La CNPD ha evaluado muy críticamente el instrumento “Respondus” para el control de la evaluación a distancia de los estudiantes de la instrucción superior, concluyendo que podría violar el GDPR.
En la Decisión n. 2021/662, la CNPD ha analizado dos aplicaciones para la vigilancia a distancia de los estudiantes durante las pruebas de evaluación, “el Browser Lockdown” y “Respondus Monitor” después de una queja sobre el uso de este software al momento de la sesión de exámenes que está empezando.
La CNPD ha considerado que durante una sesión de examen se procesa automáticamente una amplia variedad de datos personales, desde la registración permanente del estudiante mediante la webcam, incluida la posibilidad de registrar el sonido, utilizando técnicas de análisis video combinadas con esquemas biométricos que permiten el control del comportamiento del estudiante, basado sobre la detección facial y sobre los movimientos, así como sobre las interacciones con el ordenador mediante movimientos de teclado y ratón, medición de los tiempos de respuesta a cada solicitud, etc.
Los estudiantes tienen que descargar estas aplicaciones para realizar los exámenes, y además se prevé que la sociedad Respondus Inc recoge campeones de las registraciones audio/video para propios fines, sin obtener el consentimiento de los estudiantes.
Además, los datos personales son acogidos en los Estados Unidos en los servers de Amazon, en base a las cláusulas contractuales estándares, sin la adopción de medidas adicionales para garantizar un nivel de protección sustancialmente equivalente a lo garantizado en la Unión.
La CNPD ha avisado el responsable del tratamiento que el tratamiento de datos planificado riesgo de violar los principios de licitud, lealtad y transparencia, minimización de datos y proporcionalidad. Para lo que se refiere a los datos recogidos al mismo tiempo en el ámbito de la experimentación anticipada de las aplicaciones Respondus, se ha ordenado la cancelación.