FaceApp, el viaje por el mundo de tu cara y por qué la privacidad sigue “brutalmente incumplida” por las apps
“Una aplicación por sí sola quizá no tenga un impacto masivo, porque además suelen pasar por picos, la gente la usa mucho unos días y luego la deja. Pero el entorno que se genera, en el que gran cantidad de apps no cumplen el Reglamento General de Protección de Datos, es potencialmente muy invasivo. Aunque app por app sea una escala pequeña, en el contexto general de su funcionamiento, es brutalmente incumplido por todas partes”.
Así está la situación general de la privacidad en torno a las aplicaciones de los teléfonos móviles. Lo explica a eldiario.es Elena Gil, abogada especialista en nuevas tecnologías, en referencia al caso de FaceApp, una aplicación en la que la foto de la cara del usuario que la usa emprende un viaje por el mundo cuya primera escala es Estados Unidos. Desde ahí puede viajar a Rusia, donde está establecida su empresa desarrolladora, o a cualquier otro lugar.
FaceApp es una aplicación lanzada en 2017 que modifica la cara del usuario para simular, entre otras, qué apariencia tendrá cuando envejezca. Su uso ha repuntado en los últimos días tras modernizar los algoritmos que emplea para funcionar para conseguir un resultado más realista. Influencers con millones de seguidores crearon tendencia al subir sus imágenes retocadas a las redes, lo que la viralizó definitivamente. También disparó las alarmas por su cuestionable política de privacidad.
Las condiciones de uso de FaceApp no se actualizan desde enero de 2017 y no están adaptadas al Reglamento General de Protección de Datos (RGDP) europeo al que hace referencia Gil. Según su política de privacidad, la app envía las caras y el resto de datos personales de sus usuarios a Estados Unidos. Avisa de que puede compartirlos con otras compañías de su grupo empresarial, que está en Rusia, o con otros servicios con los que llegue a acuerdos privados. También de que registra y analiza datos sobre el comportamiento del usuario. Nada de eso es legal sin el consentimiento expreso del usuario desde mayo de 2018, desde que el RGPD es de plena aplicación.
FaceApp tampoco ofrece una posibilidad de conocer qué datos del usuario ha extraído además de su foto, ni cómo solicitar su borrado, obligaciones que se incluyeron en la actual normativa de privacidad. Aunque no es solo una cuestión de desactualización: “Su política de privacidad es un copia y pega genérico que circula por Internet”, avisa Samuel Parra, abogado experto en protección de datos. Las salvaguardas que contempla FaceApp para los rostros de sus usuarios, asociados a sus datos personales, son las mismas que emplea, por ejemplo, Valina, una empresa que hace anillos, con la información que le suministran sus clientes.
“Este tipo de cosas, que una empresa no se preocupe lo más mínimo no ya por cumplir con la normativa, sino con al menos aparentar que cumple, ya dice mucho de qué tipo de personas están detrás y la seriedad de su producto o servicio, así como su fiabilidad”, avisa Parra en conversación con este medio. FaceApp tiene una versión gratuita y otra de pago, pero no hay diferencias en el trato de datos personales que hace cada una de ellas, según su política de privacidad.
¿Quién controla esto?
Las prácticas abusivas de FaceApp no son exclusivas de esta aplicación. En marzo, eldiario.es reveló que la app que el PP promociona entre sus bases tampoco respeta las normas de protección de datos al mandarlos a EEUU y utilizar la información ideológica de los usuarios con fines comerciales. En junio de 2018, esta redacción informó de que la aplicación de La Liga de Fútbol Profesional, el organismo que dirige esta competición, empleaba los teléfonos móviles de los aficionados para espiar a bares y otros establecimientos que ponen partidos para sus clientes.
De ellas, solo la app de LaLiga será multada, como avanzó en junio eldiario.es. La Agencia Española de Protección de Datos (AEPD) entró de oficio a estudiar los hechos y, tras un año de investigación, ha sancionado a la empresa con 250.000 euros. La resolución definitiva se ha publicado este lunes.
La AEPD es el organismo público encargado de controlar este tipo de prácticas. “El problema es que ahora mismo están saturados”, explica Elena Gil. “En este primer momento la Agencia española, igual que sus homólogas europeas, se está centrando en las cuestiones más graves. Un ejemplo de ello es la sanción contra LaLiga. Pero hay muchas cosas que no va a dar tiempo a revisar”, detalla: “Necesita más recursos, pero hay que ser realistas y saber que la Agencia no se puede encargar de todo”.
El universo inabarcable de servicios, aplicaciones, páginas web y fabricantes que acceden a datos personales de ciudadanos europeos llevó a la UE a diseñar un mecanismo de disuasión mediante multas que impidiera que las autoridades tuvieran que revisar las políticas de privacidad una por una. El RGPD contempla sanciones de hasta el 4% de los beneficios anuales de la empresa. La idea es que el riesgo de afrontar esa suma desincentive a las empresas de saltarse las normas.
No obstante, hay sectores, como el de las apps, donde el miedo a la sanción no ha calado aún. “Es una pregunta que me hacen mis clientes: ¿por qué tengo yo que invertir dinero en hacer esto bien, cuando mi competencia lo está haciendo mal y no pasa nada? Y es verdad. Hasta que alguien denuncie no le va a pasar nada, y es muy, muy improbable que alguien denuncie”, lamenta Samuel Parra.
Cualquier ciudadano puede instar a la AEPD a investigar una violación de la protección de datos, a través de un formulario en su página web. “Se tarda poco tiempo, pero es verdad que hay que hacer una labor previa de investigación. Te van a pedir datos como la empresa que está detrás, un enlace a la app. También focalizar un poco el incumplimiento, para lo que a veces hace falta un conocimiento profundo que evidentemente la mayoría de la gente no tiene”, sigue el abogado.
El opaco mercadeo de datos
“La mayoría de la gente no va a querer perder ni cinco minutos en hacer eso. Si no te gusta la app te la desinstalarás y ya está. Si por el camino se han quedado un montón de datos tuyos y ni te enteras, es lo que hay”, denuncia Parra.
Ambos letrados insisten en conversación con eldiario.es que no se puede decir que el sector digital esté poniendo mucho de su parte para asegurar el cumplimiento de las leyes de privacidad. Tanto Google como Apple mantienen aplicaciones que no cumplen las normas, como FaceApp, disponibles para su descarga en Android e iOS. Solo grandes escándalos provocan que las retiren. Ambas multinacionales, especialmente la primera, hacen negocio en el mercado internacional de los datos personales.
“El funcionamiento del mercado de los datos y cómo actúan los brokers que comercian con ellos es un mundo que no se conoce. Hay muchos intereses económicos para que no sea transparente”, expone Elena Gil, premiada por la AEPD en 2016 por su labor de investigación. “Puedes regular algo como ilegal, pero si no puedes probar lo que sucede y encontrar evidencias de que se ha cometido cierta infracción, jamás lo puedes llegar a sancionar. Te pones a investigar y es casi imposible llegar a saber cómo funciona el mercado de datos”, acusa.
“Lo bueno es que este tipo de noticias también ayudan a que la gente se vaya enterando. El problema es que todo esto es nuevo y el usuario no conoce sus derechos. ¿Cómo los vas a ejecutar si no sabes que existen? Hay que darle tiempo”, reflexiona la experta, que deja un consejo: “Mientras tanto, no hay que dejarse guiar por pequeñas recompensas, zanahorias que nos ponen delante como ver nuestra cara envejecida o saber qué personaje de Disney somos a través de un test. Todo eso está hecho para captar datos y perfilarte, saber qué tipo de personalidad hay detrás de ese usuario y colarte publicidad”.