FaceApp mania: a repentaglio la privacy degli utenti

FaceApp mania: a repentaglio la privacy degli utenti

Se avete visitato Facebook o Instagram recentemente, quasi certamente avete visto alcuni dei vostri amici o celebrità che condividono immagini in cui sembrano più vecchi.

Se vi siete chiesti, come ciò sia possibile (non si sono di certo avvalsi di una macchina del tempo) la risposta è: FaceApp.

Si tratta di un’app che sfruttando l’intelligenza artificiale, è in grado di suggerirci come potremmo apparire a 40 o 50 anni.

Cos’è?

FaceApp è un’app mobile gratuita disponibile nell’Apple Store e su Google Play per dispositivi Android. Utilizzando l’intelligenza artificiale, l’applicazione crea trasformazioni realistiche dei volti degli utenti utilizzando vari filtri e funzioni.

FaceApp non è di certo un trend recente ma è diventata virale per la prima volta nel 2017, ma con molti aggiornamenti da allora, la tecnologia è diventata ancora più realistica, facendola tornare ad essere virale.

FaceApp è stato sviluppata da un piccolo team di San Pietroburgo, in Russia. Yaroslav Goncharov, fondatore e CEO di TechCrunch, ha dichiarato “Abbiamo sviluppato una nuova tecnologia che utilizza reti neurali per modificare un volto su qualsiasi foto, pur mantenendolo fotorealistico. Ad esempio, può aggiungere un sorriso, cambiare sesso ed età, o semplicemente renderti più attraente”.

E Goncharov sottolinea che il fatto che FaceApp sia così realistica costituisce l’elemento distintivo rispetto ad altre app concorrenti.

“Il nostro principale fattore di differenziazione è il fotorealismo”, ha detto. “Dopo aver applicato un filtro, è ancora la tua foto. Altre applicazioni cambiano intenzionalmente un’immagine in un modo che è divertente, ma non è più una foto vera e propria”.

È possibile scattare una foto attraverso le funzionalità della fotocamera dell’applicazione, oppure ottenerne una dalla galleria preesistente. Questo è uno dei vulnus lato privacy non solo di FaceApp ma di molte altre app.

Pertanto, occorre sempre prestare particolare attenzione a qualsiasi applicazione che chieda di accedere alla propria galleria personale.

Quali rischi Privacy?

FaceApp, come la maggior parte delle applicazioni, ha una propria privacy policy[1] che spiega, in maniera alquanto fumosa e vaga (come molte altre app!!), come vengono trattati i dati degli utenti. L’ultimo aggiornamento risale al 2017, elemento che risulta da subito evidente, dal momento che la privacy policy è priva di quasi tutti i requisiti previsti dalla normativa privacy applicabile, ossia il GDPR[2].

In particolare, non è chiaro chi sia il Titolare del trattamento e se vi siano eventuali responsabili, e/o contitolari, quali finalità e quali basi giuridiche sono applicabili, il periodo di conservazione dei dati (sembra essere illimitato!), chi sono i destinatari dei dati personali e quali diritti gli utenti possano esercitare.

Senza dimenticare che trattandosi di un trattamento che riguarda categorie particolari di dati personali, in particolare dati biometrici, sono richieste delle garanzie ulteriori e rafforzate.[3]

Ma a quali tipi di dati FaceApp può accedere?

Foto e altri contenuti non specificati, posizione, navigazione, identificatori del dispositivo, informazioni sui cookie. Tutti questi dati vengono quindi trattati al fine di fornire pubblicità personalizzata, il che implica che gli utenti sono profilati.

La profilazione, in quanto trattamento di dati personali invasivo, è subordinato  a dei specifici requisiti, con particolar riguardo all’informativa privacy per l’interessato. Ai sensi dell’art. 13 del GDPR, deve essere inserita nell’informativa la segnalazione dell’esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni significative sulla logica utilizzata, nonchè l’importanza e le conseguenze previste di tale trattamento per l’interessato.  Tutto ciò in quanto l’interessato ha il diritto di non essere sottoposto a una decisione basata sulla profilazione (che in genere può avvenire solo sulla base del consenso esplicito dell’interessato, o, se necessaria per la conclusione o l’esecuzione di un contratto, o se autorizzato dalla legge) e   e può opporsi in qualsiasi momento a tale trattamento dei dati personali che lo riguardano, ex art. 22 del GDPR.

Come vengono usati i dati e con chi sono condivisi?

Si legge nella Privacy Policy che non solo “si possono condividere i dati dell’utente e le sue informazioni con società che fanno legalmente parte dello stesso gruppo di aziende di FaceApp o che potrebbero farne parte in futuro” ma anche con “altre terze parti e partner pubblicitari”. Pertanto, appare evidente come i dati dell’utente siano condivisi con svariate terze parti senza che l’utente ne sia informato o possa esprimere il proprio consenso.

Ancora nel caso in cui “si venda o altrimenti trasferisca parte o la totalità di Faceapp o i nostri beni ad un’altra organizzazione, (i.e. nel corso di un’operazione come fusione, acquisizione, bancarotta, liquidazione) i tuoi dati potrebbero essere venduti o trasferiti.” Anche in quest’ultima ipotesi sarebbe opportuno informare l’utente dell’avvenuto “change of control”, in particolare in merito alla nuova denominazione del titolare del trattamento e relativo indirizzo per esercitare il diritto di accesso ai propri dati[4] e gli altri diritti previsti dall’art. 15-22 del GDPR.

Nemmeno i termini di servizio[5] sono più rassicuranti. Addirittura l’utente, utilizzando l’app, concede a “FaceApp una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, tradurre, creare opere derivate da, distribuire, eseguire pubblicamente e mostrare sul contenuto dell’utente, ossia le immagini che vengono caricate, e qualsiasi nome, nome utente o immagine forniti in relazione al contenuto dell’utente in tutti i formati e canali multimediali ora conosciuti o successivamente sviluppati, senza alcun compenso” e conviene che “qualsiasi controversia sarà risolta esclusivamente attraverso l’arbitrato individuale e non tramite arbitrato di classe, class action[6] o qualsiasi altro tipo di procedimento rappresentativo”.

Di fatto, emerge quindi, come l’utente venga privato del controllo sui propri dati, che vengono trattati e conservati illimitatamente, anche in Paesi extra UE[7] come gli Stati Uniti (nessun riferimento al Privacy Shield?![8]) e da ulteriori soggetti terzi, anche per fini promozionali, e per di più senza poter servirsi dello strumento della class action introdotto recentemente dal GDPR[9].

Tra l’altro, non si comprende nemmeno come FaceApp sia stata accettata nell’Apple Store e in Google Play Store[10]. Se si guarda alle linee guida per i developer dell’Apple Store[11], viene subito evidenziato come l’informativa sulla privacy deve essere “ chiara ed esplicita, identificare quali dati, l’app raccoglie, come raccoglie tali dati e tutti gli usi di tali dati; confermare che qualsiasi terza parte con cui un’applicazione condivide i dati dell’utente fornirà la stessa o uguale protezione; spiegare le politiche di conservazione/cancellazione dei dati e descrivere come un utente può revocare il consenso e/o richiedere la cancellazione dei dati dell’utente.” Ancora, “Le applicazioni dovrebbero richiedere solo l’accesso ai dati relativi alle funzionalità di base dell’applicazione e dovrebbero raccogliere e utilizzare solo i dati necessari per svolgere il compito in questione. Ove possibile, utilizzare il selezionatore fuori processo o un foglio di condivisione piuttosto che richiedere l’accesso completo a risorse protette come foto o contatti. […]Le applicazioni che condividono dati dell’ utente senza il consenso dello stesso o comunque non conformi alle leggi sulla protezione dei dati potrebbero essere rimosse dalla vendita e potrebbero comportare l’esclusione dello sviluppatore dall’Apple Developer Program.”

Tutte queste criticità sono state evidenziate non solo dagli esperti di settore ma anche da alcune Autorità di controllo. Tra queste, l’Autorità nazionale per la protezione dei dati personali del Perù (APDP)[12] ha raccomandato delle opportune cautele, prima fra tutte, quella di leggere attentamente l’informativa privacy per comprendere in base a quali condizioni vengono condivisi i propri dati con terze parti senza il proprio consenso e a quali tipi di dati hanno accesso.

L’Autorità avverte, infatti, che il trattamento delle immagini del volto tramite selfie o tramite accesso alla galleria dell’utente, espone a rischi non indifferenti, quali:

• Condivisione dei dati con soggetti terzi;
• Conservazione dei dati non specificata e in Paesi extra UE senza garanzia di sicurezza;
• Accesso alla galleria fotografica e quindi potenzialmente accesso ad altri dati dell’utente;
• Usi impropri e non autorizzati: le foto potrebbero essere utilizzate per strumenti di riconoscimento facciale.

Quali diritti per gli utenti?

Gli utenti che ritengono che i loro dati personali non siano trattati correttamente da FaceApp, possono non solo presentare reclamo all’Autorità di controllo competente, ma hanno a disposizione una serie di diritti, previsti dal GDPR agli artt. 15-22, tra cui, nel caso di specie, rilevano:

• Diritto di accesso ai propri dati: importante in quanto permette di ricevere una copia dei dati personali trattati dal Titolare;
• Diritto di cancellazione dei propri dati personali;
• Diritto di limitazione del trattamento;
• Diritto di opposizione, rilevante nel caso in cui i dati siano trattati per marketing diretto.

Pertanto, gli utenti interessati possono mandare una richiesta di accesso al Titolare del trattamento di FaceApp in merito ai dati personali trattati dallo stesso e richiedere la cancellazione di quei dati che siano stati trattati illecitamente (i.e. ove trattati senza il proprio consenso), o in alternativa perché non necessari rispetto alle finalità per le quali sono stati trattati o raccolti (si pensi ad esempio, ai dati di localizzazione, sono davvero necessari?!).

Il Garante Privacy ha pubblicato sul proprio sito un format per la richiesta di esercizio dei diritti, consultabile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1089924

Recentemente, il fondatore di FaceApp ha dichiarato di aver ricevuto innumerevoli richieste di accesso ai dati e di relativa cancellazione da parte degli utenti.

A tal proposito, si ricorda che il termine per la risposta agli utenti interessati è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità da giustificare opportunamente; il Titolare deve comunque dare un riscontro all´interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Suggerimenti per la progettazione di APP che siano rispettose della privacy:

Il Garante Privacy Inglese (ICO)[13], aveva predisposto nel 2013 delle linee guida per le app, suggerendo alcune misure che ancora sono attuali. Di seguito, si propongono le misure principali, riviste alla luce della nuova normativa privacy, per fare in modo che un app sia il più possibile conforme al GDPR:

• richiedere il consenso per trattamenti di dati non necessari come i suggerimenti di personalizzazione;
• se l’app è supportata da annunci pubblicitari, informare chiaramente gli utenti;
• permettere agli utenti di prestare il consenso a diversi trattamenti in maniera granulare, ossia distinti e separati, ove possibile. Questo permette all’utente di prestare un consenso libero ed informato piuttosto che dare all’utente una singola opzione, aut aut;
• permettere agli utenti di rivedere e modificare facilmente le loro decisioni una volta che l’applicazione è installata e in uso. Dare loro un unico posto dove andare per configurare le varie impostazioni all’interno dell’app e fare in modo che sia altrettanto facile e veloce disabilitare un’impostazione come attivarla;
• assicurarsi che, per impostazione predefinita, l’app elimini i metadati inutili da ogni immagine prima del caricamento, che possono includere la data di creazione o la posizione dell’immagine (memorizzata in formato Exif);
• ove possibile, usare una posizione meno precisa – per esempio: fare in modo che il dispositivo stesso calcoli dove si trova la città più vicina e utilizzi questa posizione, evitando la necessità di inviare le coordinate GPS esatte della posizione dell’utente al server centrale. Gli utenti che desiderano risultati basati sulla loro posizione precisa possono modificare il comportamento predefinito;
• consentire agli utenti di cancellare permanentemente i loro dati personali e qualsiasi account che hanno creato con voi, salvo che si sia obbligati per legge a conservare i dati;
• utilizzare dati anonimizzati per raccogliere i dati relativi all’utilizzo o alla segnalazione di bug;
• richiedere l’accesso ai sensori, ai servizi o ad altri dati se necessari e fornire agli utenti informazioni aggiuntive sul perché sia necessaria un’autorizzazione specifica;
• se si opera per più piattaforme, tenere conto di eventuali differenze tra le piattaforme mobili e i rispettivi app store – le informazioni e le funzioni fornite da una piattaforma non sono necessariamente fornite da un’altra;
• prestare particolare attenzione ad evidenziare eventuali azioni che sarebbero inaspettate o considerate onerose dall’utente. Al contrario, non nascondere informazioni importanti o altrimenti fuorviare l’utente;
• considerare notifiche just-in-time, dove le informazioni necessarie sono fornite all’utente prima del trattamento dei dati. Notifiche di questo tipo potrebbero essere particolarmente utili in presenza di trattamenti più intrusivi o se i dati vengono trattati in modo inaspettato o per categorie particolari di dati, ad esempio: GPS, per caricare dati su Internet o per richiedere agli utenti informazioni sulle caratteristiche di un’app che stanno utilizzando per la prima volta;
• considerare l’utilizzo di icone chiare e riconoscibili per indicare che ciò sta accadendo e, se necessario, l’opzione di interrompere (ad esempio per annullare un caricamento);
• usare adeguate misure di sicurezza, sia nella progettazione della tua app che in quella dei server centrali con cui l’app comunica, in modo da scongiurare eventuali data breach.
• se si è effettuata una valutazione dell’impatto sulla protezione dei dati (DPIA), si potrebbe considerare la possibilità di pubblicarne un estratto per incrementare la trasparenza e la fiducia degli utenti.

Conclusioni

Un aspetto non di poca rilevanza riguarda il numero di download di FaceApp nell’Apple Store e nel Google Play Store, in quest’ultimo caso, di circa 100.000.000.

Cifre non indifferenti, se si pensa alla “gogna mediatica” subita in questi giorni da FaceApp, ma che come già successo in passato, (si pensi allo scandalo di Cambridge Analytica), dimostrano che manca “una cultura dei dati personali”, ossia, una consapevolezza su quanto i dati personali siano importanti e vadano quindi preservati, in primis, dagli utenti stessi, da uno sfruttamento massiccio e non autorizzato.

E’ vero che diverse Autorità di controllo hanno comminato sanzioni importanti alle Big Tech e non solo, ma evidentemente, sarebbe opportuna una maggiore sensibilizzazione sull’importanza dei nostri dati personali, definiti non a caso, già prima del GDPR, come il nuovo petrolio.

[1] Privacy Policy di FaceApp disponibile al seguente link: https://www.faceapp.com/privacy

[2] L’art.12 del GDPR prescrive che l’informativa privacy deve essere coincisa, trasparente ed intelligibile. Inoltre gli artt.13 e 14 stabiliscono specifiche informazioni da fornire all’interessato che nel caso di specie, sono assenti o non specificate chiaramente.

[3] Si segnala che ai sensi dell’art.9 del GDPR, in generale, il trattamento di categorie particolari di dati personali, ivi inclusi dati biometrici, è vietato a meno che non ricorrono specifiche basi giuridiche, tra cui, ad esempio il consenso dell’interessato ed obblighi del titolare. Inoltre, il Codice Privacy, come novellato dal D. Lgs. 101/2018, all’art. 2-septies, prevede che in presenza di trattamenti di dati biometrici, gli operatori del settore dovranno rispettare le misure di garanzia che saranno emanate dal Garante Privacy su base biennale e che possono stabilire ulteriori condizioni in base alle quali tale trattamento è consentito.

[4] Garante Privacy-Prescrizioni in materia di operazioni di fusione e scissione fra società https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1609999 e https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6531135

[5] Termini di Servizio di Faceapp disponibili qui: https://faceapp.com/terms

[6] L’art. 80 del GDPR, rubricato “Rappresentanza degli interessati” stabilisce che: “1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82. 2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento.“

[7] I trasferimenti di dati verso Paesi terzi od organizzazione internazionali sono leciti solo se rispettano le garanzie previste dagli artt. 45-49 del GDPR, ossia: decisione di adeguatezza della Commissione UE, clausole tipo e norme vincolanti d’impresa. Nei casi in cui manchino le suddette misure, sono previste delle deroghe, tra cui il consenso dell’interessato e l’esecuzione di un contratto.

[8] La Commissione europea ha adottato il 12 Luglio 2016 una decisione in merito al Privacy Shield. Il c.d. Privacy Shield è l’accordo che regolamenta il trasferimento di dati tra Unione europea e USA. L’accordo protegge i diritti fondamentali delle persone nell´UE i cui dati personali vengano trasferiti negli Stati Uniti, e stabilisce regole certe per le imprese che effettuano trasferimenti di dati al di là dell´Atlantico. Le imprese che hanno aderito al privacy shield sono registrate nella “privacy shield list” disponibile al seguente link https://www.privacyshield.gov/list . FaceApp non appare tra le imprese registrate alla privacy shield list.

[9] Cfr. nota 6.

[10] Centro norme per gli sviluppatori disponibile al seguente link: https://play.google.com/intl/it/about/developer-content-policy/

[11] App Store Review Guidelines disponibili al seguente link: https://developer.apple.com/app-store/review/guidelines/#privacy

[12] https://www.gob.pe/institucion/minjus/noticias/45817-autoridad-de-proteccion-de-datos-personales-advierte-sobre-uso-de-la-app-que-te-hace-viejo

[13] Le Linee-guida sulle mobile apps dell’ICO sono disponibili al seguente link: https://ico.org.uk/media/for-organisations/documents/1596/privacy-in-mobile-apps-dp-guidance.pdf