fbpx

FaceApp: tutto quello che non sai

FaceApp viola il GDPR?

Cos’è FaceApp? 

Tutti o quasi tutti hanno utilizzato la “nuova” applicazione FaceApp. Questa app non è nuova come in molti pensano, è stata sviluppata circa due anni fa, e solo recentemente è stata lanciata sui principali store.

FaceApp è una applicazione utilizzabile solo per dispositivi mobili che consente all’utente di simulare un invecchiamento o ringiovanimento della propria immagine, oppure di trasformare la stessa in altro sesso, o di intervenire sul proprio ritratto con modifiche diverse rispetto all’età e al genere, limitandole ad alcuni connotati esteriori.

Il maggior utilizzo si è avuto sulla funzione “invecchiamento”, con un forte impatto mediatico. La curiosità di sapere quale aspetto si avrà da vecchi ha spinto centinaia di migliaia di persone a scaricare l’applicazione per vedere come potrebbe essere il loro volto da anziani.

Chi sono gli sviluppatori della FaceApp.

In molti pensano che l’applicazione sia un plugin di Facebook o di Instagram, in realtà l’applicazione è stata inventata da una società russa di San Pietroburgo, la Wireless Lab, fondata da Yaroslav Goncharov. Recentemente si è appresa la notizie che la società russa è sotto indagine da parte del Garante della Privacy.

FaceApp viola il GDPR?

Prima di rispondere a questa domanda bisogna verificare se in questi casi è applicabile il GDPR.

La risposta è affermativa, il GDPR si applica a questa società e al trattamento effettuato tramite la sua app in virtù dell’art. 2 del Regolamento che prevede “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato”.

Sussistono pochi dubbi sul fatto che vi sia trattamento dei dati personali: l’utente scarica l’applicazione sul proprio telefonino scambiando informazioni personali (tra le quali: la propria identità) con i sistemi del titolare del trattamento, in particolare inviando veri e propri dati biometrici che identificano l’interessato (art. 8 GDPR).

Se si applica il GDPR e c’è trattamento di dati personali, l’utente dovrebbe visualizzare l’informativa (art. 13 GDPR) sul trattamento dei dati personali prima che sia raccolte informazioni che lo riguardano.

Nel caso che riguarda Face App, l’utente dopo aver installato la App fruisce subito delle funzioni senza che gli venga richiesto di accettare i termini e le condizioni d’suo della App, e senza accettare l’informativa sul trattamento dei dati personali.

Dopo varie ricerche su internet potete trovare sul sito di Faceapp i “terms of service” e la “privacy policy”. Una attenta lettura vi porterà a domandarvi: chi è il titolare del trattamento? Come posso contattarlo?

Scorrendo nella lettura noterete che non è menzionato nemmeno il rappresentante del titolare, che nel caso in cui il titolare del trattamento non risiede nella UE ma offre servizi a cittadini dell’Unione (art. 3 e art. 27 GDPR) con accesso a dati personali, è obbligatorio nominarlo.

Non finiscono qui le sorprese. Non basta scoprire che non si conosce l’identità del titolare del trattamento dei dati, che non vi è traccia di un rappresentate del titolare, manca anche la nomina del DPO, e vista la vasta scala di utenti la nomina del DPO è obbligatoria.

Ma se la policy è lacunosa sotto alcuni aspetti, l’informativa sulle finalità del trattamento è completamente vuota, si assiste ad una palese violazione dell’art. 13 comma 1 del GDPR. L’utente non ha alcun riferimento per comprendere su quali basi si fondi il trattamento, neppure indirettamente, né ha alcuno spunto per capire se il titolare stia perseguendo interessi legittimi coerenti con il Regolamento.

Inoltre non stupisce l’assenza di indicazioni chiare sui destinatari dei dati personali:

  • la privacy policy di FaceApp ha una sezione dedicata ai soggetti con cui sono condivisi i dati ma questi sono raggruppati in macro categorie troppo semplificate e che non consentono di comprendere, nemmeno indirettamente, che tipo di attività svolgano in relazione ai dati i soggetti cui gli stessi sono comunicati.
  • il Regolamento prevede la possibilità di individuare i destinatari per categorie, ma impone che l’interessato possa orientarsi autonomamente e comprendere che tipologia di trattamento effettuino tali destinatari.

La conseguenza pressoché inevitabile della lacuna informativa sulle finalità del trattamento è l’omessa indicazione del periodo di conservazione dei dati: non esiste alcuna informazione sul termine ultimo di cancellazione dei dati, che dovrebbe – ai sensi dell’art. 12 GDPR – essere segnalato per ciascuna tipologia di trattamento.

In buona sostanza non si tratta di una “mera” violazione ma di plurime violazioni dei principi di liceità, correttezza, trasparenza (art. 5 e art. 12 GDPR) nonché delle prescrizioni dell’art. 12 e 13 GDPR che lasciano pochi dubbi sul livello di conformità al Regolamento.

Quali sono gli effetti di queste violazioni?

Le lacune e le violazioni esplicitate prima costituiscono una diretta e seria violazione dei diritti dell’utente. Andiamo con ordine.

La privacy policy di FaceApp omette del tutto l’indicazione dei diritti e delle facoltà degli interessati di cui ai punti b) – f) del secondo comma dell’art 13 GDPR, sostanzialmente impedendo all’interessato di conoscere i propri diritti previsti dagli artt. 15 a 22 del Regolamento.

La conseguenza più grave è il diniego di strumenti necessari all’interessato per esercitare i propri diritti:

  • infatti, oltre a non informare gli utenti sui propri diritti, FaceApp non offre loro nemmeno punti di contatto o strumenti pratici per esercitare le facoltà previste a favore dell’interessato nel Regolamento.

Si tratta di una violazione ulteriore rispetto a quella dell’omessa informazione di cui al precedente paragrafo:

  • in questo caso, infatti, si tratta di una violazione specifica dell’art. 11 c. 2 GDPR che impone al titolare di agevolare l’esercizio dei diritti dell’interessato ai sensi degli artt. 15-22 del Regolamento.

Secondo l’ANSA ad oggi, 30 milioni di persone hanno consentito la trasmissione delle informazioni biometriche relative al proprio volto a un soggetto non chiaramente identificato che ha ottenuto, senza alcuno sforzo in materia di compliance GDPR e senza alcuna garanzia per gli interessati, preziosissime informazioni che può utilizzare per creare modelli per riconoscimento facciale, banche dati per analisi e ricerca e commercializzazione di informazioni dal valore inestimabile.

Conclusioni.

Se volete cancellare i dati memorizzati dalla App provate a seguire queste indicazioni:

  • aprite FaceApp, andate in Settings->Support->Report a bug e inviate una richiesta utilizzando la parola Privacy nell’oggetto. Io ho provato ma non ci sono riuscito.

Leggi anche: GDPR: la trasparenza delle nuove regole

Avatar photo
Antonio Valenza

Giurista. Studioso e appassionato di finanza e di economia. Arbitro Federale di pallavolo indoor e di beach volley.

Nessun commento

Lascia un commento

Your email address will not be published.

Il Progresso Magazine Online Logo

 

Associazione culturale “THE PROGRESS 2.0”
Direzione-Redazione-Amministrazione
Via teatro Mercadante, 7
70022 Altamura (Ba)
mail: [email protected]

SEGUICI SU