«Si lo que nos preguntamos es si somos conscientes de los riesgos de instalar una aplicación y de subir nuestros datos a la nube, la respuesta es claramente negativa, y ese es el verdadero problema.»

Estos días, se ha vuelto a hacer viral FaceApp, la «app» gratuita  de origen ruso que edita fotos con filtros que transforman el rostro de la imagen deseada simulando modificaciones en tu aspecto facial.

Si ya estuvo en boga hace aproximadamente un año esta divertida «app» por su capacidad para simular “cómo serás dentro de unos años” en su función de envejecer las fotos de los usuarios, siendo descargada para ello en más de 100 millones de dispositivos, recientemente ha vuelto a ponerse de moda con su funcionalidad de “cambiar de sexo” a los usuarios, impulsado por cientos de imágenes de rostros conocidos que han impulsado el movimiento, alcanzando ya los más de 150 millones de dispositivos.

Pero esta «app» móvil viene a su vez cargada de polémicas legales desde su inicio, ya que sin saberlo, los usuarios están aceptando la política de privacidad de la empresa, y en consecuencia “dando su consentimiento” para el tratamiento y transmisión de datos en lo relativo la foto editada, así como para el acceso, tratamiento y transmisión de los demás datos de nuestro teléfono móvil al completo.

Dicho esto, se hace ya bastante evidente que esta «app», de, recordemos, procedencia rusa,  no se ajusta en absoluto a las exigencias actuales del  Reglamento General de Protección de Datos (RGPD) europeo, ni a la normativa complementaria española, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en cuanto a Protección de Datos se refiere. Procedemos para ello a descargarnos la citada «app» y analizarla.

 

LA POLÍTICA DE PRIVACIDAD OCULTA DE LA APP

Lo primero que vemos cuando descargamos esta «app» es la evidente despreocupación respecto del cumplimiento de la legislación vigente en materia de Protección de datos.

Una aceptación desinformada de la política de privacidad y la otorgación de un poder total de acceso a nuestro teléfono por medio de únicamente estas dos casillas es lo requerido para poder empezar a usarla.

alerta RGPD

 

Tras la búsqueda exhaustiva de las condiciones de uso de FaceApp, de difícil acceso, podemos comprobar como esta por fin ha sido actualizada tras la gran polémica generalizada el año pasado al descubrir que no se actualizaba desde enero de 2017 y en consecuencia no estaba mínimamente adaptada al Reglamento General de Protección de Datos (RGDP).

Sin embargo, ahora, tras su actualización, seguimos pudiendo comprobar algunos dudosos puntos, por ejemplo:

  • Les estás dando permiso para registrar importantes datos de tu dispositivo: el tipo y versión del sistema operativo, el fabricante y modelo, el ID de Google o Apple “para publicidad” -expresado así por la misma política-, el tipo de navegador, la resolución de pantalla y, los dos aspectos más alarmantes, la dirección IP -y el país de ubicación– y el sitio web que has visitado antes de visitar su sitio web.
  • Al aceptar la política de privacidad -probablemente y como hacen todos, sin leerla antes- también estás aceptando que si conectas tu cuenta de redes sociales, por ejemplo tu perfil de Facebook, estás dando acceso a FaceApp a “recopilar información de esa plataforma o red”, como tu alias de redes sociales, nombre y apellido, número de ‘amigos’ y, dependiendo de tu configuración en Facebook o la red social que hayas conectado, una lista de tus amigos -aunque, dicen, no utilizan ni almacenan esta información-.
  • Por último, son muy claros en cuanto a la venta de tus datos a terceros: advierten que recopilan datos de tu actividad online en su app y su web, “incluidas las páginas o pantallas que viste, cuánto tiempo pasaste en una página o pantalla, rutas de navegación entre páginas o pantallas, información sobre tu actividad en una página o pantalla y tiempos de acceso y duración del acceso” y que sus “proveedores de servicios y ciertos terceros (por ejemplo, redes de publicidad online y sus clientes) también pueden recopilar este tipo de información”.

Descubrimos a su vez que ahora, el grupo de empresas “Wireless Lab”, tiene capacidad para compartir nuestros datos con otras compañías de su grupo empresarial, o con otros servicios con los que llegue a acuerdos privados; así como registrar y analizar datos sobre el comportamiento del usuario (independientemente de que seas o no usuario de su versión Premium, que comparte la misma política de privacidad y tratamiento de datos).

En este sentido, según indican los términos y condiciones de la aplicación, al “aceptar” las condiciones “FaceApp posee una licencia con derecho de sublicencia transferible, perpetua, irrevocable, no exclusiva, libre de regalías, mundial, totalmente pagada, para usar, reproducir, modificar, adaptar, publicar, traducir, crear trabajos derivados, distribuir, ejecutar públicamente y mostrar su Contenido de usuario y cualquier nombre, nombre de usuario o imagen proporcionada en relación con su Contenido de usuario en todos los formatos y canales de medios conocidos o desarrollados posteriormente, sin compesación para usted”.

Otro aspecto polémico de los términos es que indican que podrán transferir los datos de un Estado a otro para regirse por la jurisdicción de protección de datos de otro país, y que de este modo esta colección de datos sea legal. En la política de privacidad avisan de que “si se encuentra en la Unión Europea y otras regiones con leyes que rigen la recopilación y el uso de datos que pueden diferir de las leyes de Estados Unidos, tenga en cuenta que podemos transferir información, incluida información personal, a un país y jurisdicción que no tenga las mismas leyes que su jurisdicción en relación a protección de datos”.

safety iuris protección de datos

¿¡QUÉ HAY ENTONCES DEL RGPD Y LA LOPD-GDD!?

Podríamos pensar que tras la publicación del RGPD y la LOPDGDD, tanto en España como en el espacio de la Unión Europea, se han restringido mucho la posibilidad de utilización de datos personales sin consentimiento expreso y plenamente informado, lo cual es cierto. Sin embargo, esta «app» ha sido capaz de encontrar un resquicio para saltarse toda nuestra normativa.

Tal es así que, como ya decíamos anteriormente, los propios términos de uso de FaceApp, cuyos servidores se encuentran en Rusia, establecen que si vivimos dentro de la Unión Europea o estamos en países donde las leyes  limitan la recopilación de los datos de manera distinta a la que se establecen en los Estados Unidos, se reservan el derecho transferir los datos a los servidores que están en países o jurisdicciones más laxos en cuanto al tratamiento de los datos personales.

¿Y esto que significa? Pues muy sencillo, que desde el mismo momento en el que nos descargamos la aplicación y aceptamos su política, todos los datos que aportamos, incluidas las fotografías que subimos, las estamos cediendo a la aplicación y ésta tiene la posibilidad de cederlas a un tercero incluso cuando no pudiese usarlas en nuestro espacio normativo.

Pero ojo, porque la cosa parece que va más allá y no solo se ceñiría a los datos que aportamos a la aplicación, sino a todos los datos de nuestro teléfono, y más a más, la preocupante obtención de los datos biométricos de sus usuarios, que ha desplazado el debate ya no solo al cumplimiento normativo en materia de protección de datos, sino hacia los posibles usos malintencionados de la combinación de “datos de alta sensibilidad” y “el origen, términos y condiciones de la aplicación”, que transforma este tema en algo realmente preocupante, un riesgo para la seguridad y para la privacidad de millones de personas.

Tanto es así que hemos llegado a ver como la preocupación por la privacidad en la aplicación en Estados Unidos ha llegado hasta el Comité Nacional Demócrata, que pidió a sus ciudadanos que no usen la aplicación e, incluso, el líder Demócrata en el Senado de Estados Unidos Chuck Schumer solicitó al FBI y al FTC (del  órgano el regulador de telecomunicaciones de ese país) que se investigue FaceApp y aclaren toda esta polémica que se cierne sobre una “inofensiva app móvil” que está tratando datos personales, llegando a tratar incluso datos biométricos, dando incontables inseguridades para los usuarios y trabajando desde un país como Rusia, activamente involucrado en ciberhostilidades.

 

¿Y ESTA MANERA DE ACTUAR AL MARGEN DE LA LEY NO GENERA INSEGURIDAD JURÍDICA?

La respuesta es clara, SI. Y la realidad en este sentido no es menos alarmante, ya que esta inseguridad y opacidad es algo más que común en el ámbito web de las aplicaciones móviles.

En este sentido, como suele suceder en tantas otras aplicaciones para móvil que tratan datos personales como estas fotografías, no siempre nos encontramos con servicios que cumplan completamente la Ley, y, efectivamente, esta aplicación, no es menos.

La popularidad de esta aplicación, no obstante, sigue creciendo por momentos, a pesar de la alarma social que se está creando en otros estratos de la sociedad.

Tanto es así que el equipo de desarrollo de la app, con el objetivo de zanjar la polémica, ha realizado un comunicado en el que, se defienden afirmando que  la mayoría de las fotos subidas se eliminan de sus servidores a las 48 horas, es más, que las fotografías ni siquiera las transfieren de nuestro teléfono a ninguna nube, y que por lo tanto no pueden cederlas de modo alguno a terceros; e incluso  ha señalado los pasos necesarios para que la «app» borre toda la información del usuario

  • Enviando una solicitud desde la propia aplicación del móvil, a través de la pestaña de configuración, concretamente pinchando en «soporte» y «reportar un error», donde encontraremos la palabra «privacidad» en la línea del asunto y de este modo tramitarían el borrado de toda la documentación y de tal información.

Sin embargo, bien es cierto que en ningún momento se explica es la forma en la que destruyen los citados datos personales, así como qué tipo de información se quedan y qué datos exactamente son LOS QUE SÍ CONSERVAN.

Vemos en definitiva cómo existen claros problemas jurídicos para el desarrollo de este tipo de servicios «app», con una baja o nula transparencia respecto a los usos y transferencias internacionales de los datos, plazos de conservación indefinidos y habilitaciones incluso para uso comercial de las imágenes obtenidas mientras por el momento, nadie actúa en post de aumentar esta protección jurídica por medio del cumplimiento de la legislación.

safety iuris procesal

¿NO TENEMOS ORGANISMOS DEDICADOS A PROTEGERNOS ANTE ESTOS ABUSOS?

La AEPD es el organismo público encargado de controlar este tipo de prácticas, pero la realidad es que actualmente no dan abasto. En este primer momento la Agencia española, igual que sus homólogas europeas, se está centrando de oficio en las cuestiones más graves, como las que han dado lugar a las conocidas sanciones a “LaLiga”, “Google” o “Facebook”; así como a la ingente cantidad de denuncias particulares que van llegándoles, pero hay muchas cosas que no da tiempo a revisar por falta de recursos.

El universo inabarcable de servicios, aplicaciones, páginas web y fabricantes que acceden a datos personales de ciudadanos europeos es uno de los motivos fundamentales que llevó a la UE a diseñar un mecanismo de disuasión mediante multas que impidiera que las autoridades tuvieran que revisar las políticas de privacidad una por una.

En este sentido el RGPD contempla sanciones millonarias para detener estas prácticas, no obstante, hay sectores, como el de las «apps», donde el miedo a la sanción no ha calado aún.

Además no se puede decir que el sector digital esté poniendo mucho de su parte para asegurar el cumplimiento de las leyes de privacidad. Tanto Google como Apple mantienen en su cartera de descargas aplicaciones que no cumplen las normas, como FaceApp, y al final observamos como a la vista de los hechos ambas multinacionales, especialmente la primera, también acaban haciendo negocio en el mercado internacional de los datos personales, lo cual dificulta la guerra contra estas prácticas ilegales en tanto a estar parcialmente apoyadas por grandes compañías lobistas.

 

CONCLUSIÓN

El funcionamiento del mercado de los datos y cómo actúan las compañías que comercian con ellos es un submundo que no se conoce, y donde hay muchos intereses económicos para que no sea transparente.

En todo caso, hay que tener en cuenta que con una mera fotografía estamos cediendo mucha información ya que, por ejemplo, por defecto, cada fotografía que saca un usuario contiene metadatos como la posición y la hora en la que se han tomado, lo cual puede ser almacenado, utilizado y cedido por la App.

Visto así puede que a muchos le recuerde a otros sistemas utilizados, por ejemplo, por redes sociales como Instagram o Facebook, donde todos sabemos que desde el mismo momento en el que abrimos una cuenta y subimos fotografías, éstas son las adquiridas de facto por parte de la compañía, cediendo por nuestra parte ese espacio que entendíamos que era privado.

La gente que tenderá a descargar dicha aplicación sin tener en cuenta los riesgos ya habrán cargado multitud de imágenes en otras redes sociales, y que pueden ser descargadas por parte de terceros, aunque no tengan una habilitación legal para ello.

El caso de FaceApp debe servirnos para recordar de nuevo la facilidad con la que se instalan aplicaciones en un terminal de nuestra propiedad, cómo se entrega la privacidad desconociendo que sucederá después con los datos que aportamos, más allá de este caso concreto, y cómo empresas extranjeras abren un servicio al público sin quedar sujetas en la práctica a las múltiples obligaciones que la normativa establece en la Unión Europea.

De modo que si lo que nos preguntamos es si somos conscientes de los riesgos de instalar una aplicación y de subir nuestros datos a la nube, la respuesta es claramente negativa, y ese es el verdadero problema.

safety iuris despacho de abogados

Para más información o consulta, en Safety Iuris estaremos encantados de ayudarle desde nuestro departamento de Protección de Datos, en el telf. 968 93 19 60 o en el correo electrónico info@safetyiuris.com .