Mentre FaceApp sta spopolando in tutto il mondo, si moltiplicano i dubbi sulla sua legittimità. Ci si è chiesti, ad esempio, come mai la app, che esiste da anni, sia improvvisamente diventata virale, apparentemente nel giro di una notte. Altri hanno sottolineato il fatto che viene richiesta una connessione dati, insinuando che stiano sottraendo le foto agli utenti. E c’è stato anche chi ha additato le origini russe dell'app - di proprietà di un'azienda, Wireless Lab, con sede a San Pietroburgo - come indizio di qualcosa di sospetto.
Naturalmente, i precedenti che possano dare adito a queste ipotesi non mancano. Non abbiamo bisogno di guardare lontano per trovare esempi di app fotografiche che utilizzano le foto degli utenti per scopi che vanno ben oltre ciò che è richiesto per il loro funzionamento. All'inizio di quest'anno, NBC ha riferito che Ever, una popolare app di archiviazione di foto, stava usando le immagini dei suoi utenti per addestrare un software di riconoscimento facciale, che ha, poi, venduto alle forze dell'ordine americane. È stato anche scoperto che IBM utilizzava le foto di Flickr per addestrare le applicazioni di riconoscimento facciale senza il permesso delle persone presenti nelle foto. E l'anno scorso, l'app virale PopSugar ha subito una significativa perdita di dati.
Sebbene non vi siano ancora prove a sostegno delle illazioni su FaceApp, ci sono effettivamente delle preoccupazioni meno inverosimili e che hanno a che fare principalmente con la sua conformità al GDPR, il Regolamento Europeo sulla Protezione dei Dati Personali. Il punto è una pressocché totale e allarmante mancanza di trasparenza nei confronti degli utenti su come e per quali scopi verranno utilizzate le foto inviate, ovvero, per dirla col GDPR, i dati trattati; a chi questi saranno comunicati; per quanto tempo e dove saranno conservati; a chi rivolgersi per esercitare i propri diritti rispetto al trattamento dei propri dati personali. Una app che tratta dati su larga scala come FaceApp, che conta più di 80 milioni di download, dovrebbe essere meno lacunosa su questi punti.
La prima consistente violazione del Regolamento consiste nel fatto che la privacy policy non viene sottoposta all’utente prima dell’invio dei propri dati e, comunque, pur se correttamente sottoposta, non sarebbe assolutamente sufficiente a garantire la conformità al GDPR. Prima di tutto, risulta estremamente vaga ed evasiva per quanto attiene alle finalità, soprattutto relativamente alla specificità dei dati particolari (i vecchi ‘dati sensibili’), e alla profilazione. Come se non bastasse, non viene chiarito chi sia il titolare del trattamento, né indicato il nome di un DPO (Responsabile della Protezione dei dati personali), che sarebbe invece obbligatorio per una società che tratta su larga scala categorie di dati particolari, come quelli biometrici. Stando così le cose, voler esercitare i propri diritti come interessato del trattamento potrebbe rivelarsi un vero incubo per qualsiasi utente.
In una dichiarazione a Euronews, FaceApp ha affermato che solo le foto caricate dall'utente - e mai altre immagini - vengono inviate al cloud di FaceApp, dove viene eseguita la maggior parte dell'elaborazione delle foto e che la maggior parte delle immagini vengono eliminate dai server entro 48 ore dalla data di caricamento, aggiungendo che FaceApp non vende o condivide i dati degli utenti con terze parti. Inoltre, anche se il nucleo del team di ricerca e sviluppo si trova in Russia, i dati degli utenti non vengono trasferiti in Russia. E, forse, proprio quella del trasferimento dei dati al di fuori dell’UE, rappresenta la maggiore criticità e non compliance al Regolamento Europeo, che prevede una specifica regolamentazione per i trasferimenti di dati all'estero, soprattutto in quei paesi che non garantiscono un livello di protezione adeguato o, comunque non affine a quello europeo.