Faceapp e privacy: perché è scoppiata la bomba privacy?

Faceapp e privacy: perché è scoppiata la bomba privacy?

In queste settimane sta impazzando sui social la FaceApp Challenge, la moda delle foto “invecchiate”, anche i VIP e le celebrity non riescono a farne a meno.
Queste foto vengono create attraverso l’utilizzo dell’app “FaceApp” (disponibile sia per Android che per iOS).
Oggi facciamo un approfondimento su quest’app, che è già stata scaricata da 80 milioni di persone, per capire se e quali criticità nasconde per quanto riguarda la protezione dei dati personali.

Cosa fa FaceApp?

Tramite quest’app, puoi caricare una fotografia (tua o di chiunque altro, in realtà) e, tra le tante altre funzioni, è possibile anche applicare un filtro per “invecchiare” il soggetto della foto, motivo che ha dato la spinta ai download dell’app in quest’ultimo periodo, anche se l’app era già disponibile da gennaio 2017.
Il risultato che si ottiene sulla foto “invecchiata” è davvero realistico.

Faceapp e privacy: perché è scoppiata la bomba privacy?

• Dove ha sede la società di FaceApp?
Non è chiaro.
L’app è sviluppata dalla società russa “Wireless Lab 000”, con sede a San Pietroburgo.
Ma, su Google Play, indica come riferimenti di contatto un indirizzo negli Stati Uniti.

E a quell’esatto indirizzo corrisponde una sede della società immobiliare Regus, che offre “uffici virtuali” per aziende straniere che desiderano avere una sede in USA.
Se i server dove vengono elaborate le foto fossero negli Stati Uniti, ci si aspetterebbe che la società aderisse al Privacy Shield per il trattamento dei dati personali dei cittadini Europei, ma non risulta presente nell’elenco delle aziende aderenti. Questo significa che non c’è garanzia per i cittadini europei che avessero reclami da fare in merito al trattamento dei loro dati personali.

• Come tratta i tuoi dati personali FaceApp?
L’informativa privacy (visibile all’indirizzo: https://www.faceapp.com/privacy) è fumosa e poco chiara. Ad oggi, l’ultimo aggiornamento della privacy policy è del 20 gennaio 2017 (prima che il GDPR diventasse attuativo), e non indica tutte le informazioni previste dal GDPR per quanto riguarda l’informativa privacy.

Innanzitutto non è chiaro dove vanno a finire i dati personali e le foto che gli utenti caricano tramite FaceApp, e per quanto tempo vengano conservati.
Ci sono state supposizioni sul fatto che tutti i dati personali (foto comprese) vengano memorizzate nei server russi dell’azienda per un tempo indefinito.
La privacy policy del sito dell’app, infatti, non dichiara i tempi di conservazione.

Inoltre indicano che potrebbero condividere i contenuti dell’utente e le sue informazioni con non meglio specificate società del gruppo o “affiliati”.

L’unico riferimento che fanno ai cittadini Europei è questo (e non è dei più rassicuranti):

“Se sei nell’Unione Europea, o altre zone con legislazioni sul trattamento dei dati personali che possono essere diversi dalla normativa degli Stati Uniti, per favore nota che potremmo trasferire informazioni, incluse informazioni personali, verso un Paese o una Giurisdizione che non ha le stesse normative sui dati personali della tua giurisdizione.”

Tutto questo è in conflitto con l’articolo 3 del GDPR, che prevede l’applicazione del GDPR anche a società non presenti in Unione Europea, ma che trattano dati personali di cittadini europei, nei casi qui di seguito specificati.

Inoltre, non è richiesto il consenso libero, specifico ed esplicito al trattamento dei dati personali. Wired riporta: “Poiché vi è con tutta probabilità anche un trattamento di dati biometrici, occorrerebbe il consenso libero, specifico e esplicito – osserva Gallus. In altre parole, mi devono essere esposte in maniera chiara e puntuale le finalità del trattamento, e io devo acconsentire in maniera esplicita. Ho provato a installare la app, e non solo non chiede alcun consenso, ma non sottopone, all’installazione, alcuna privacy policy. L’unico “consenso” che chiede, una volta installata, è quello tecnico, per accedere alle immagini e alla fotocamera. Ma questo non è affatto un consenso esplicito, meno che mai idoneo per gli (eventuali) trattamenti di dati biometrici”.

La replica di FaceApp

In una nota pubblicata su TechCrunch, FaceApp replica alle controversie emerse sulla privacy, indicando:
– che la maggior parte delle foto sono cancellate dai loro server entro 48 ore dal caricamento
– che accettano richieste di rimozioni dei dati dai loro server
– che il 99% dei suoi utenti non utilizza la funzione di Login, e quindi “non hanno accesso a dati che potrebbero identificare una persona”
– che non vendono o condividono dati personali con terze parti
– anche se il team di sviluppo dell’app è in Russia, i dati personali degli utenti non vengono trasferiti in Russia
– che le foto che vengono caricate sui loro server sono solo quelle che l’utente seleziona (non vengono caricate tutte le foto presenti nella galleria del telefono di un utente).

Noi, non sapendo con precisione che fine fanno i nostri dati, dove e per quanto tempo esattamente vengono conservati, non abbiamo utilizzato FaceApp 😉



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.