FaceApp sta facendo il botto in questi giorni con il fenomeno della “FaceApp Challenge” che, senza dubbio, è simpatico da vedere. Ma quest’app, in realtà, tra un selfie e un altro sta violando la privacy di tutti in silenzio. L’uso che FaceApp fa dei dati usati per iscriversi e delle foto non è chiaro, infatti, specialmente perché il trattamento privacy pubblicato dagli sviluppatori è stato aggiornato l’ultima volta il 20 gennaio 2017. Che cosa significa? Andiamo ad analizzare nel dettaglio la situazione.
Il GDPR colpisce ancora
In precedenza, abbiamo visto come il GDPR stia ancora mietendo vittime, con il divieto d’utilizzo di Office 365 nello stato tedesco di Hessen. Questo “problema”, in realtà, significa che molte aziende non stanno rispettando gli standard di privacy dell’UE. E tra queste c’è l’azienda sviluppatrice di FaceApp, ovvero la russa Wireless Lab OOO con sede a San Pietroburgo.
Se uno osserva le informazioni condivise su Play Store, in fondo alla schermata dell’app, risulta che FaceApp abbia in realtà sede negli USA, precisamente a Wilmington, Delaware. Da tempo, però, si sa che il Delaware è considerato uno dei paradisi fiscali americani, dove avere degli uffici è in realtà molto semplice e poco costoso. Un ottimo posto per “depistare” chi ha interessi o sospetti nei confronti dell’azienda
Dove vanno le foto, dunque? In Russia o negli Stati Uniti? Come riportato a Wired, secondo l’esperto di Eset, Luca Sambucci, dato che lo smartphone non è abbastanza potente per modificare la foto esso si rifà a dei computer più potenti. A dimostrazione di questa affermazione, basta cercare di usare l’app in modalità aereo e ricevere la richiesta di collegarsi a internet da parte di FaceApp. Ergo, effettivamente le foto da modificare finiscono da qualche parte, in qualche server.
Ma non si sa dove esattamente. E nemmeno per quanto. Nella privacy policy condivisa dalla società fondata da Yaroslav Goncharov, risulta che:
“I dati potranno essere archiviati e lavorati negli Stati Uniti o in qualsiasi altro paese in cui FaceApp, i suoi affiliati o i fornitori del servizio possiedono le infrastrutture.”
Niente di più chiaro, no?
Una mancanza statunitense…o altro?
Archiviare i dati negli USA significherebbe per i proprietari di FaceApp ammonire il Paese stesso che esso partecipa al Privacy Shield, ovvero quell’accordo tra Washington e l’UE che (sulla carta) dovrebbe tutelare i cittadini europei e i loro dati, seguendo proprio le norme del GDPR.
Ma il GDPR è in vigore dal maggio 2018 mentre, come abbiamo detto prima, la privacy policy di FaceApp è ancora ferma al 20 gennaio 2017. Quindi, oggettivamente, ora come ora l’applicazione starebbe violando l’articolo 3 del GDPR in quanto i dati e le foto condivise non vengono trattati in modo conforme alle norme da parte dei titolari non stabiliti nell’UE.
Infatti, non è possibile comprendere come, quali e quanti dati vengono conservati e sfruttati da parte di Wireless Lab OOO, che ha accesso anche ai file multimediali di Whatsapp. Ovvero, per l’azienda russa sarebbe possibile accedere anche a foto e informazioni di persone che non usano l’app, ma semplicemente sono in contatto con chi la usa.
In aggiunta, l’applicazione di photo editing raccoglierebbe dati sulle pagine web visitate, inserendo anche dei web beacon (immagini di 1 pixel per 1) per osservare l’attività dell’utente su Internet, con accesso anche a dati di localizzazione, log e dati sul dispositivo usato per collegarsi. E non si può rifiutare questo trattamento, dato che non c’è una richiesta di consenso come da standard GDPR.
Con chi vengono condivise le informazioni?
Secondo la privacy policy stessa citata prima, “affiliati o i fornitori del servizio” avrebbero accesso a tutte le informazioni. Ciò significa aziende del gruppo russo o terze parti, ma non si sa esattamente chi e nemmeno come trattano i dati, magari vendendoli o semplicemente trasferendoli. E non c’è una possibilità minima di scelta per il consumatore. Come ha affermato l’avvocato Giovanni Battista Gallus sempre a Wired:
“Poiché vi è con tutta probabilità anche un trattamento di dati biometrici, occorrerebbe il consenso libero, specifico ed esplicito. In altre parole, mi devono essere esposte in maniera chiara e puntuale le finalità del trattamento, e io devo acconsentire in maniera esplicita. Ho provato a installare la app, e non solo non chiede alcun consenso, ma non sottopone, all’installazione, alcuna privacy policy.”
Le uniche informazioni rimovibili sono quelle dei bambini under-13, ma quando ci si iscrive o si fa il login non viene richiesta alcuna autenticazione relativamente all’età. Dunque, effettivamente ogni informazione non appare essere rimovibile.
La teoria più plausibile vede l’azienda svolgere un’operazione di creazione di uno dei più ricchi e puliti dataset di volti al mondo, così per allenare l’intelligenza artificiale a riconoscere i volti di ogni persona. Un ottimo metodo per allenare le reti neurali, ma in questo caso sicuramente non lecito.
Altroconsumo sta già provvedendo a segnalare FaceApp al garante della privacy italiano, e i margini per una diffida ci sono tutti. Noi non possiamo fare altro che avvertirvi con questo articolo, e consigliarvi di controllare sempre la privacy policy di ogni applicazione e sito Internet.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord, Steam e Twitch.