Ya sea porque vas a empezar un máster online o porque este año tienes una clase a distancia: la vuelta al cole trae consigo el regreso del proctoring, los sistemas que se utilizan para supervisar exámenes en línea con el fin de evitar que los alumnos copien o incurran en comportamientos indebidos.
Existen sistemas automatizados de proctoring que utilizan inteligencia artificial (IA) para recoger y tratar datos biométricos y, con ellos, analizar el comportamiento de los estudiantes mientras realizan un examen virtual. Estos datos son sensibles e irremplazables, ya que pueden utilizarse para identificarnos de forma inequívoca y no pueden modificarse. Si caen en las manos equivocadas, pueden poner en peligro nuestros derechos fundamentales y utilizarse para la suplantación de nuestra identidad, entre otras cosas.
Estos sistemas son legales pero, debido a los riesgos que suponen, el Reglamento General de Protección de Datos (RGPD) prohíbe el tratamiento de los datos biométricos que hacen a menos que se cuente con el consentimiento informado de las personas. A nivel europeo, la Ley de IA o AI Act de la Unión Europea también busca poner límites a su uso y califica estos sistemas como de alto riesgo. Por lo mismo, deben cumplir con una serie de salvaguardias y obligaciones para limitar su impacto en los derechos fundamentales de las personas, y su incumplimiento puede traducirse en multas de millones de euros.
Algunos sistemas de proctoring utilizan IA para recolectar y tratar datos biométricos con el fin de analizar el comportamiento de los estudiantes
El proctoring se refiere a los sistemas de vigilancia que suelen utilizarse en evaluaciones online para supervisar a los estudiantes mientras realizan una prueba y asegurarse de que no copien o incurran en comportamientos indebidos, algo que se volvió una necesidad durante la pandemia de la COVID-19 pero que sigue usándose hoy en día. Se puede hacer en vivo con un supervisor humano, de forma automatizada con ayuda de softwares y de manera grabada gracias al análisis a posteriori del vídeo.
Algunos pueden apoyarse en IA para su funcionamiento. Por ejemplo, los sistemas automatizados son aplicaciones que se instalan en los ordenadores de los alumnos y utilizan algoritmos de inteligencia artificial para analizar fotos o vídeos capturados por una cámara web.
Esto lo hacen a través del reconocimiento facial, la detección de movimientos, el análisis de sonido y la monitorización de la actividad en el ordenador. Su objetivo es detectar comportamientos inusuales, como que el participante mire hacia distintos lados constantemente, haya personas alrededor de él o intente ingresar a otras páginas web, según la investigación académica ‘The role of explainable AI in the context of the AI Act’ publicada en la revista FAcct ‘23: Proceedings of the 2023 ACM Conference on Fairness, Accountability, and Transparency.
Durante el proceso, se recolectan y tratan datos biométricos, los rasgos físicos y de comportamiento que pueden utilizarse para identificarnos de forma inequívoca y no pueden modificarse (lo explicamos aquí). Además, se detectan emociones, las cuáles se consideran un dato personal.
El tratamiento de datos biométricos puede poner en riesgo los derechos fundamentales de las personas y facilitar la obtención de otros datos personales y la suplantación de identidad
¿Por qué debería preocuparnos el tratamiento de nuestra información? “Los datos biométricos se pueden tratar de forma masiva y pueden sacar mucha más información de lo que se piensa. Ejercen un gran poder de control sobre las personas”, detalló a Maldita.es Luis de Salvador, director de la División de Innovación Tecnológica de la Agencia Española de Protección de Datos (AEPD).
La mala gestión de estos sistemas puede tener implicaciones negativas para las personas. Por ejemplo, si se filtran los datos biométricos a criminales estos pueden utilizarse para la suplantación de identidad. Según De Salvador, estas filtraciones pueden tener riesgos para los derechos fundamentales, ya que si perdemos el control sobre nuestros datos biométricos, perdemos el control sobre nuestra identidad. Como consecuencia, esto podría restringir nuestro derecho a la circulación o a la libertad de expresión.
El uso incorrecto de estos datos también puede implicar nuevas formas de discriminación, ya que los datos biométricos permiten la categorización automática de las personas, con los consiguientes sesgos, un peligro del que han advertido organismos como Amnistía Internacional. “No sólo hay que analizar los riesgos para el individuo, sino los peligros a nivel social”, sostiene el experto.
El RGPD obliga a tener el consentimiento informado de las personas para tratar sus datos y la Ley de IA impone salvaguardias a este tipo de sistemas de alto riesgo
Debido a los peligros que supone, el Reglamento General de Protección de Datos (RGPD) prohíbe el tratamiento de datos biométricos por norma general, salvo el consentimiento explícito del interesado, es decir, que cedamos esta información de forma voluntaria (artículo 9).
Para que el consentimiento sea válido, la AEPD incide en que tiene que ser una decisión informada: se nos tiene que avisar qué datos se va a recoger, para qué se van a utilizar y quién es el responsable de su tratamiento. Además, la empresa debe justificar el uso de estos datos biométricos y explicar por qué no se puede utilizar otra alternativa menos invasiva. Ojo, los menores de 14 años necesitan una autorización de un adulto para poder ceder esta información.
Si, por ejemplo, cedemos nuestros datos para poder dar un examen de forma remota con proctoring automatizado y luego nos arrepentimos, tenemos derecho a revocar el consentimiento, oponernos a su tratamiento o solicitar su eliminación, según el RGPD. Para hacerlo, tendremos que dirigirnos al responsable del tratamiento de estos datos, designado en la política de privacidad de cada compañía o centro, pidiendo la retirada de esta información. Aquí te lo explicamos.
La Ley de IA de la Unión Europea también busca regular el uso de estas tecnologías. Como abordamos en este artículo, los sistemas que utilizan datos biométricos son calificados según el riesgo que suponen para los derechos fundamentales de las personas. En el Anexo III, apartado 3.d, se califica como de alto riesgo a los sistemas de IA utilizados para el seguimiento y la detección de comportamientos prohibidos a los estudiantes durante exámenes en centros educativos y de formación profesional.
Esto significa que consideran que los sistemas de proctoring que utilizan IA tienen un gran potencial de dañar los derechos fundamentales, seguridad y salud, pero que puede mitigarse con la implementación de salvaguardias como la gestión de riesgos, la gobernanza de datos y la gestión de calidad, además de evaluaciones de impacto sobre los derechos fundamentales.
Las obligaciones a los sistemas de alto riesgo en la Ley de IA comenzarán a aplicarse el 2 de agosto de 2026. Si se incumplen desde ese momento, los proveedores podrán enfrentarse multas de hasta 15 millones de euros o, si el infractor es una empresa, de hasta el 3% de su facturación anual mundial.