Garante per la protezione
    dei dati personali

Newsletter

RFID E PRIVACY DEI CONSUMATORI NEGLI USA

Le implicazioni della tecnologia Rfid (radio frequency identification) suscitano attenzione anche negli Stati Uniti rispetto alla tutela delle informazioni personali, in particolare dei consumatori. Il Center for Democracy and Technology (Cdt) ha elaborato recentemente una sorta di "decalogo" di buone prassi (http://www.cdt.org) per assicurare un utilizzo della tecnologia Rfid che sia rispettoso del diritto alla protezione della vita privata.

Il Cdt è un organismo no-profit che da molti anni segue, negli Usa, tematiche connesse alla tutela dei diritti civili. Il documento del Cdt si è concentrato soltanto sugli impieghi commerciali della tecnologia Rfid, e non ha preso in considerazione altre possibili applicazioni (in particolare, nel campo dei rapporti di lavoro o per finalità specifiche di identificazione).

Tre sono i principi dai quali parte l'analisi del Cdt: a) neutralità della tecnologia, nel senso che la tecnologia Rfid non è ritenuta in sé più "pericolosa" di altre per la privacy, mentre il rischio sta nell'utilizzare questa tecnologia secondo meccanismi non rispettosi della privacy degli individui (tracciamento del consumatore, incroci non autorizzati fra banche dati contenenti informazioni personali, utilizzazioni non segnalate, ecc.); b) privacy e sicurezza devono diventare componenti progettuali di ogni dispositivo Rfid; c) trasparenza verso il consumatore, il quale deve sapere se, quando e come siano utilizzati dispositivi Rfid.

Sulla base di questi principi, e utilizzando la falsariga delle Linee-guida Ocse, il Cdt ha indicato alcune regole di comportamento che dovrebbero consentire di conciliare le potenzialità ed i benefici della tecnologia Rfid con la tutela dei dati personali dei consumatori. Si tratta in breve dei principi seguenti:

1) Informativa: il consumatore deve ricevere un'informativa chiara, sintetica e ben visibile qualora si preveda la raccolta di dati personali attraverso dispositivi a radiofrequenza, o qualora sia previsto che le informazioni (anche di localizzazione) raccolte attraverso Rfid siano interconnesse o associate con dati personali contenuti in altri database o archivi. L'informativa deve contenere gli elementi fondamentali (in particolare, presenza di un tag Rfid, finalità della raccolta, utilizzazioni possibili, meccanismi per la disattivazione eventuale del dispositivo Rfid) e deve precedere il completamento dell'acquisto. Deve essere possibile anche l'identificazione dei lettori Rfid eventualmente posizionati in un esercizio commerciale.

2) Consenso: il Cdt distingue fra la situazione in cui i dati personali eventualmente raccolti siano necessari esclusivamente a consentire il funzionamento del prodotto recante un tag Rfid (ad esempio, un dispositivo elettronico) o la prestazione del servizio, oppure il completamento della transazione commerciale e la situazione in cui l'uso dei dati personali è finalizzato ad altri scopi (es. marketing). Ad ogni modo, il consumatore deve avere la possibilità di disattivare (o eliminare, o distruggere) il dispositivo Rfid senza che ciò comporti un danno per il prodotto o il bene acquistato.

3) Trasferimenti a terzi di dati personali: devono essere possibili solo se l'azienda o il soggetto terzo destinatari garantiscono contrattualmente un livello di tutela pari o superiore a quello offerto dalla società/azienda che ha raccolto i dati.

4) Accesso: devono essere disponibili strumenti per consentire al consumatore un accesso "ragionevole" ai propri dati personali raccolti tramite Rfid.

5) Misure di sicurezza: devono essere adeguate ad evitare accessi o tracciamenti non autorizzati, nonché trasmissioni indebite dei dati raccolti. Utile, a tale scopo, ridurre al minimo il volume di informazioni eventualmente memorizzate nei tag Rfid (principio di necessità).

Occorre ricordare che il Gruppo che riunisce le Autorità europee per la protezione dei dati si è occupato più volte di questo tema già nel corso del 2005 (v. Newsletter 2 febbraio 2005) ed ha elaborato alcune linee-guida dalle quali il decalogo della Cdt non si discosta molto.