RFID, ecco cosa attendersi
di Guido Villa (Lidis.it) – Il mondo dell’industria e del commercio guarda sempre più ai radiochip come ad una soluzione dai grandi vantaggi. Che ci sono anche per i consumatori. Se lo sanno e ne sono consapevoli
01/04/05 – Commenti – Roma – Con un comunicato stampa del 25 marzo scorso, l’Autorità Garante per la protezione dei dati Personali ha annunciato l’adozione di un provvedimento generale sulle c.d. “Etichette intelligenti”. In un precedente comunicato (del 31 dicembre 2004), il Garante della Privacy aveva indetto una consultazione pubblica su quattro dei temi pi˘ scottanti in tema di dati personali e nuove tecnologie: carte di “fedelt‡” (o tessere di “fidelizzazione”), televisione satellitare e interattiva, videotelefonini e, per l’appunto, tecniche di Radio Frequency Identification (RFID: c.d. etichette intelligenti).
In merito agli aspetti tecnici della tecnologia RFID Ë stato gi‡ detto molto, e dunque in questa sede ci soffermeremo sulle problematiche legate alla tutela dei dati personali. Non v’Ë dubbio, infatti, che l’aspetto pi˘ delicato e dibattuto legato alla tecnologia delle “etichette intelligenti” sia proprio quest’ultimo.
L’attenzione Ë massima, soprattutto nei confronti degli impieghi cui nel prossimo futuro potr‡ essere destinata la tecnologia RFID. Se sino a pochi mesi fa una ricerca con la chiave “RFID” su “Google” (tra i siti italiani) restituiva ben poche informazioni, ad oggi sono centinaia le pagine informative ed i siti internet di societ‡ specializzate nel fornire soluzioni di “etichettatura intelligente”.
Ad esito della consultazione pubblica, Ë la stessa Autorit‡ Garante ad affermare che determinati impieghi della tecnologia RFID possono costituire una violazione del diritto alla protezione dei dati personali, ed avere serie ripercussioni sull’integrit‡ e la dignit‡ della persona, anche perchÈ, per le ridotte dimensioni e l’ubicazione delle cd. “etichette intelligenti” e dei relativi lettori, il trattamento dei dati personali attraverso la RFID puÚ essere effettuato all’insaputa dell’interessato.
In determinati casi tale trattamento puÚ costituire una violazione del diritto alla protezione dei dati personali e determinare forme di controllo sulle persone: con l’uso di RFID si potrebbero, infatti, raccogliere innumerevoli dati sulle abitudini dei consumatori a fini di profilazione o essere in grado di tracciare i percorsi effettuati dagli stessi, controllarne la posizione geografica o verificare quali prodotti usa, indossa, trasporta.
Vediamo ora quali sono le principali disposizioni contenute nel provvedimento generale del Garante. In primo luogo, in ottemperanza al principio di necessit‡ del trattamento di cui all’art.3 del d.lgs. 196/03 (c.d. Codice della Privacy), occorrer‡ configurare i sistemi RFID in modo tale da evitare l’utilizzazione di dati personali oppure, a seconda dei casi, l’identificabilit‡ degli interessati, quando non siano strettamente necessarie in relazione alla finalit‡ perseguita. Il dato contenuto nel TAG RFID, dunque, potr‡ essere associato ad una persona fisica o giuridica sono nel caso in cui ciÚ sia strettamente necessario all’operativit‡ del sistema.
In secondo luogo, oltre ad uniformarsi ai principi di liceit‡, finalit‡ e proporzionalit‡ comuni agli altri trattamenti, il titolare del trattamento, nel fornire agli interessati la prescritta informativa, sar‡ tenuto ad indicare la presenza di etichette RFID e specificare che, attraverso i sistemi connessi, sar‡ possibile raccogliere dati personali senza che l’interessato si attivi e/o se ne avveda. Dovr‡ essere poi segnalata mediante informativa anche l’esistenza di lettori in grado di interagire con il Tag RFID. Chiara evidenza dovr‡ essere inoltre data anche alle modalit‡ di asportazione e/o disattivazione dell’etichetta, o comunque di interruzione del funzionamento del sistema di RFID.
Per quanto riguarda le applicazioni specifiche, il provvedimento dell’Autorit‡ Garante si Ë soffermato su quelle che, ad oggi, appaiono essere le applicazioni che riguarderanno pi˘ da vicino un gran numero di persone, ed in particolare:
– per quanto riguarda l’utilizzo di tecniche RFID in esercizi commerciali, Ë stato chiarito che non sussiste la necessit‡ di richiedere un consenso al trattamento dei dati, solamente qualora il sistema non comporti alcuna riconducibilit‡ dei prodotti ad acquirenti identificati o identificabili;
– nel caso in cui, invece, le tecniche di RFID siano associate ad acquirenti identificati, es. con l’utilizzo di carte di fidelizzazione della clientela a fini di profilazione commerciale, valgono anche i principi di protezione dei dati (con specifico riferimento a informativa, consenso, necessit‡ e proporzionalit‡ del trattamento) esplicitati dalla stessa Autorit‡ Garante nel provvedimento del 24 febbraio 2005 (“Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”);
– le etichette devono essere disattivate dopo il passaggio attraverso la cassa: non Ë infatti di regola lecita l’installazione di etichette RFID destinate a rimanere attive anche oltre la barriera-cassa dell’esercizio commerciale in cui sono utilizzate. Nel caso in cui, tuttavia, tale impiego dovesse essere ipoteticamente ritenuto lecito, presupporrebbe comunque il necessario consenso dell’interessato.
– per quanto concerne l’utilizzo dei sistemi RFID nella verifica di accessi a determinati luoghi, occorrer‡ tener conto del fatto che: se la tecnologia Ë utilizzata per verificare accessi a luoghi di lavoro (o comunque sul luogo di lavoro) lo Statuto dei lavoratori vieta l’uso di impianti e apparecchiature per finalit‡ di controllo a distanza dell’attivit‡ dei lavoratori e, nel caso in cui il loro impiego risulti necessario per altre finalit‡, prescrive alcune garanzie (art. 4 l. 20 maggio 1970, n. 300; art. 114 del Codice); nel caso in cui, invece, la tecnologia RFID venga utilizzata per controllare l’accesso occasionale di terzi in determinati luoghi (ad es. musei, discoteche, piscine, ecc.), il titolare del trattamento dovr‡ comunque predisporre sistemi alternativi da utilizzare nel caso in cui l’interessato si rifiuti di utilizzare il sistema di “etichettatura elettronica”.
Un ultimo accenno va fatto a riguardo della possibilit‡ di ottenere la disattivazione delle “etichette intelligenti”: l’Autorit‡ Garante ha infatti stabilito che l’interessato debba ottenere, gratuitamente e in maniera agevole, la rimozione o la disattivazione delle etichette RFID al momento dell’acquisto del prodotto, e che le etichette debbano essere posizionate in modo tale da risultare facilmente asportabili, senza danneggiare o limitare la funzionalit‡ del prodotto.
Guido Villa
(Studio Legale Sarzana & Partners)
Lidis.it
