Visualización y Grabación de exámenes a distancia.

En el contexto de la educación a distancia que se ha impuesto de golpe a raíz de la pandemia del SARS-Covid-19, conviene recordar que los derechos fundamentales reconocidos tanto en la Constitución Española (CE), como en la Carta de los Derechos Fundamentales de la Unión Europea siguen siendo de aplicación, aunque algunos, en virtud de la normativa sobre el Estado de Alarma, puedan ser restringidos, como la libre circulación. En este sentido, la propia Agencia Española de Protección de Datos, en su Informe jurídico 0017/2020, señala que “…con carácter general, debe aclararse que la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada”.

Así, en muchas instituciones educativas se están planteando sistemas alternativos de evaluación, a raíz del cierre presencial de las actividades lectivas, en especial mediante la realización de pruebas o exámenes a distancia por medios telemáticos.

Esta circunstancia hace que, para una eficaz realización de dichos exámenes y para garantizar la seguridad jurídica tanto de los estudiantes como de los centros educativos en sus respectivos derechos de evaluación objetiva y de evitar fraudes en la realización de dichas pruebas, se estén implementando medios tecnológicos (aplicaciones o programas antifraude) o estableciendo como requisito para la realización de dichas pruebas la visualización en tiempo real (streaming) y/o la grabación síncrona de los estudiantes en su realización.

Respecto a la posible visualización de la realización de exámenes, realizados en tiempo real y en el entorno domiciliario del alumno, así como la posible grabación de dicha visualización, hay que tener en cuenta, desde el punto de vista de la protección de datos, lo siguiente:

En primer lugar, que la realización de visualización y/o grabaciones de personas entra de lleno dentro del tratamiento de datos personales, a tenor de lo dispuesto en el artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD):

Artículo 4. Definiciones.

A efectos del presente Reglamento se entenderá por:

1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

En segundo lugar, que el tratamiento de datos personales ha de estar legitimado según lo señalado en al apartado 1 del artículo 6 de dicho Reglamento (RGPD):

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b )el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Así, podríamos considerar que existe una base de legitimación de dicho tratamiento, bien en el punto 6.1.a) (Consentimiento), bien en el 6.1.b) (Contrato), en el 6.1.c) (Obligación legal, en el caso de los centros privados), en el 6.1.e) (Deberes públicos, en el caso de Centros públicos) o en el 6.1.f) (Interés legítimo).

Visualización y/o grabación de exámenes a distancia

Partiendo de estas bases, hemos de considerar, en relación al específico tratamiento de datos personales que se establece en la visualización y/o grabación de un examen (sea presencial, sea en línea), lo siguiente:

1º) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), en su artículo 9 incluye entre las categorías especiales de datos personales los “datos biométricos dirigidos a identificar de manera unívoca a una persona física”, estableciendo los supuestos en que cabe su tratamiento. Dispone el aludido artículo 9 lo siguiente:

“1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado”.

Así, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), especifica respecto a esto:

Artículo 9. Categorías especiales de datos.

1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

En este sentido, el consentimiento pare el tratamiento de datos debería basarse, además, en otra base legitimadora de las señaladas en el artículo 6.1. RGPD, atendiendo a las interpretaciones jurisprudenciales de los derechos fundamentales, que mayoritariamente han indicado que estas interpretaciones han de ser, necesariamente, restricctivas.

2º) En la relación establecida entre la Institución educativa pública (6.1.e) o privada (obligada por la ley, punto 6.1.c) y el interesado-estudiante existe una disimetría clara que impide que el consentimiento sea -únicamente- una base legítima para cualquier tratamiento de datos, como señala el RGPD en su Considerando 43:

(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

3º) En el caso de considerar, o bien una “obligación contractual” (6.1.b) o el “interés legítimo” (6.1.f) de la Institución educativa como base para el tratamiento de los datos del interesado-estudiante -y recordemos que se trata, en este caso, de datos especialmente protegidos, como lo son los biométricos-, este no puede considerarse una base de legitimación si no se ponderan adecuadamente los intereses o los derechos del interesado-estudiante, como indica el Considerando (47) RGPD:

(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. […] En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

En este caso, esa “evaluación meticulosa” debe tomar en consideración, dado que se trata de confrontar derechos fundamentales, el conocido como “Test de proporcionalidad”^[1], en el que se evalúen claramente la idoneidad, necesidad y proporcionalidad de la medida a adoptar -en este caso el tratamiento de datos biométricos -, clarificando que dicho tratamiento sea:

a) Idóneo para el fin que se persigue: en este caso puede aducirse que, para evitar el fraude en exámenes realizados a distancia, es un método idóneo -aunque, deberíamos añadir, sumamente intrusivo.

b) Necesario, es decir, que no haya otro método menos invasivo para alcanzar los fines perseguidos: en este sentido se pueden señalar otros métodos que pueden usarse para ello, como el control de tiempo en una prueba de contenidos múltiples, por ejemplo.

c) Proporcionado a la invasión de otros derechos: en este caso, la visualización-grabación, ataca varios derechos fundamentales, que deben quedar suficientemente garantizados, como los derivados del artículo 18 -intimidad, etc.- de la Constitución Española (CE) o el artículo 14 -igualdad y no discriminación-, etc.

A mayor abundamiento, el propio Reglamento general de protección de datos pone de manifiesto que el consentimiento del afectado no debe constituir la base legal del tratamiento en determinados supuestos. Así, el considerando 42 señala en su última frase que “El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno”.

El catálogo de supuestos legitimadores del tratamiento se ha visto ampliado por la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, por la que se resuelven las cuestiones prejudiciales planteadas por el Tribunal Supremo en los recursos interpuestos contra el Reglamento de desarrollo de la Ley Orgánica 15/1999 (desplazada por el RGPD  y derogada por la LOPDGDD). A su vez, el marco se ve igualmente afectado por las Sentencias dictadas por el Tribunal Supremo en fecha 8 de febrero de 2012, por las que se resuelven los mencionados recursos.

La mencionada Sentencia del Tribunal de Justicia ha declarado expresamente el efecto directo del artículo 7 f) de la Directiva 95/46/CE[2], según el cual:

“Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si (...) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

Por ello, dicho precepto deberá ser tomado directamente en cuenta en la aplicación de la normativa de protección de datos de carácter personal por los Estados Miembros, dado que como señala el Tribunal Supremo en su sentencia de 8 de febrero de 2012 “produce efectos jurídicos inmediatos sin necesidad de normas nacionales para su aplicación, y que por ello puede hacerse valer ante las autoridades administrativas y judiciales cuando se observe su trasgresión”.

Tal y como recuerda la Sentencia del Tribunal de Justicia de la Unión Europea en su apartado 38, el artículo 7 f) de la Directiva “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” y, en relación con la citada ponderación, el apartado 40 recuerda que la misma “dependerá, en principio, de las circunstancias concretas del caso particular de que se trate y en cuyo marco la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea confieren al interesado”.

Por tanto, para determinar si procedería la aplicación del citado precepto habrá de aplicarse la regla de ponderación prevista en el mismo; es decir, será necesario valorar si en el supuesto concreto objeto de análisis existirá un interés legítimo perseguido por el responsable del tratamiento que prevalezca sobre el interés o los derechos y libertades fundamentales del interesado que requieran protección conforme a lo dispuesto en la normativa de aplicación y no hay otro medio más adecuado para alcanzar dicho interés legítimo sin lesionar otros derechos.

3º) La Instrucción 1/2006 de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras hace especial referencia a la necesidad de ponderar los bienes jurídicos protegidos. Así viene a señalar expresamente que, en la instalación de este tipo de dispositivos se deberá respetar el principio de proporcionalidad, valorando así la posibilidad de adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales.

(…) Por consiguiente, cualquier medida de control que se adopte debe superar este juicio de proporcionalidad, determinando si la medida es adecuada, necesaria y equilibrada, ya que en otro caso resulta desproporcionada y por ello contraria a la normativa de protección de datos

Esta Agencia ha venido señalando que cuando se pretendan instalar sistemas de videovigilancia, deberán ponderarse los derechos y garantizarse el cumplimiento estricto del principio de proporcionalidad, debiendo en todo caso respetarse el derecho a la intimidad, a la propia imagen y a la protección de datos.

Así, el artículo 4 de la Instrucción 1/2006 recoge los principios de calidad, proporcionalidad y finalidad del tratamiento estableciendo lo siguiente:

“1.- De conformidad con el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

2.- Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.

3.- Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.” (…)

Para concluir lo analizado respecto a esto, podemos indicar lo siguiente:

a) el tratamiento de imágenes mediante la visualización y/o grabación en el ámbito doméstico -y no hemos hecho referencia a los posibles aspectos concurrentes de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen- constituye un tratamiento de datos personales amparado en la legislación citada sobre ellos.

b) Ese tratamiento se enmarca dentro de los considerados “datos especialmente protegidos”, que requieren unas garantías reforzadas de legitimación, no bastando el simple consentimiento para su recogida.

c) Según esto, es necesario, además del consentimiento, otra base jurídica de legitimación, pero cualesquiera que aportemos (6.1.b); 6.1.c); 6.1.e) o 6.1.f)), que ha de estar fundada en norma con rango de ley y para su aplicación, debe superar la ponderación del juicio de proporcionalidad, buscando siempre la medida menos restrictiva de derechos.

d) Dado que la visualización y/o grabación de imágenes personales suponen una intromisión en la intimidad, debe ponderarse mediante la aplicación de un estricto juicio de proporcionalidad, si dicha intromisión es la única manera de alcanzar los efectos buscados de 1) disuadir a los estudiantes de determinadas actuaciones fraudulentas durante los exámenes y 2) en caso de que estas se produjeran, que dichas grabaciones sirvieran como prueba para acreditarlas, ha de tomar siempre en consideración que el derecho fundamental a la protección de datos (derecho de autodeterminación informativa, como lo ha nombrado nuestro TC) y los otros derechos aducidos por la institución educativa deben ponderarse para buscar la mínima intromisión en dicho derecho fundamental.

Para concluir este apartado, se debe recalcar que el responsable de tratamiento de los datos -la institución educativa- ha de justificar claramente la no existencia de otros métodos de evaluación que, alcanzando el mismo fin, sean menos intrusivos en los derechos fundamentales, en virtud de lo recogido en el RGPD y la LOPDGDD respecto a la responsabilidad proactiva.

Realización de exámenes orales a distancia

En este sentido, es interesante traer a colación el Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) realizado a petición de una universidad y que toca muchos aspectos, entre ellos la realización/grabación de exámenes orales y de clases.

AEPD. Informe Gabinete Jurídico N/REF: 010601/2019

[…]

“Se plantea a continuación si la grabación de exámenes orales y de las sesiones de docencia puede fundamentarse igualmente en el artículo 6.1.e) del RGPD.

En este punto, el artículo 46.3 de la LOU prevé que “Las Universidades establecerán los procedimientos de verificación de los conocimientos de los estudiantes”. Asimismo, en su apartado 2 el citado precepto reconoce a los estudiantes el derecho a “la publicidad de las normas de las Universidades que deben regular la verificación de los conocimientos de los estudiantes” y a “la garantía de sus derechos, mediante procedimientos adecuados y, en su caso, la actuación del Defensor Universitario”, siendo los Estatutos y las normas de organización y funcionamiento las que desarrollarán los derechos y los deberes de los estudiantes, así como los mecanismos para su garantía.

Son, por tanto, los Estatutos y las normas de organización y funcionamiento los que regulan los procedimientos de revisión de las evaluaciones de los alumnos, lo que incluye en ocasiones su revisión ante órganos colegiados (Tribunal de Reclamaciones, Comisión de Revisión u otras denominaciones), así como se establecen plazos de conservación de los exámenes a fin de que los estudiantes puedan presentar las reclamaciones oportunas.

Por consiguiente, la grabación de los exámenes orales puede ser necesaria como medio de prueba para el ejercicio de sus derechos por parte del alumno, así como para que el profesor pueda justificar la evaluación realizada, sin perjuicio de que puedan admitirse otros medios probatorios (por ejemplo, exigir al alumno un esquema de lo que va a exponer).

Por consiguiente, con la finalidad señalada, y siempre que las normas internas de la Universidad prevean la grabación de los exámenes orales, el tratamiento se encontrará fundamentado en lo previsto en el artículo 6.1.e): el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.”

En este sentido, y siempre que se cuente con el consentimiento del interesado-estudiante, la realización de exámenes orales en línea y su eventual grabación para justificar la evaluación ante posibles reclamaciones, entra dentro de las bases legitimadoras del RGPD -interés público- si bien ha de tener una base legal establecida -LOU y Estatutos de la Universidad.

En el caso de la enseñanza no universitaria, esto debería ampararse, además de en el consentimiento explícito, en acuerdos de Claustro y Consejo Escolar del centro, reflejados en las programaciones didácticas correspondientes e informada tanto la Inspección Educativa en tiempo y forma  como la propia comunidad educativa -alumnos y padres o tutores-, en garantía de sus derechos.

Conclusiones.

En cualquier caso, tanto el tratamiento consistente en la visualización continua del examen y/o en su eventual grabación, como el tratamiento consistente en la visualización/grabación discontinua y aleatoria o la realización de exámenes orales a distancia, deben estar claramente legitimados, tanto en el consentimiento del interesado-estudiante, como en una base de legitimación que explícitamente se aduzca para estas intervenciones.

Esto ha de ser conocido de antemano por parte de los alumnos y/o sus padres o tutores legales, además de estar recogido en acuerdos de Claustro y notificación al Consejo Escolar, e incluido en las programaciones didácticas.

Asimismo, y en relación con el posterior tratamiento de las grabaciones que se pudieran efectuar, se ha de informar claramente a los interesados de los derechos recogidos en el RGPD: acceso, supresión, limitación del tratamiento, posibles perfilados si se realizasen, etc.

Es de notar que la oposición o negativa al tratamiento no puede ser motivo de suspenso o cualquier otra consecuencia negativa, debiendo aplicar la institución educativa otros métodos de evaluación suficientes o buscando métodos de evaluación a distancia menos intrusivos, frente a un examen tradicional -expositivo, de respuesta múltiple, etc.- y su visualización/grabación, máxime cuando en el “contrato[3]” establecido entre la institución y el estudiante no se establecieron estas medidas desde el principio.

Esto no choca con el principio de equidad y no discriminación (art. 14 CE), dado que, si se aplican a todos los estudiantes los mismos criterios de evaluación y de calificación, la sustitución de un examen por otro sistema evaluativo equivalente cumple con estos requisitos.

---

[1] En cuanto a la proporcionalidad, tal y como señala la Sentencia del Tribunal Constitucional 207/1996, se trata de “una exigencia común y constante para la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad, y más en derechos a la integridad física y a la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adoptadas en el curso de un proceso penal viene determinada por la estricta observancia del principio de proporcionalidad.

En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”

[2] Y similar a lo recogido en el RGPD.

[3] Es decir, cualquier relación jurídica entre estudiante e institución, sea pública o privada.

Esta obra está bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 3.0 No portada.