L’applicazione FaceApp, che invecchia i volti, presenta molti aspetti poco chiari. Più che mai l’app è idonea a scatenare un serio dibattito sulla questione privacy (ancora una volta, nell’epoca del GDPR) non solo da parte degli utenti, ma anche da parte dei grandi player mondiali del web. Vediamo, quindi, realmente, cosa c’è dietro l’app che, da qualche giorno, spopola sugli smartphone e sui social.
Chi c’è dietro Faceapp
Partiamo da un presupposto ormai chiaro a tutti: l’app non è utilizzabile se si opera offline. Utilizzando un semplice contatore di dati utilizzati durante la connessione, appare evidente che, già appena scegliamo la foto, questa viene caricata su un server. L’elaborazione (ad es. l’invecchiamento) avviene da remoto e poi ci viene restituita in download.
Sia sull’App Store che su Google Play viene indicato come sviluppatore Faceapp inc., società con sede a Wilmington, in Delaware. Ovviamente. E, inserendo l’indirizzo della società su Google (1000 N West Street Suite 1200 Wilmington, DE, 19801), appaiono annunci di virtual offices in Wilmington. La Faceapp inc ha quindi una sede fittizia. Il whois del dominio indicato come sito ufficiale (Faceapp.com) risulta invece WhoisGuard Protected. Chissà perché.
Accedendo al sito, nei termini di servizio Faceapp inc. non viene mai nominata. Viene invece indicata come società che si è occupata dello sviluppo (nonché come società titolare del copyright) la Wireless Lab OOO, con sede a San Pietroburgo, in Russia (quasi facendo intendere che si tratti solo della società appaltatrice del software e titolare dei diritti d’autore – e non dei dati che acquisisce ). In realtà, però l’app esiste dal 2016 e allora come proprietario dell’app, anche negli store, era indicata proprio la Wireless Lab OOO che fu anche al centro di uno scandalo nel 2017 (per aver inserito dei filtri che modificavano la “razza” della persona in foto). Allora, ad esporsi in prima persona, fu Yaroslav Goncharov, CEO della società. Ad oggi invece assistiamo ad una cessione di ogni diritto (e responsabilità), con espressa esclusione del diritto d’autore, verso la società fantasma in Delaware, ma non ne conosciamo il motivo.
Quali dati vengono acquisiti
Esiste un’“informativa privacy” (le virgolette sono d’obbligo) in cui vengono dichiarati quali dati vengono acquisisti e che uso ne viene fanno. Per chi utilizza l’app in versione free, quindi il 99% degli utenti, senza abbonamento e senza loggarsi tramite i propri social (ma davvero Cambridge Analitica non ci ha insegnato nulla?), FaceApp acquisisce sostanzialmente le nostre immagini con relativi metadati, i nostri log completi di IP, i dati sul dispositivo, tra cui l’ID e altri minori.
Cosa succede ai dati
Una volta acquisito il dato, FaceApp dichiara di fare sostanzialmente una cosa: profilare. Profila tutto e ad ogni scopo, con particolare attenzione (ovviamente) all’uso finalizzato a marketing e ADV.
Niente di nuovo quindi (almeno secondo quanto dichiarato), se non la possibilità che Faceapp si riservi, di cedere dati a società che potrebbero diventare “affiliate”, per promuovere i servizi delle affiliate stesse, nonché condividere alcuni dati con “third-party advertising partners”.
Criticità e normativa
Tutto quanto sopra descritto si basa sulle dichiarazioni degli stessi sviluppatori tramite il proprio sito. Ciò che davvero risulta fumoso e oscuro nella vicenda è l’assoluta mancanza del rispetto di alcuna normativa, nonché l’anonimato costante nella gestione dei dati personali. Abbiamo assistito ad un’epoca in cui il dato personale è diventato un bene preziosissimo (per l’interessato e per chi lo tratta). Le normative degli ultimi anni hanno puntato soprattutto all’affermazione di due principi cardine:
- informazione chiara
- responsabilizzazione.
FaceApp, sotto l’aspetto della gestione del trattamento dati personali, risulta completamente anonima. Non si comprende chi sia il titolare del trattamento, dove risiedano i dati, che giri facciano i nostri byte prima di tornare sul dispositivo (sappiamo però che utilizzano https, almeno). Non si comprende chi tratti i dati, che ruolo abbiano le varie aziende di cui sopra, chi contattare per un reclamo o anche semplicemente per esercitare un proprio diritto. Ma poi…quali diritti? L’informativa (mi vergogno a definirla tale), oltre ad essere completamente uncompliant anche per l’epoca ante GDPR, risulta vuota, “finta”, priva di qualsiasi informazione obbligatoria o di qualsiasi riferimento ai diritti dell’interessato. Sostanzialmente non è un’informativa privacy.
Il GDPR (ma ancor prima la direttiva 95/46/CE) punta tutto sulla consapevolezza di chi fornisce i propri dati, dell’interessato. FaceApp, non solo non fornisce nessuna reale informazione che possa rendere consapevole l’utente, ma lo fa anche in modo subdolo, senza avvertire, senza consenso (né informativa) in-app, senza comunicare che i propri dati andranno in giro per la rete nel momento esatto in cui si prova l’app, puntando col dito una foto della propria libreria. Oggi questo è assolutamente inconcepibile. Ed è inconcepibile soprattutto che una condotta del genere sia concessa da Apple e da Google, che danno con tanta leggerezza l’approvazione per l’inserimento nei propri store di applicazioni completamente fuori legge (Repetita iuvant: ma davvero Cambridge Analitica non ci ha insegnato nulla?).
Eppure, Google, all’interno del “centro norme per gli sviluppatori”, stabilisce chiaramente che “l’app deve fornire un’informativa in-app circa la raccolta e l’utilizzo dei dati” e anche Apple, dal 3 settembre 2018 impone a tutti i propri developper che “apps that collect user or usage data must secure user consent for the collection” (le App che raccolgono dati dell’utente o di utilizzo devono garantire il consenso dell’utente per la raccolta). Mi chiedo quindi: come è possibile che Google e Apple non si siano accorti di questa enorme falla proprio nell’applicazione ad oggi in testa a tutte le classifiche di tutti gli store?
E per chi dovesse eccepire che si tratta di un’applicazione straniera, e che quindi non è tenuta a rispettare il GDPR, riporto testualmente il regolamento per gli sviluppatori di Apple, che al punto 5 afferma chiaramente che “Apps must comply with all legal requirements in any location where you make them available”. Non serve traduzione.
Gli scenari futuri
Putin ci spia? No. Però la mancanza di qualsiasi rispetto della legge e di qualsiasi controllo su queste app e su cosa realmente venga fatto dei nostri dati, a prescindere da quello che viene dichiarato, è davvero grave. Probabilmente non accadrà nulla, ma si tratta di una vera e propria umiliazione per il tanto glorificato GDPR. Eventi come questi quasi scoraggiano gli enormi e straordinari sforzi che tutte le aziende italiane ed europee, stanno facendo per adeguarsi, per formarsi, per mettere a norma le proprie procedure, i propri ruoli, le proprie misure di sicurezza.
A proposito di misure di sicurezza e di conservazione del dato, nell’informativa si legge: “FaceApp non è in grado di garantire la sicurezza delle informazioni trasmesse a FaceApp o di garantire che le informazioni sul servizio non possano essere consultate, divulgate, alterate o distrutte”. Ottima notizia.