Pochi esempi riescono a spiegare il concetto di “viralità” così bene come FaceApp: creata due anni fa e usata in sordina per mesi, da poche settimane – complice anche l’uso e la condivisione su instagram di diversi calciatori e altre social media personalities – è diventata fenomeno di massa con una penetrazione sociale enorme. Per i pochi che ancora non la conoscono: FaceApp è una applicazione per dispositivi mobili che consente all’utente di generare una simulazione della propria immagine invecchiata, oppure ringiovanita, oppure trasformata in altro sesso, o di intervenire sul proprio ritratto con modifiche diverse rispetto all’età e al genere, limitandole ad alcuni connotati esteriori. L’impatto mediatico più forte, tra le tante varianti, l’ha avuta la funzione che consente di “invecchiare” l’immagine dell’utente, aspetto che incuriosisce evidentemente più di altri e che ha indotto centinaia di migliaia di persone a scaricare l’app per vedere come potrebbe essere il loro volto da settantenni.
FaceApp tuttavia ha evidentissime criticità per quanto attiene ai dati personali, in particolare presenta evidenti e notevoli deviazioni rispetto a quanto prescritto dal regolamento UE 679/2016 (“GDPR” o “Regolamento”) e una preoccupante mancanza di trasparenza rispetto alle informazioni drenate agli utenti.
Si applica il GDPR?
Gli organi di informazione hanno indicato in una “società russa” la regia dell’operazione FaceApp, aspetto che ha indotto molti a interrogarsi sull’applicabilità del GDPR all’attività di questa società (la Wireless Lab, con sede a San Pietroburgo, che non è indicata quale titolare del trattamento ma solo come destinataria di eventuali reclami nei terms of service della app). La risposta è affermativa, il GDPR si applica a questa società e al trattamento effettuato tramite la sua app in virtù dell’art. 2 del Regolamento che prevede “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato”. Sussistono pochi dubbi sul fatto che vi sia trattamento dei dati personali: l’utente scarica la app sul proprio dispositivo scambiando informazioni personali (relative al dispositivo e alla propria identità) con i sistemi del titolare del trattamento, in particolare inviando veri e propri dati biometrici che identificano l’interessato (art. 8 GDPR). La “società russa”, attraverso il dispositivo dell’utente, effettua una scansione del volto oppure acquisisce un’immagine dalla cartella del dispositivo dell’utente ed elabora profondamente tale immagine presso i propri sistemi extraeuropei per simularne una variante invecchiata, oppure ringiovanita o altrimenti modificata.
È indubbio che tutto questo ricada nel campo di applicazione del GDPR.
Violazione plurima e immediata
Se si applica il GDPR e c’è trattamento di dati personali, l’utente dovrebbe visualizzare l’informativa (art. 13 GDPR) sul trattamento dei dati personali prima che sia raccolte informazioni che lo riguardano. Nel caso di Faceapp, una volta scaricata la app è possibile fruire immediatamente delle sue funzionalità senza passare dalla verifica dei termini e delle condizioni d’uso e senza poter visualizzare l’informativa sul trattamento dei dati personali. Occorre prodigarsi con una ricerca su internet per trovare sul sito di Faceapp i “terms of service” e la “privacy policy”. Sussiste violazione del Regolamento per il semplice fatto di avere omesso di sottoporre all’interessato l’informativa (privacy policy) prima che lo stesso invii informazioni personali, tuttavia, anche se fosse stata comunicata correttamente, la privacy policy di FaceApp è totalmente inidonea a soddisfare in requisiti del GDPR.
In primo luogo, è impossibile comprendere chi sia il titolare del trattamento, dove si trovi e come contattarlo per informazioni relative al trattamento dei dati personali.
Non vi è menzione del rappresentante del titolare, che pure dovrebbe essere designato se consideriamo che il titolare del trattamento non risiede nella UE ma offre servizi (tramite la app) a cittadini dell’Unione (art. 3 (2) GDPR; art. 27 GDPR) che comportano trattamento di dati personali su larga scala.
Neppure vi è menzione di un responsabile della protezione dei dati (DPO) che dovrebbe invece essere nominato, visto che FaceApp tratta su larga scala categorie particolari di dati personali, ossia i dati biometrici degli interessati (in questo caso, come in quello del rappresentante, la violazione sussisterebbe sia per la mancata menzione del responsabile sia per la mancata nomina, che dovremmo dare per scontata vista la mancata menzione nell’informativa).
Le finalità del trattamento sono indicate in maniera incompleta, imprecisa e poco trasparente. Nella sezione “How we use your information” delle privacy policy di Faceapp si dice “in addition to some of the specific uses of information we describe in this privacy policy” senza tuttavia individuare quali sarebbero le altre sezioni dell’informativa che includerebbero tale descrizione (consultandola l’esito è negativo, non si trovano altre finalità, a dirla tutta). Le finalità esplicitate in questa sezione sono troppo poco granulari e non trasparenti: ci sono diversi riferimenti a trattamenti presentati come necessari e puramente tecnici mentre l’informativa è del tutto evasiva sul trattamento del dato biometrico e assolutamente vaga sulla profilazione.
Se la policy è lacunosa quanto alle finalità del trattamento, è assolutamente vuota per quanto riguarda le basi giuridiche (art. 13, comma 1) che sorreggono tali finalità. L’utente non ha alcun riferimento per comprendere su quali basi si fondi il trattamento, neppure indirettamente, né ha alcuno spunto per capire se il titolare stia perseguendo interessi legittimi coerenti con il Regolamento.
Altro aspetto macroscopicamente distonico con i requisiti del Regolamento è il trasferimento delle informazioni personali al di fuori dell’Unione Europea. Come anticipato, i dati sono certamente trasferiti verso i sistemi del titolare del trattamento poiché i dispositivi individuali degli utenti non sono in grado di effettuare le complesse e dispendiose operazioni necessarie a trasformare le immagini in modo così sofisticato. Sulla base delle scarne informazioni disponibili sul sito è ragionevole sostenere (e già questa forma dubitativa rivela l’inadeguatezza delle informazioni da parte del titolare) che i dati siano trasferiti in Russia. È fin troppo evidente, consultando la privacy policy di Faceapp, che nemmeno le prescrizioni del punto f) dell’art. 13 del Regolamento sono state rispettate: non viene esplicitata l’intenzione di trasferire i dati verso paesi terzi e non sono nemmeno indicate le garanzie e gli accorgimenti necessari per rispettare i principi previsti dagli artt. richiesti dagli artt. 44-49 GDPR.
In un quadro di questo tipo non stupisce l’assenza di indicazioni chiare sui destinatari dei dati personali: la privacy policy di Faceapp ha una sezione dedicata ai soggetti con cui sono condivisi di dati ma questi sono raggruppati in macro categorie troppo semplificate e che non consentono di comprendere, nemmeno indirettamente, che tipo di attività svolgano in relazione ai dati i soggetti cui gli stessi sono comunicati. Il Regolamento consente di individuare i destinatari per categorie, sul presupposto però che tale indicazione consenta all’interessato di orientarsi autonomamente e comprendere che tipologia di trattamento effettuino tali destinatari e nell’ambito di quali finalità. Abbiamo però anticipato nei precedenti paragrafi che la privacy policy di Faceapp è priva di indicazione sulle finalità del trattamento e il che rende impossibile risalire all’effettiva tipologia di destinatari coinvolti e soprattutto sulla tipologia di trattamento loro assegnato.
Conseguenza pressoché inevitabile della lacuna informativa sulle finalità del trattamento è l’omessa indicazione del periodo di conservazione dei dati: non esiste alcuna informazione sul termine ultimo di cancellazione dei dati, che dovrebbe – ai sensi dell’art. 12 GDPR – essere segnalato per ciascuna tipologia di trattamento.
Si tratta di plurime violazioni dei principi di liceità, correttezza, trasparenza (art. 5 e art. 12 GDPR) nonché delle prescrizioni dell’art. 12 e 13 GDPR che lasciano pochi dubbi sul livello di conformità al Regolamento.
Diritti negati
Le gravi lacune nell’informativa non comportano però solo una violazione dei principi di trasparenza e corretta informazione all’interessato ma costituiscono una diretta e seria violazione dei diritti di quest’ultimo.
Infatti, la privacy policy di Faceapp omette del tutto l’indicazione dei diritti e delle facoltà degli interessati di cui ai punti b)-f) del secondo comma dell’art 13 GDPR, sostanzialmente impedendo all’interessato di conoscere i propri diritti previsti dagli artt. 15 a 22 del Regolamento.
Tuttavia, ciò che è più grave, probabilmente, è il diniego di strumenti necessari all’interessato per esercitare i propri diritti: infatti, oltre a non informare gli utenti sui propri diritti, Faceapp non offre loro nemmeno punti di contatto o strumenti pratici per esercitare le facoltà previste a favore dell’interessato nel Regolamento. Si tratta di una violazione ulteriore rispetto a quella dell’omessa informazione di cui al precedente paragrafo: in questo caso, infatti, si tratta di una violazione specifica dell’art. 11 c. 2 GDPR che impone al titolare di agevolare l’esercizio dei diritti dell’interessato ai sensi degli artt. 15-22 del Regolamento.
Quello che non vediamo
Rilevando l’ennesima lacuna informativa possiamo anche intuire le potenziali criticità che stanno dietro al front end. L’art. 13 del Regolamento, al comma 3, prevede che “qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2”. Ovviamente non c’è nulla di tutto questo nella privacy policy di Faceapp, e anche in questo caso si tratta di una inevitabile conseguenza dell’omessa informazione sulle finalità del trattamento: non comunicando per quale scopo principale sono trattati i dati degli utenti è impossibile spiegare quali possono essere i trattamenti ulteriori rispetto alle finalità per cui i dati erano stati originariamente coinvolti.
Questo aspetto provoca una domanda che ha verosimilmente turbato molti: cosa fa Faceapp con i dati biometrici che raccoglie? Oltre a consentire agli utenti di creare una diversa versione del proprio ritratto, come utilizza l’enorme massa di informazioni raccolte? Considerando la lunga serie di violazioni facilmente riscontrabile leggendo la privacy policy è lecito domandarsi cosa possa celarsi nella filiera di trattamento sottratta al controllo di interessati e autorità di controllo.
Ad oggi, milioni di persone (30 milioni nel solo mese di luglio secondo l’ANSA) hanno consentito la trasmissione delle informazioni biometriche relative al proprio volto (ossia quelle con il massimo grado di identificabilità) a un soggetto non chiaramente identificato che ha ottenuto, senza alcuno sforzo in materia di compliance GDPR e senza alcuna garanzia per gli interessati, preziosissime informazioni che può utilizzare per creare modelli per riconoscimento facciale, banche dati per analisi e ricerca e commercializzazione di informazioni (aggregate e non), dal valore inestimabile. Tuttavia, non è solo e non tanto il valore delle informazioni drenate illecitamente a inquietare, quanto piuttosto i rischi e i pericoli per gli interessati derivanti da questa colossale scansione di massa che sembra non avere fine, da un lato per l’irrefrenabile e irresponsabile frenesia degli utenti e dall’altro per l’inerzia delle autorità di fronte a tali violazioni.
Fonte Altalex