Faceapp è senza dubbio l’applicazione del momento. Nelle ultime settimane non si è fatto altro che parlare di questa app che permette di “invecchiare” dando in pasto ogni tipo di immagine con un soggetto. Un risultato, quello del filtro per l’invecchiamento, che funziona davvero molto bene grazie all’utilizzo dell’Intelligenza Artificiale. Se l’app funziona quello che non sembra funzionare altrettanto è la difficoltà da parte degli sviluppatori russi di gestire in modo sicuro le foto inserite. Dubbi sulla privacy hanno portato infatti a qualche paura e da qui la volontà di eliminare ogni scatto dato in pasto a FaceApp.
FaceApp tuttavia ha evidentissime criticità per quanto attiene ai dati personali, in particolare presenta evidenti e notevoli deviazioni rispetto a quanto prescritto dal regolamento UE 679/2016 (“GDPR” o “Regolamento”) e una preoccupante mancanza di trasparenza rispetto alle informazioni drenate agli utenti.
Si applica il GDPR?
Gli organi di informazione hanno indicato in una “società russa” la regia dell’operazione FaceApp, aspetto che ha indotto molti a interrogarsi sull’applicabilità del GDPR all’attività di questa società (la Wireless Lab, con sede a San Pietroburgo, che non è indicata quale titolare del trattamento ma solo come destinataria di eventuali reclami nei terms of service della app). La risposta è affermativa, il GDPR si applica a questa società e al trattamento effettuato tramite la sua app in virtù dell’art. 2 del Regolamento che prevede “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato”. Sussistono pochi dubbi sul fatto che vi sia trattamento dei dati personali: l’utente scarica la app sul proprio dispositivo scambiando informazioni personali (relative al dispositivo e alla propria identità) con i sistemi del titolare del trattamento, in particolare inviando veri e propri dati biometrici che identificano l’interessato (art. 8 GDPR). La “società russa”, attraverso il dispositivo dell’utente, effettua una scansione del volto oppure acquisisce un’immagine dalla cartella del dispositivo dell’utente ed elabora profondamente tale immagine presso i propri sistemi extraeuropei per simularne una variante invecchiata, oppure ringiovanita o altrimenti modificata.
È indubbio che tutto questo ricada nel campo di applicazione del GDPR.
Violazione plurima e immediata
Se si applica il GDPR e c’è trattamento di dati personali, l’utente dovrebbe visualizzare l’informativa (art. 13 GDPR) sul trattamento dei dati personali prima che sia raccolte informazioni che lo riguardano. Nel caso di Faceapp, una volta scaricata la app è possibile fruire immediatamente delle sue funzionalità senza passare dalla verifica dei termini e delle condizioni d’uso e senza poter visualizzare l’informativa sul trattamento dei dati personali.
Occorre prodigarsi con una ricerca su internet per trovare sul sito di Faceapp i “terms of service” e la “privacy policy”. Sussiste violazione del Regolamento per il semplice fatto di avere omesso di sottoporre all’interessato l’informativa (privacy policy) prima che lo stesso invii informazioni personali, tuttavia, anche se fosse stata comunicata correttamente, la privacy policy di FaceApp è totalmente inidonea a soddisfare in requisiti del GDPR.
In primo luogo, è impossibile comprendere chi sia il titolare del trattamento, dove si trovi e come contattarlo per informazioni relative al trattamento dei dati personali.
Non vi è menzione del rappresentante del titolare, che pure dovrebbe essere designato se consideriamo che il titolare del trattamento non risiede nella UE ma offre servizi (tramite la app) a cittadini dell’Unione (art. 3 (2) GDPR; art. 27 GDPR) che comportano trattamento di dati personali su larga scala.
Neppure vi è menzione di un responsabile della protezione dei dati (DPO) che dovrebbe invece essere nominato, visto che FaceApp tratta su larga scala categorie particolari di dati personali, ossia i dati biometrici degli interessati (in questo caso, come in quello del rappresentante, la violazione sussisterebbe sia per la mancata menzione del responsabile sia per la mancata nomina, che dovremmo dare per scontata vista la mancata menzione nell’informativa).
Le finalità del trattamento sono indicate in maniera incompleta, imprecisa e poco trasparente. Nella sezione “How we use your information” delle privacy policy di Faceapp si dice “in addition to some of the specific uses of information we describe in this privacy policy” senza tuttavia individuare quali sarebbero le altre sezioni dell’informativa che includerebbero tale descrizione (consultandola l’esito è negativo, non si trovano altre finalità, a dirla tutta). Le finalità esplicitate in questa sezione sono troppo poco granulari e non trasparenti: ci sono diversi riferimenti a trattamenti presentati come necessari e puramente tecnici mentre l’informativa è del tutto evasiva sul trattamento del dato biometrico e assolutamente vaga sulla profilazione.
Se la policy è lacunosa quanto alle finalità del trattamento, è assolutamente vuota per quanto riguarda le basi giuridiche (art. 13, comma 1) che sorreggono tali finalità. L’utente non ha alcun riferimento per comprendere su quali basi si fondi il trattamento, neppure indirettamente, né ha alcuno spunto per capire se il titolare stia perseguendo interessi legittimi coerenti con il Regolamento.
Altro aspetto macroscopicamente distonico con i requisiti del Regolamento è il trasferimento delle informazioni personali al di fuori dell’Unione Europea. Come anticipato, i dati sono certamente trasferiti verso i sistemi del titolare del trattamento poiché i dispositivi individuali degli utenti non sono in grado di effettuare le complesse e dispendiose operazioni necessarie a trasformare le immagini in modo così sofisticato. Sulla base delle scarne informazioni disponibili sul sito è ragionevole sostenere (e già questa forma dubitativa rivela l’inadeguatezza delle informazioni da parte del titolare) che i dati siano trasferiti in Russia. È fin troppo evidente, consultando la privacy policy di Faceapp, che nemmeno le prescrizioni del punto f) dell’art. 13 del Regolamento sono state rispettate: non viene esplicitata l’intenzione di trasferire i dati verso paesi terzi e non sono nemmeno indicate le garanzie e gli accorgimenti necessari per rispettare i principi previsti dagli artt. richiesti dagli artt. 44-49 GDPR.
In un quadro di questo tipo non stupisce l’assenza di indicazioni chiare sui destinatari dei dati personali: la privacy policy di Faceapp ha una sezione dedicata ai soggetti con cui sono condivisi di dati ma questi sono raggruppati in macro categorie troppo semplificate e che non consentono di comprendere, nemmeno indirettamente, che tipo di attività svolgano in relazione ai dati i soggetti cui gli stessi sono comunicati. Il Regolamento consente di individuare i destinatari per categorie, sul presupposto però che tale indicazione consenta all’interessato di orientarsi autonomamente e comprendere che tipologia di trattamento effettuino tali destinatari e nell’ambito di quali finalità. Abbiamo però anticipato nei precedenti paragrafi che la privacy policy di Faceapp è priva di indicazione sulle finalità del trattamento e il che rende impossibile risalire all’effettiva tipologia di destinatari coinvolti e soprattutto sulla tipologia di trattamento loro assegnato.
Conseguenza pressoché inevitabile della lacuna informativa sulle finalità del trattamento è l’omessa indicazione del periodo di conservazione dei dati: non esiste alcuna informazione sul termine ultimo di cancellazione dei dati, che dovrebbe – ai sensi dell’art. 12 GDPR – essere segnalato per ciascuna tipologia di trattamento.
Si tratta di plurime violazioni dei principi di liceità, correttezza, trasparenza (art. 5 e art. 12 GDPR) nonché delle prescrizioni dell’art. 12 e 13 GDPR che lasciano pochi dubbi sul livello di conformità al Regolamento.
Diritti negati
Le gravi lacune nell’informativa non comportano però solo una violazione dei principi di trasparenza e corretta informazione all’interessato ma costituiscono una diretta e seria violazione dei diritti di quest’ultimo.
Infatti, la privacy policy di Faceapp omette del tutto l’indicazione dei diritti e delle facoltà degli interessati di cui ai punti b)-f) del secondo comma dell’art 13 GDPR, sostanzialmente impedendo all’interessato di conoscere i propri diritti previsti dagli artt. 15 a 22 del Regolamento.
Tuttavia, ciò che è più grave, probabilmente, è il diniego di strumenti necessari all’interessato per esercitare i propri diritti: infatti, oltre a non informare gli utenti sui propri diritti, Faceapp non offre loro nemmeno punti di contatto o strumenti pratici per esercitare le facoltà previste a favore dell’interessato nel Regolamento. Si tratta di una violazione ulteriore rispetto a quella dell’omessa informazione di cui al precedente paragrafo: in questo caso, infatti, si tratta di una violazione specifica dell’art. 11 c. 2 GDPR che impone al titolare di agevolare l’esercizio dei diritti dell’interessato ai sensi degli artt. 15-22 del Regolamento.
