Lensa e Magic Avatar, la nostra segnalazione al Garante Privacy
13.12.2022 Oggi il team legale di Privacy Network ha preparato e inviato al Garante Privacy una segnalazione in merito all’ormai famosissimo software “Lensa”, sviluppato da Prisma Labs Inc.
Il software permette di creare una serie di “avatar” artistici prodotti dall’intelligenza artificiale a partire da fotografie degli utenti. La vicenda richiama da vicino quella di “FaceApp”, anche se con alcune importanti differenze che espongono Lensa a maggiori rischi sotto il punto di vista della normativa privacy.
Di seguito il testo della nostra segnalazione:
PREMESSO CHE
Prisma Labs, Inc. è una società di diritto statunitense che ha sviluppato l’applicazione Lensa AI, utilizzata per la modifica e il ritocco di foto, che tramite la funzionalità “Magic Avatars” che permette di creare una serie di avatar utente partendo da una propria foto.
Come affermato dalla stessa società nei termini e condizioni del servizio, il sistema si basa sull’utilizzo di Intelligenza Artificiale (reti neurali e deep learning) e funziona tramite API e integrazioni offerte da terze parti.
Il software è disponibile sugli store di applicazioni più diffusi e, grazie alla citata funzionalità Magic Avatars, è diventato virale.
VISTE
Le recenti osservazioni sollevate dalla stampa italiana e straniera, concernenti i pericoli per la riservatezza dei dati degli utenti (link, link) e i possibili effetti discriminatori (link).
Le perplessità suscitate da un’altra applicazione di simile utilizzo denominata “FaceApp”.
RILEVATO
Che il contenuto della privacy policy dell’app e le modalità di trattamento dei dati non appaiono chiare per i motivi di seguito descritti.
Non sono chiare le modalità di trattamento delle immagini. Nonostante la società affermi che le immagini vengano cancellate 24 ore dopo essere state processate da Lensa, esse vengono comunque conservate presso i server di cui si avvale la società e utilizzate, dietro la concessione da parte dell’utente di una licenza completa e gratuita, per addestrare l’intelligenza artificiale che sta alla base del funzionamento dell’app[1]. Tra queste immagini rientrano i dati relativi alla scansione del volto degli utenti (e, quindi, dati biometrici) e le “opere derivate”, ossia le immagini create dall’applicazione stessa, ad esempio tramite la funzionalità “Magic Avatars”.
Sono fornite informazioni fuorvianti in merito all’anonimato dei dati. L’applicativo acquisisce e tratta un ampio quantitativo di dati degli utenti, come identificativi del dispositivo e log di sistema. Nel caso degli utenti registrati, anche email, user ID e dati identificativi legati a Google Play o Apple Store. Tale raccolta di dati sembra contrastare quanto affermato da Prisma Labs nella loro stessa privacy policy: “the photos: (i) become available to us anonymously” e “We do not […] Use the Face Data to build a User profile, or otherwise attempt, facilitate, or encourage third parties to identify anonymous Users or reconstruct User profiles based on the Face Data”.
Appare chiaro a chi scrive che sia fuorviante parlare di “foto anonime” e “utenti anonimi” sapendo che l’app acquisisce dati direttamente identificativi che possono essere facilmente collegati all’elaborazione delle foto. Come noto, un dataset può ritenersi anonimo soltanto se il soggetto interessato non possa più essere identificato direttamente o indirettamente, né dal singolo titolare del trattamento né da altri. Nel caso di specie sembra invece quasi triviale poter collegare i dati biometrici a uno specifico utente, specie se registrato sull’applicativo.
Non è possibile stabilire per quali finalità del trattamento sia utilizzato il consenso dell’utente. Dalla lettura della privacy policy si evince che il consenso dell’utente è utilizzato per svolgere non meglio specificate operazioni di trattamento sulle immagini degli utenti (“We do not use your Face Data you provide when you Use Lensa for any reason other than to apply different stylized filters or effects to them unless you have given us your explicit consent to use the photos or videos for a different purpose[2]”; “The Company License is for the limited purpose of operating Lensa and improving our existing and new products, […] unless you have provided us your additional explicit consent for the different purpose where required by applicable law”). Queste operazioni di trattamento non sono tuttavia dettagliate e non viene specificato come effettivamente le fotografie degli utenti potrebbero essere utilizzate. La non piena conoscibilità del trattamento da parte dei soggetti interessati, oltre ad essere una possibile violazione della normativa, potrebbe costituire un rischio da cui potrebbe derivare anche una limitazione dei loro diritti e libertà.
Il legittimo interesse del titolare del trattamento è utilizzato per finalità con esso incompatibili. In particolare, l’interesse legittimo del titolare del trattamento viene utilizzato per finalità di analitica all’interno dell’applicazione e per allenare gli algoritmi di intelligenza artificiale[3]. Queste finalità risultano eccessive rispetto alle ragionevoli aspettative degli interessati. Come evidenziato nel provvedimento di questa autorità relativo all’utilizzo di cookie e tracciatori, l’utilizzo di strumenti di analitica nel contesto delle applicazioni mobili deve essere sottoposto al consenso degli interessati. A maggior ragione questo dovrebbe essere vero per l’uso di dati per allenare sistemi molto più invasivi e complessi come le reti neurali. Inoltre, non è chiaro il modo in cui gli utenti avrebbero modo di esercitare il loro diritto di opposizione verso questo trattamento fondato sul legittimo interesse.
I dati sopra descritti sono oggetto di trasferimento in assenza di garanzie adeguate. La privacy policy riporta infatti che i dati potrebbero essere trasferiti verso gli USA dove sono situati sia la sede legale di Prisma Labs sia i server dei fornitori tecnici della stessa (Amazon e Google). Con riferimento a queste operazioni di trasferimento non sono indicate garanzie ulteriori conformemente a quanto previsto dalla sentenza Schrems II e dalle Raccomandazioni EDPB in materia di misure supplementari (1/2020), ma unicamente le Standard Contractual Clauses.
Si sottolinea infine come le modalità del trattamento e di conservazione dei dati, le non chiare finalità e il trasferimento di dati all’estero potrebbero creare i presupposti per specifiche minacce ai diritti e libertà dei soggetti interessati, non necessariamente legate a rischi di sicurezza.
Ad esempio, è evidente il rischio di “uso secondario” dei dati, con conseguente distorsione delle aspettative delle persone, disagi psicologici e anche possibili future discriminazioni. Inoltre, vale la pena menzionare il fatto che in teoria chiunque potrebbe caricare immagini sull’applicativo, anche altrui. Da tale evenienza potrebbe derivare un rischio di appropriazione dell’immagine altrui e di esposizione (anche di semi-nudità) senza il consenso del diretto interessato. Pur essendo parzialmente al di fuori del controllo dell’applicazione, la società avrebbe quantomeno dovuto inserire delle avvertenze a tal riguardo e creare dei canali di assistenza specifici per la cancellazione tempestiva dei dati nel caso in cui si verificassero tali episodi.
TUTTO CIÒ PREMESSO
Con la presente si segnalano le suddette circostanze all’Autorità Garante della Protezione dei Dati, pregandola di voler verificare se il trattamento dei dati posto in essere da Prisma Labs Inc. risulti conforme alla disciplina in materia di protezione dei dati personali e, se del caso, adottare i provvedimenti considerati opportuni.
[1] cfr. Lensa AI “Terms of Use”, sez. 5 “User Content”, par. 2; pagina visitata il 11/12/2022
[2] cfr. Lensa AI “Privacy policy”, sez. 4, “How we use your photos and videos””, par. 3; pagina visitata il 11/12/2022
[3] cfr. Lensa AI “Privacy policy”, sez. 5, “How we use collected information””, par. 2; pagina visitata il 11/12/2022
