Chiunque possieda un account social avrà notato, negli ultimi giorni, una certa quantità di amici invecchiati in bacheca.
Non si tratta di un repentino ed inspiegabile invecchiamento della popolazione: il responsabile è un azienda russa, la Wireless Lab OOO, proprietaria e sviluppatrice di FaceApp (App che ha portato alla compagnia russa circa 300 milioni di dollari di introiti).
Si tratta di una applicazione gratuita e liberamente scaricabile sui nostri smartphone e che è in grado di applicare una serie di filtri alle nostre foto, il più utilizzato dei quali sembrerebbe proprio essere il filtro “invecchiante”
In tutto questo fiorire di selfie di nonnini, però, la società russa non è stata per nulla chiara in materia di tutela dei dati personali degli utenti.
Come vengono trattate le foto che modifichiamo.
Per comprendere il ciclo di vita che i nostri selfie modificati compiono è necessario fare alcune considerazioni per punti:
1. Una simile elaborazione non può essere in nessun modo compiuta unicamente grazie alla limitata potenza di calcolo dei nostri smartphone, pertanto il selfie che la App ci restituisce deve essere per forza di cose passato dai server dell’azienda russa, elaborato dai computer di questa e nuovamente inviato al nostro dispositivo.
2. Posta questa premessa la prima domanda dell’utente sarà “per quanto tempo la mia immagine resterà in questi server?”, la risposta non è molto rassicurante: l’azienda non si cura minimamente di definire un periodo di conservazione dei dati, potenzialmente, quindi, le immagini che ci raffigurano verranno stoccate nei server per un periodo indefinito.
3. A questo punto l’utente si chiederà “e dove si trovano le mie immagini?” i produttori della app si limitano a dichiarare, nella privacy policy, quanto segue: “potranno essere archiviati e lavorati negli Stati Uniti o in qualsiasi altro paese in cui Faceapp, i suoi affiliati o i fornitori del servizio possiedono le infrastrutture”. FaceApp, su GooglePlay, sostiene di avere la propria base negli Stati Uniti, il che tendenzialmente potrebbe risultare consolante data la presenza dell’accordo PrivacyShield che garantisce la liceità, nonché la sicurezza, dei trasferimenti i dati personali verso gli Stati Uniti. Tuttavia, l’indirizzo indicato da FaceApp è collegabile ad una società immobiliare americana, che offre “uffici virtuali” alle aziende straniere che nella sostanza avranno la disponibilità di una casella di posta elettronica in territorio USA e di un indirizzo da indicare come base. Parrebbe di conseguenza improbabile che la compagnia possieda effettivamente delle infrastrutture informatiche in grado di garantire il funzionamento della App all’indirizzo indicato, ad oggi non è di conseguenza certo il luogo fisico nel quale le informazioni degli utenti vengono conservate ed elaborate.
Ma FaceApp deve rispettare il GDPR?
Sempre impersonando un’utente della App, questo si chiederà se il comportamento della società russa sia conforme a legge.
Probabilmente l’utente penserà di dover esaminare la normativa russa o americana, non reputando il GDPR, norma europea, applicabile ad una App con sede (seppur probabilmente fittizia) in USA o ad una società con sede in Russia.
Tuttavia, in qualsivoglia luogo si desideri posizionare l’attività della App, questa dovrebbe adeguarsi integralmente al GDPR.
Questo in quanto Il GDPR prevede una efficacia territoriale abbastanza particolare, al suo art. 3 infatti prevede che il regolamento si applichi anche a quei titolari del trattamento che, pur essendo stabiliti al di fuori dell’Unione Europea, trattino dati di soggetti che si trovano all’interno del territorio comunitario, purché il trattamento riguardi la fornitura di beni o servizi o monitori il comportamento dei soggetti coinvolti.
Posta quindi l’applicabilità della normativa europea al caso di specie, ci chiediamo se questa sia effettivamente rispettata, e la risposta è assolutamente negativa, per fare qualche esempio:
• Non viene definito un tempo di conservazione dei dati trattati.
• L’informativa non è assolutamente chiara in merito al luogo nel quale i dati si trovano.
• Non è chiaro per l’utente quali dati vengono condivisi con gli altri soggetti affiliati e quali siano effettivamente tali soggetti.
• Il principio di minimizzazione dei dati è, con ogni probabilità, infranto per le motivazioni di cui al prossimo paragrafo
Ma quali dati vengono trattati dalla APP?
Si potrebbe pensare che l’unico dato elaborato da FaceApp sia il singolo selfie che abbiamo invecchiato, ma non è così, la App raccoglie e tratta tutta una serie di ulteriori dati personali:
• Il software, infatti, ha accesso ha tutti i file multimediali presenti nel nostro account WhatsApp
• Raccoglie informazioni sulla nostra navigazione internet, iniettando nel nostro dispositivo sistemi in grado di verificare le pagine web che abbiamo visitato.
• E’ in grado di localizzare l’utente.
Tutti questi dati, assolutamente non necessari per la realizzazione del servizio richiesto dall’utente, dovrebbero avvenire sulla base del consenso di questo, ma non è assolutamente possibile rifiutare la raccolta di tali informazioni.
La compagnia, inoltre e in aperto contrasto rispetto ai diritti dell’interessato previsti dal GDPR, sostiene che le uniche immagini a poter essere rimosse siano quelle dei minor di anni 13 la cui raccolta sia avvenuta senza il consenso dei genitori.
La raccolta di immagini e la modifica di queste, va aggiunto, legittima il sospetto che la compagnia ne ricavi alcuni dati biometrici dell’utente, in assenza di quel consenso specifico e informato che la normativa in vigore richiederebbe.
La sensazione, in conclusione, è che tramite una app così popolare l’intenzione del gruppo sia quella di costruire un ricchissimo dataset strutturato da piazzare sul mercato, la certezza, invece, è che il trattamento e l’invasività di questo vada ben oltre alla modifica di un selfie da pubblicare sui social.
Le risposte degli sviluppatori
Le risposte che i proprietari della App hanno fornito tramite un comunicato sono in parte rassicuranti, ma non sufficienti a sollevare l’azienda dalle falle informative del loro sistema.
1. FaceApp eseguirebbe l’elaborazione della foto su server in cloud (forniti da Google e Amazon) caricando però solo l’immagine prescelta dall’utente.
2. Il tempo di conservazione delle foto sul server è in genere di 48 ore
3. Sarebbe possibile richiedere la cancellazione dei dati, al momento le difficoltà nel farlo sarebbero legate ad un sovraccarico dei server.
4. La App non richiede un login per essere utilizzata e pertanto FaceApp non avrebbe accesso ai dati identificativi dell’utente a meno che questo non si registri
5. Non ci sarebbe alcuna condivisione di dati con soggetti terzi.
6. L’azienda nega che vi sia trasferimento di dati in Russia.
Il comunicato dell’azienda, per certi versi ed in parte rende meno drammatica la situazione per gli utenti, ma lascia aperte alcune questioni, in particolare in relazione alle informazioni da fornire all’utente (obbligo che non può dirsi assolto attraverso un comunicato stampa) e alla nomina di un rappresentante presso l’Unione Europea, obbligatoria per i soggetti non stabiliti nel territorio comunitario, che funga da punto di contatto per gli interessati Europei.