Para comprender el fenómeno de Faceapp hay que remontarse a la fecha de su desarrollo, en el año 2017 por la empresa desarrolladora Wireless Lab ubicada en San Petersburgo, Rusia. No es una aplicación nueva, sin embargo, la utilización de influencers y artistas junto con los desafíos virales hacen que la aplicación comience a tener mayor cantidad de usuarios a nivel mundial. 

El desafío o challenge consiste es la utilización de filtros de envejecimiento sobre las imágenes para luego publicarlas en las redes sociales o compartirlas.  La aplicación logró tener un despegue masivo a nivel mundial. 

Aquí radica la principal clave del intercambio de información el consentimiento del titular del dato que bajo la face app y de quien presta su imagen para ser fotografiado y que le sean aplicados los filtros, luego, uno o ambos suben la imagen obtenida y la comparten para que sea objeto de comentarios y likes, demás está decir que vienen circulando en los últimos días no solo en redes sociales como instagram y facebook sino también en todas las historias y los estados de whatsapp. A esto debemos sumarle el aditivo de que si un integrante familiar tiene hijos y cada uno de ellos pasa por el filtro de la app y su imagen también será compartida, a lo cual como siempre recordamos que no se adquiere total dimensión del alcance y circulación de las imágenes de niños, niñas y adolescentes que podrían llegar a ser utilizadas con otros fines y subidas a portales de la deep web. El control parental de las imágenes que se suben es difuso y en la mayoría de los casos los adultos pierden noción de los efectos nocivos que pueden causarse subiendo fotos de sus hijos a redes sociales. 

Puntos a destacar tanto el control parental de la información como el derecho al olvido en internet son pautas determinadas en el Reglamento Europeo mientras que en el caso del derecho argentino, aún la Ley de Protección de Datos Personales no se ha alineado a los avances en materia de protección de datos personales y privacidad contando hasta el momento sólo con un proyecto en trámite en el Congreso Nacional.

Hay que destacar, que la aplicación ha logrado mejorar en los últimos años sus filtros y métodos para aplicarlos en los rostros mediante el uso de redes neuronales, que son un campo dentro de la inteligencia artificial. 

El reconocimiento facial que hace el software mediante el uso de la cámara utiliza un algoritmo que permite reconocer patrones faciales y rasgos físicos de la persona, el sexo y en su defecto se podría identificar el nombre y apellido de la persona cruzandola con otra base de datos o la misma que se utiliza para registrar en el sitio. 

Faceapp, ubicación de sus servidores y transferencia y procesamiento de datos

En primera instancia mediante un análisis de la ubicación del domino de la aplicación, no hay información de contacto técnico, administrativo ni del registrante. Teniendo presente que es una empresa de software protege su información mediante el servicio de WhoisGuard ubicado en Panamá. Aquí surge un problema ya que Panama publico su Ley de Protección de Datos Personales el 26 de marzo de 2019, la cual se puede considerar como una buena ley en materia de resguardo de información personal, contando con legislación adaptada a las normas del Reglamento Europeo y a su vez designando un Órgano de Control de la Ley denominado ANTAI, los derechos de los titulares de datos personales estan reconocidos pero se hace una salvedad “será efectiva a los DOS (2) años de su promulgación”, lo que deja a los titulares de datos personales indefensos a la hora de peticionar sus derechos de acceso o supresión. 

Por otro lado, en relación a los servidores se contrataron servicios de Amazon Web Services, donde según el ICANN los servidores son los siguientes: 

• ns-97.awsdns-12.com
• ns-927.awsdns-51.net
• ns-1639.awsdns-12.co.uk
• ns-1202.awsdns-22.org

El hosting del sitio podría ser en servidores ubicados en Estados Unidos, tal como oportunamente lo aclara en el punto 14 de sus términos y condiciones. Pero, en dicho documento se aclara por el acceso y la utilización de los servicios, el usuario otorga el consentimiento para procesar, transferir y almacenar tus datos personales e información personal en los Estados Unidos y en otros países, donde es posible que se tengan los mismos derechos y protecciones. 

En la los términos y condiciones no se aclaran ni en que países, ni en que otros servidores se pueden llegar a transferir los datos por lo que esas imágenes que se suben, que si bien pueden ser a los servidores norteamericanos, más allá de que poseas los derechos de las imágenes, se pueden transferir a países donde puede que no tengan una legislación adecuada de protección de datos personales o que no tengan un órgano de control donde se pueda realizar el reclamo de los derechos ARCO y los derechos que incorporan legislaciones actualizadas como el de la Unión Europea y en latinoamérica como Brasil, Chile y Uruguay. 

Es decir, no se establece ante quién o quiénes y en qué jurisdicción debería solicitarse el ejercicio de los derechos del titular, acceso o supresión, por lo cual hay varias zonas grises para cuestionar. 

Passwords únicos y las medidas razonables de seguridad

La empresa sostiene que utiliza medidas de seguridad “razonables” para mantener la seguridad y privacidad de la información, la razonabilidad debe tenerse en cuenta como el  equilibrio entre los medios y los fines. En este caso,menciona que por tal razón se una contraseña única para garantizar el acceso a la cuenta pero, sin embargo no asegura que la información que se transmite utilizando la aplicación no puede ser alterada, destruida, que no puedan acceder terceros o no se pueda divulgar estos datos. 

No se mencionan aspectos técnicos de seguridad, como se resguarda la información o cuáles son las medidas de seguridad de la información porque la seguridad que mencionan daría a entender, tal como lo aclaran, es en parte responsabilidad del usuario que debe mantener su contraseña en secreto al igual que la información de su cuenta. 

Análisis de la aplicación

Protege Tus Datos realizó un análisis de la aplicación para verificar los riesgos que podría tener su utilización. 

• Durante en análisis no se encontraron riesgos altos, sin embargo se podrían considerar algunos riesgos nivel medios tomando como parámetro el OWASP Top Ten Mobile.
• Se encontró que la aplicación móvil utiliza conexiones con el protocolo HTTP para enviar y recibir data. Este protocolo no brinda cifrado para transmitir información, por lo que puede ser interceptada por un atacante que se encuentra en la misma red.
• La aplicación utiliza una base de datos SQLite sin cifrado. Un atacante puede acceder a la base de datos con un acceso físico o mediante una aplicación maliciosa con root.
• La aplicación posee datos harcodeados que podrían ser utilizados por atacantes para buscar vulnerabilidades y obtener datos personales. 

Conclusión

La libertad del usuario y el consentimiento libre, expreso y revocable deben ser los ejes a debatir, pero tomando en cuenta los riesgos de las apps que se usan o están de moda, nadie dice que se debe o no se debe hacer en internet o redes sociales, solo ser conscientes de los riesgos y conocer nuestros derechos y los límites de la privacidad hacen  que nosotros los usuarios seamos felices y disfrutemos sanamente de los avances tecnológicos que tanto placer lúdico nos dan.

Acerca de los autores:

• Dra. Natalia Pacheco, Abogada y Docente UBA especializada en Derechos Humanos, Estado y Sociedad UNTREF-ECAE.  @natipach77

• Mag. Lic. Marco Antonio Villan, Magister en Tecnologías de la Información y la Comunicación UADE, Lic. En Comunicación Audiovisual UNSAM y  Periodista TEA. Investigador y Docente UADE. @marcoavillan