faceapp gdpr

FaceApp: il punto sul GDPR e sulle violazioni

La famosa App che permette di invecchiare, cambiare aspetto o ringiovanire viola i diritti di milioni di utenti entusiasti. Vediamo perché e come sta andando dal punto di vista del Nuovo Regolamento sulla Privacy in Europa e nel mondo.

 

Tra i tanti studi che monitorano l’adeguamento al GDPR, a luglio è arrivato anche quello della Commissione Europea. Le aziende si adeguano, spesso solo parzialmente, e le varie autorità nazionali mantengono approcci diversi tra loro. Lo scenario in Italia delude.

Un’ottimale gestione del rischio di violazione dei dati personali, con l’entrata in vigore del Nuovo Regolamento sulla Privacy, è diventata essenziale. Il rischio privacy può altrimenti mettere in ginocchio ogni realtà, dalle più piccole alle più strutturate, data la facilità di acquisizione dei dati e attacchi informatici sempre più frequenti. La scarsa formazione all'interno delle aziende è uno degli ostacoli più importanti da superare per evitare sviste, sanzioni e limitare le probabilità di essere vittime di attacchi cyber da parte di hacker che vogliono impadronirsi dei dati.

Face App: com’è facile violare il Regolamento Europeo per la Protezione dei Dati Personali

FaceApp è una applicazione per dispositivi mobili che riesce a simulare l’immagine dell’utente invecchiato, ringiovanito, trasformato in un altro sesso o con diversi e curiosi connotati esteriori. Questa app è diventata virale e centinaia di migliaia di persone l’hanno scaricata e utilizzata, inviando una mole ingente di dati sensibili a non si sa quali soggetti. La fotocamera, infatti, cattura veri e propri dati biometrici (art. 8 GDPR), che una o più società potranno utilizzare gratuitamente per gli scopi più disparati o rivendere a società terze, insieme ad altre informazioni sul dispositivo e sull’identità di chi utilizza l’applicazione.

Sono emerse importanti criticità per quanto riguarda il trattamento dei dati personali da parte della società gestrice della app, che devia non poco dalle prescrizioni del regolamento UE 679/2016 (“GDPR” o “Regolamento Europeo per la Protezione dei Dati Personali”) con una scarsa trasparenza rispetto alle informazioni drenate agli utenti.

L’introduzione del nuovo Regolamento europeo GDPR ha evidenziato lo stretto rapporto tra l’utilizzo delle informazioni, i diritti e gli interessi di aziende e persone fisiche e le responsabilità delle autorità nel proteggere la privacy, l’identità, la dignità e bilanciare i “diritti umani fondamentali” con le attività di business.

GDPR: la società russa è soggetta al regolamento GDPR, ma il suo sistema non è idoneo

La app sembra essere nelle mani di una società russa, tenuta a rispettare il GDPR secondo l’articolo 2 del Regolamento, che sancisce la sua applicazione al “trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato”.

Un caso di violazione plurima e immediata del regolamento sulla privacy

Vediamo quali violazioni dei principi di liceità, correttezza, trasparenza (art. 5 e art. 12 GDPR) e delle prescrizioni dell’art. 12 e 13 GDPR rendono FaceApp non conforme al Regolamento secondo Altalex - Quotidiano di informazione giuridica, per capire quali accorgimenti sono assolutamente necessari per non incorrere in sanzioni.

  • Il fatto che si applichi il GDPR e che sussista il trattamento dei dati personali è indubbio, eppure nei “Terms of service” della app la società non si definisce come titolare del trattamento, ma solo come destinataria di eventuali reclami.
  • Non si sa dunque chi sia il titolare del trattamento, dove si trovi e come contattarlo per informazioni relative al trattamento dei dati personali.
  • Inoltre, prima che le informazioni che lo riguardano siano raccolte, l’utente dovrebbe visualizzare l’informativa sulla privacy (art. 13 GDPR) che, nel caso di FaceApp non compare. Scaricata la app, si usufruisce immediatamente del servizio, senza passare per la verifica dei termini e delle condizioni d’uso e senza poter visualizzare l’informativa sul trattamento dei dati personali. E’ possibile consultare i termini di servizio e la “privacy policy”, per altro insufficienti a soddisfare i requisiti del Regolamento, solo sul sito dedicato alla app.
  • Manca il rappresentante del titolare, che dovrebbe essere designato considerando che il titolare del trattamento non risiede nella UE, ma attraverso la app offre servizi a cittadini dell’Unione (art. 3 (2) GDPR; art. 27 GDPR) che comportano trattamento di dati personali su larga scala.
  • Non è citato un responsabile della protezione dei dati (DPO) che dovrebbe invece essere nominato, dato che FaceApp tratta su larga scala categorie particolari di dati personali, ovvero i dati biometrici degli interessati (la violazione sussisterebbe sia per la mancata menzione del responsabile nell’informativa sia per la mancata nomina).
  • Le finalità del trattamento vengono indicate in maniera imprecisa, lacunosa e poco trasparente. La privacy policy di FaceApp fa riferimento ad alcune altre finalità del trattamento delle informazioni, che però non vengono specificate. Molti trattamenti, come quelli relativi al dato biometrico e alla profilazione, vengono citati in maniera troppo evasiva.
  • Non comunicando gli scopi principali per cui sono trattati i dati degli utenti è impossibile spiegare quali possono essere i trattamenti ulteriori rispetto alle finalità per cui i dati erano stati originariamente coinvolti. Secondo il Regolamento, se il titolare del trattamento vuole trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, deve prima informare l’interessato di tale diversa finalità.
  • Nella policy, sono del tutto assenti le basi giuridiche (art. 13, comma 1) che sorreggono le finalità del trattamento. Non è dato sapere su quali basi si fondi il trattamento, né se il titolare stia perseguendo interessi legittimi e coerenti con il GDPR.
  • Le informazioni personali sono molto probabilmente trasferite verso i sistemi del titolare del trattamento, quindi al di fuori dell’Unione Europea. Stando alle prescrizioni del punto f) dell’art. 13 del Regolamento, l’intenzione di trasferire i dati verso paesi terzi dovrebbe essere esplicitata; inoltre, non sono indicate le garanzie e gli accorgimenti necessari per rispettare i principi previsti dagli artt. 44-49 GDPR.
  • Non è chiaro chi siano i destinatari dei dati personali: la privacy policy di FaceApp raggruppa in categorie troppo ampie e semplificate i soggetti con cui sono condivisi i dati. Il Regolamento permette di individuare i destinatari per categorie, purché sia comprensibile quale tipo di trattamento attuino e con quali finalità. Siccome le finalità del trattamento sono vaghe, risulta difficile risalire alla tipologia di destinatari coinvolti e al trattamento loro assegnato.
  • Viene omesso anche il periodo di conservazione dei dati. Il termine ultimo di cancellazione dei dati dovrebbe essere specificato per ogni tipologia di trattamento (art. 12 GDPR).

Le gravi lacune nell’informativa costituiscono anche una seria violazione dei diritti dell’interessato.

  • La privacy policy di FaceApp manca di una qualsiasi indicazione dei diritti e delle facoltà degli interessati di cui ai punti b)-f) del secondo comma dell’art 13 GDPR, rendendo difficile per l’interessato conoscere i diritti previsti dagli artt. 15 a 22 del Regolamento.
  • FaceApp rende complicato anche esercitare i diritti di cui gli interessati godono, non offrendo loro punti di contatto o strumenti utili. Questa lacuna viola l’art. 11 c. 2 GDPR che obbliga il titolare ad agevolare l’esercizio dei diritti dell’interessato ai sensi degli artt. 15-22 del Regolamento.

Milioni di persone (30 milioni nel solo mese di luglio, secondo l’ANSA) hanno trasmesso informazioni biometriche relative al proprio volto, ovvero quelle con il massimo grado di identificabilità, a un soggetto non chiaramente definito. Quest’ultimo, senza alcuno sforzo in materia di compliance GDPR e senza alcuna garanzia per gli interessati, si è impadronito di dati sufficienti a costruire modelli per riconoscimento facciale, banche dati per analisi e ricerca e commercializzazione di informazioni aggregate e non, dal valore inestimabile. Senza contare rischi e i pericoli per gli interessati conseguenti ad una scansione di massa che sembra non finire, per l’irresponsabilità e la frenesia degli utenti e per l’inerzia delle istituzioni.

Come cancellare i dati da FaceApp

Finché non si chiariranno i dubbi relativi all'utilizzo dell’applicazione mobile, molti consigliano di procedere alla cancellazione dei dati dalla applicazione.

Ecco com’è possibile cancellare i propri dati dai server di FaceApp e tutelare la propria privacy:

  • Occorre aprire FaceApp sul tuo telefono
  • Andare su Impostazioni > Supporto > Segnala un bug
  • Segnalare un bug con “Privacy” come oggetto e una descrizione che richieda la rimozione dei dati.

Si visualizzerà un avviso in cui FaceApp conferma di aver preso in carico la rimozione dei dati dal cloud. La rimozione richiederà un po' di tempo a causa della numerosità di richieste, ma avverrà il prima possibile.

GDPR, a che punto siamo nel percorso di conformità

La Commissione Europea, secondo quanto previsto dall’articolo 97 del GDPR, dovrà presentare una relazione sulla valutazione e revisione del Regolamento al Parlamento europeo e al Consiglio. Il primo rapporto è previsto per il 25 maggio 2020 e si concentrerà principalmente su tre ambiti:

  • il trasferimento dei dati personali a paesi terzi o organizzazioni internazionali, con particolare attenzione verso le prescrizioni che si rifanno ai sensi dell’art. 45, paragrafo 3, del Regolamento;
  • le decisioni riguardo ai Paesi membri, adottate sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46/CE;
  • i meccanismi di cooperazione e coerenza.

Il complesso quadro normativo del trattamento dei dati personali non si limita al GDPR, ma comprende, tra gli altri provvedimenti, la Direttiva e-privacy, prossima alla revisione ad opera del Regolamento ePrivacy (ePR), la “legislazione sorella” del GDPR.

L'impatto del GDPR sulla tutela dei dati: la relazione della Commissione Ue

Lo scorso 24 luglio, la Commissione europea ha pubblicato la Relazione che esamina l’impatto delle norme dell’UE sulla protezione dei dati e come migliorarne ulteriormente l’attuazione.

La relazione evidenzia il crescente sviluppo della cultura della conformità da parte delle organizzazioni e un aumento della consapevolezza dei diritti da parte dei singoli utenti. A livello internazionale, inoltre, sta progredendo una convergenza verso elevati standard di protezione dei dati.

Di seguito i principali punti emersi:

  • quasi tutti i Paesi membri, tranne Grecia, Portogallo e Slovenia, hanno adeguato le loro leggi nazionali sulla protezione dei dati in accordo con le norme UE;
  • sono ormai disponibili numerose Linee guida in grado di supportare l’implementazione del Regolamento;
  • l’obbligo di conformità al regolamento ha aiutato le aziende a potenziare la sicurezza dei loro sistemi informativi e a sviluppare sistemi per la privacy come vantaggio competitivo;
  • le Autorità nazionali per la protezione dei dati dispongono ora di maggiori poteri per applicare le norme e cooperare a livello internazionale per la protezione dei dati. A fine giugno 2019, il meccanismo di cooperazione ha amministrato 516 casi transfrontalieri.
  • Il GDPR è divenuto un alto riferimento degli standard di protezione dei dati in tutto il mondo, fatto che apre nuove opportunità per flussi di dati sicuri tra l’UE e i paesi terzi. Dal Cile al Giappone, dal Brasile alla Corea del Sud, dall’Argentina al Kenya, si stanno formando nuove leggi sulla privacy, basate su ampie garanzie, diritti individuali e autorità di controllo indipendenti.

GDPR: “una nuova era per la privacy”

L’effetto GDPR si sta diffondendo in tutto il mondo anche da quanto emerge dal report di Deloitte “A New era for privacy” condotto in 11 paesi UE ed extra UE tra cui Regno Unito, Spagna, Italia, Paesi Bassi, Francia, Germania, Svezia, Stati Uniti, Canada, India e Australia.

In sei mesi dall’entrata in vigore del Regolamento Europeo (25 maggio 2018), quasi la metà delle organizzazioni intervistate ha effettuato investimenti significativi per la conformità al GDPR e i risultati sono quasi identici sia all’interno che all’esterno dell’UE. I paesi extra UE sono persino più reattivi: il 44% delle imprese extra UE ha da tempo stanziato risorse finanziarie e formative aggiuntive per il personale, a fronte del 36% delle imprese nei paesi dell’UE nello stesso periodo.

Per quanto riguarda la figura del Data Protection Officer, in India il 99% delle imprese ha nominato un DPO, seguito dalla Spagna con il 96% e dall’Italia con il 93%. Invece, tornando entro i confini UE, solo il 76% delle imprese in Francia. Anche in Australia, la percentuale è bassa, con il 74% delle imprese che hanno assegnato un DPO alla propria organizzazione.

Rapporto Eurobarometro, il Gdpr visto dagli europei

La consapevolezza ormai diffusa dei diritti relativi alle informazioni che gli utenti cedono alle aziende rende ancora più importante per qualsiasi azienda adottare un sistema privacy e di tutela dei dati personali quanto più solido e minuzioso e una comunicazione chiara e trasparente, anche a tutela della reputazione d’impresa. Il rischio reputazionale nel caso i dati personali vengano violati o perduti è alto e pesante dal punto di vista economico.

Secondo il sondaggio “Eurobarometro” presentato nel corso di un evento della Commissione europea, il 13 giugno scorso a Bruxelles, circa il 73% degli europei di età uguale o superiore ai 15 anni ha sentito parlare dei diritti privacy. La maggioranza della popolazione europea è consapevole dell’esistenza del GDPR con percentuali che vanno dal 90% in Svezia, all’87% nei Paesi Bassi, 86% in Polonia, 53% in Belgio, 58% a Cipro ed Estonia, Italia 49% e Francia 44%.

E’ varia anche la consapevolezza della presenza di un’Autorità pubblica nazionale responsabile della protezione dei loro diritti sui dati personali: Paesi Bassi 82%, Lettonia 76%, Finlandia e Svezia il 74%, Spagna 40%, Romania 46% e l’Ungheria 47%.

I reclami raddoppiano

Se la consapevolezza delle persone aumenta, di conseguenza, cresce anche il numero delle segnalazioni di violazioni presentate. In generale, i reclami sono raddoppiati e il numero di notifiche di violazione sullo stesso periodo del 2017 è quasi triplicato.GDPR_Anniversary_Infographic

Un’infografica Iapp, International Association of Privacy Professionals, “GDPR one year anniversary” mostra oltre 144.000 reclami individuali presentati in un anno riguardanti:

  • marketing indesiderato;
  • privacy dei dipendenti;
  • richieste di accesso;
  • diritto alla cancellazione;
  • trattamenti illegittimi;
  • comunicazione ingiusta dei dati a terzi parti.

Nello Spazio economico europeo, dal maggio 2018, ci sono state oltre 89.000 notifiche di violazione dei dati da organizzazioni sia pubbliche che private. Le tre aree maggiormente coinvolte sono:

  • telemarketing;
  • e-mail promozionali;
  • videosorveglianza / TVCC.

Si contano, inoltre, più di 440 casi transfrontalieri.

Anche l’European Data Protection Board (EDPB) conferma questi dati.

La maggior parte delle violazioni totali denunciate in Europa nel 2018, il 65%, si sono concentrate nei Paesi Bassi (15.400 notifiche di violazione dei dati), Germania e Regno Unito. Segue, al quarto posto l’Irlanda. L’Italia si posiziona a metà classifica, con 61° segnalazioni. Il Liechtenstein, l’Islanda e Cipro hanno registrato il minor numero di violazioni.

Questo grande divario tra alcuni Paesi potrebbe essere segno, non tanto del livello di conformità al GDPR, quanto alla rigidità dell’approccio delle istituzioni garanti nazionali.

EDPB registrava nel febbraio 2019 che 11 paesi hanno comminato multe GDPR per un totale di 56 milioni di euro circa, di cui 50 milioni a carico di Google e riscossi dalla CNIL francese.

Prossimi passi di definizione giuridica

Il lavoro legislativo che riguarda la tutela della privacy dovrà essere manutenuto, consolidato e aggiornato costantemente. I prossimi temi da definire saranno:

  • Dati dei bambini;
  • Trasferimenti internazionali;
  • Certificazione e codici di condotta;
  • Videosorveglianza e sistemi di controllo anche pubblici in ottica di bilanciamento dei diritti;
  • Protezione dei dati in base alla progettazione / impostazione predefinita;
  • AI e Veicoli connessi;
  • PSD2 Direttiva sui pagamenti digitali e Open Banking;
  • Targeting utenti e social media;
  • Definizione di Interesse legittimo;
  • Esercizio dei diritti di accesso, portabilità, cancellazione, opposizione e limitazione;
  • Concetti di data-controller e data-processor.
COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI