentado en la jurisprudencia del Tribunal Europeo de Derechos Humanos, el Tribunal de Justicia de la Unión Europea y el Tribunal Constitucional. Primero, se trata de establecer si existe alguna afectación a un derecho fundamental al instalar este tipo de prácticas. Y en principio, la respuesta debería ser afirmativa. Afortunadamente, sólo se busca trazar la señal electromagnética y localizarla lo que excluye el derecho fundamental al secreto de las comunicaciones.
Sin embargo, se pretende identificar al infractor y, en consecuencia, se tiene el objetivo de tratar datos personales. En una primera aproximación puede parecer que el uso de un detector es “anónimo”. Pero esta lógica sólo aplica a la función preventiva. Sin embargo, esta acción se aplica a un grupo de personas perfectamente identificadas cuya identidad se valida para el acceso al examen y ofrece dos tipos de información. Una es positiva, el comportamiento es regular cuando no se detecten emisiones. En caso contrario, se busca identificar al infractor. Por tanto, las garantías de la regulación sobre protección de datos deben aplicarse.
Pero es que además existen dos derechos fundamentales adicionales en juego en caso de que se detecte alguna emisión. Existe un escenario para ello: el del falso positivo. Imaginemos dos casos de uso: 1) el estudiante es identificado como sospechoso de copia y eventualmente anotado y/o sancionado y 2) un estudiante emocionalmente influenciable sufre la presión de sentirse vigilado incluso no usando tecnología alguna. En ambos casos, se afectará al rendimiento académico, y con ello el derecho a la educación. Ningún ser humano es inalterable ante el temor reverencial no sólo al suspenso, sino también a las potenciales acciones disciplinarias y ello sin duda influirá en las capacidades cognitivas durante la realización de la prueba en las personas más vulnerables emocionalmente. En el primer caso, además, si se diera un falso positivo se afectaría al derecho al honor ya que la intervención del profesor se produce en un espacio público ante la comunidad educativa.
Existe un tercer escenario de enorme complejidad. ¿Cómo se van a gestionar los casos cada vez más frecuentes de objetos conectados vinculados a la salud? Me refiero, por ejemplo, a los glucómetros insertos en el cuerpo que se comunican con un smartphone y ayudan a tomar decisiones sobre administración de insulina en tiempo real. En caso de enfermedad cardiovascular empiezan a ensayarse relojes con capacidad de medir la hipertensión arterial. ¿Sumamos prótesis, marcapasos, estimuladores eléctricos, wearables que midan cualquier cosa…? Aquí, las exigencias de adaptación de la prueba son máximas. Ya no bastará con las medidas habituales, habrá que adoptar medidas incluso de segregación espacial. Y, ello supone que condiciones de salud distintas de la ceguera, la sordera y otras discapacidades físicas y psíquicas emergerán a la luz pública. Además, en algunos casos, estas personas no tendrán reconocida discapacidad alguna ni un cauce para la notificación. ¿Cómo se espera gobernar estas situaciones?
Y esto nos conduce al siguiente requisito. La predeterminación normativa. Y aquí, es dónde la inacción del legislador y de las autoridades de protección de datos es particularmente llamativa. La doctrina constitucional permite al legislador definir condiciones de control mediante ley orgánica que deberá incorporar garantías adecuadas. Estas son viables y de muy variado signo. Ni el legislador ha emprendido esta tarea ni la autoridad de protección de datos que puede dictar normas interpretativas ha fijado criterio alguno.
Y este estado de cosas expone enormemente a las universidades que adopten esta tecnología. De acuerdo con el RGPD, y la lista positiva de la Agencia Española de Protección de Datos, esta es una tecnología de vigilancia y control que se usará a gran escala, ya que vigila a todos los participantes en pruebas de acceso a la universidad, que afecta a menores de edad y que implica el uso de tecnología en un contexto innovador. Así que entendemos que las universidades toman esta decisión después de haber realizado una evaluación de impacto relativa a la protección de datos. Esta es una técnica compleja que obliga analizar la legalidad, evaluar los riesgos para los derechos fundamentales, adoptar medidas de remedio, así como a implantar garantías adecuadas. Del mismo modo que entendemos que la Agencia Española de Protección de Datos, y las autoridades catalana, andaluza y vasca, si son coherentes con sus posiciones anteriores, iniciarán de inmediato una investigación de oficio para verificar si se garantiza la legalidad y los derechos fundamentales de los estudiantes.
Hasta hoy, la lectura jurídica, y me atrevería a decir que ética, que aplica a este asunto es la que acabo de proporcionar al lector. Usualmente se apuesta por una interpretación del derecho fundamental a la protección de datos de corte liberal-individualista que sacrifica el interés común, incluso la salud como demostró COVID, para la garantía del derecho a la vida privada. Sin embargo, los hechos demuestran que existen intereses relevantes en juego. Se equivocan quienes crean que se quiere “pillar” al pícaro. Lo que está en juego es mucho más grave. Desde un punto de vista general, la proliferación de la venta de estos gadgets mediante publicidad perfilada a usuarios que copian apunta a un negocio viable. De ser así, el primer riesgo sistémico es el de la corrupción. Si una persona de los 17 a los 22 está dispuesta a este tipo de prácticas crecerá como individuo corruptible ya que lo fue desde el primer día. Por otra parte, estas prácticas afectan a la capacidad de la universidad de evaluar y certificar el conocimiento. ¿Sabe el arquitecto de ingeniería de los materiales?
Este estado de cosas impone la definición de políticas públicas y legislativas urgentes. Hoy, las universidades están expuestas y han apostado por una vía expeditiva. Espero que bien fundamentada y con estrategias adecuadas porque, de lo contrario, se arriesgan a una cascada de reclamaciones. Y aunque no es común que se sancione a la Administración existen dos efectos particularmente indeseables. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, habilita a las autoridades de protección de datos para iniciar la apertura de expedientes disciplinarios a funcionarios y autoridades públicas que manifiestamente infrinjan la Ley, así como a publicar en diarios oficiales el cargo infractor. Ello implica la responsabilidad jurídica de la autoridad académica que, en calidad de responsable, decida este tipo de tratamiento de datos. Por otra parte, la legislación administrativa considera nulas de pleno derecho las resoluciones que se funden una vulneración de un derecho fundamental. Esa vía podría explorarse en aquellos casos en los que, ante la endeblez de la base legal se acabase constatando una afectación al derecho fundamental a la protección de datos o cuando un falso positivo afectase al derecho a la educación al influir en el rendimiento académico. Y estas anulaciones no sólo repercuten sobre los derechos individuales del estudiante, la asignación de matrícula universitaria depende de la nota y correlaciona a todos las personas que se examinan. ¿Hemos escogido las mejores alforjas para este viaje?