Garante per la protezione
    dei dati personali

Newsletter

RFID E PRIVACY: UN BINOMIO POSSIBILE

L'impiego di dispositivi RFID può comportare il trattamento di dati personali, e in tal caso occorre rispettare tutti i principi di protezione dati sanciti dalle direttive comunitarie e dalle leggi nazionali. Ciò deve avvenire, a giudizio delle Autorità europee per la protezione dei dati, fin dalla fase di produzione, utilizzando accorgimenti tecnologici già oggi disponibili.

Questo è il messaggio contenuto nel Documento adottato dal Gruppo che riunisce le autorità di protezione dati dei 25 paesi dell'Unione europea (disponibile all'indirizzo
http://www.europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp105_en.pdf).
Su questo documento è stata aperta, inoltre, una consultazione pubblica per sollecitare commenti ed osservazioni da tutte le parti interessate
(
http://www.europa.eu.int/comm/internal_market/privacy/workingroup/consultations/consultation_en.htm).

L'utilizzo delle tecnologie RFID (Radio Frequency Identification) pone numerosi interrogativi rispetto alla violazione della dignità umana e della privacy. Pur caratterizzate da evidenti vantaggi da un punto di vista economico - anche in considerazione dei costi relativamente contenuti - esse possono consentire alle imprese e ai governi di introdursi nella sfera più intima degli individui. Attraverso questi sistemi è infatti possibile raccogliere surrettiziamente differenti categorie di dati, tutti riconducibili a una stessa persona; profilare i clienti monitorando i loro comportamenti; conoscere i capi di abbigliamento, gli accessori o le medicine utilizzate.

Il documento approvato dal Gruppo di lavoro è rivolto non solo agli utilizzatori di queste tecnologie, ma anche (e soprattutto) ai produttori ed agli organismi che si occupano di standardizzazione, i quali sono responsabili della creazione di una tecnologia rispettosa della privacy. Se i principi fondamentali in materia di privacy sono presi in considerazione sin dalla fase iniziale di produzione dei dispositivi RFID, sarà più semplice anche per gli utilizzatori rispettare gli obblighi in materia di protezione dei dati personali.

Quali sono le principali componenti di un sistema RFID? Un "tag", ossia un circuito elettronico miniaturizzato che contiene memorizzate alcune informazioni ed è unito ad un'antenna in grado di comunicare queste informazioni attraverso onde radio; un lettore (dotato a sua volta di un'antenna di trasmissione/ricezione); un decodificatore che traduce i dati in entrata in dati digitali potenzialmente trattabili da un computer.

La tecnologia RFID è in rapida evoluzione in numerosi settori, fra i quali si possono ricordare il settore dei trasporti, della distribuzione, dell'aviazione, della sanità, del controllo degli accessi, della vendita al dettaglio (ricordiamo il clamore suscitato, in Italia ed all'estero, dalla notizia secondo cui un importante produttore italiano di capi di abbigliamento stava valutando l'inserimento di tag RFID in tutti i capi di un certo tipo).

Dopo aver richiamato l'attenzione sulla necessità di applicare comunque tutti i principi contenuti nelle direttive europee in materia di protezione dati, laddove si trattino dati relativi ad un individuo identificato e identificabile, il gruppo dei Garanti europei ha voluto sottolineare la possibilità di utilizzare dispositivi tecnologici e accorgimenti di varia natura al fine di dare effettiva attuazione a questi principi. Fatta salva l'esigenza di garantire a priori il rispetto dei diritti e delle libertà fondamentali nell'utilizzo di questa e di qualunque altra tecnologia (principio contenuto nella direttiva 95/46, che i Garanti hanno voluto riaffermare con grande forza), esistono già oggi strumenti che, a vari livelli, permettono di incorporare i principi di protezione dati all'interno di dispositivi come quelli basati sulle tecnologie RFID.

Ecco alcune delle indicazioni specifiche fornite dal Gruppo di lavoro:

  • diritto degli interessati ad essere informati: nel documento si ricorda la possibilità di utilizzare pittogrammi per segnalare in modo semplice e inequivocabile la presenza di dispositivi RFID su qualunque oggetto. L'interessato ha inoltre il diritto di essere informato dell'attivazione di tali dispositivi, il che può avvenire, ad esempio, attraverso segnalazioni luminose o di altra natura (mutamento del colore del tag, ecc.).
  • diritto di accesso, rettifica, cancellazione etc. da parte dell'interessato: i Garanti suggeriscono di utilizzare linguaggi standard come l'XML per descrivere le informazioni memorizzate nei tag RFID (ciò faciliterà l'accesso e la rettifica). Per quanto riguarda la cancellazione, esistono dispositivi cosiddetti di kill che consentono la disattivazione permanente o temporanea dei tag RFID; tuttavia, si sottolinea che non in tutti casi deve esistere questa possibilità (es. i chip RFID inseriti nei passaporti).
  • consenso dell'interessato come presupposto del trattamento dei suoi dati personali: in alcune applicazioni nelle quali l'interessato deve avere la possibilità di ritirare il proprio consenso al trattamento, è possibile utilizzare dispositivi che disattivino facilmente il tag RFID (tag disabler).
  • sicurezza dei dati trattati: su questo punto il Gruppo ha ricordato la necessità di tutelare adeguatamente i dati personali eventualmente contenuti nei tag RFID attraverso misure proporzionali alla natura del trattamento effettuato (cifratura e autenticazione del lettore RFID, impiego di protocolli standard di autenticazione secondo norme ISO, impiego di metodi di autenticazione crittografica etc.).