Le chargé de la protection des données du Land allemand de Hamburg, Johannes Caspar, est de l'avis que la fonctionnalité de reconnaissance faciale introduite récemment par Facebook constitue, en sa forme actuelle, une enfreinte à la législation européenne et allemande relative à la protection des données.
La fonction consiste en une reconnaissance automatisée des caractéristiques biométriques de photos de personnes auparavant identifiées. M. Caspar critique que ce procédé puisse servir à collecter des données biométriques sur des millions de personnes dans une base de données centralisée tandis que les données biométriques sont considérées comme des données à caractère "sensible" (la loi luxembourgeoise requiert par ailleurs une autorisation préalable pour la collecte de telles données dans la mesure où celles-ci servent à l'identification de personnes).
M. Caspar critique encore que la collecte des données biométriques ne se fasse pas par "opt-in" (donc avec le consentement préalable des personnes concernées), mais par "opt-out" (la personne concernée a donc uniquement la possibilité de demander la suppression ultérieure des données collectées), d'autant plus que l'option "opt-out" offerte par Facebook semble être lourdaude et peu aisée à utiliser.
M. Caspar demande dès lors à Facebook de se conformer aux requis légaux européens en matière de protection des données (notamment en ce qui concerne le droit d'autodétermination informationnelle des personnes concernées) ou, à défaut, de supprimer les données biométriques collectées et de ne plus mettre en oeuvre le service de reconnaissance faciale automatisée.