25ma Conferenza Internazionale delle Autorità di Protezione dei Dati e della Privacy

Sydney, 10-12 Settembre 2003

RISOLUZIONE RELATIVA ALL' IDENTIFICAZIONE ATTRAVERSO RADIOFREQUENZE (RFID)

adottata venerdì 12 settembre 2003
(Traduzione non ufficiale)

"Sulla base di una proposta formulata dall’Autorità per la protezione dei dati e l’accesso alle informazioni del Brandeburgo, dal Centro indipendente per la tutela della privacy dello Schleswig-Holstein, dall’Autorità spagnola per la protezione dei dati e dall’Autorità per la protezione dei dati del Cantone Zug, Svizzera, la Conferenza internazionale delibera quanto segue:

I dispositivi basati sull’identificazione attraverso radiofrequenze (RFID) trovano impiego crescente per numerosi scopi. Pur esistendo situazioni in cui tale tecnologia può avere effetti positivi e benefici, vi sono anche implicazioni potenziali in termini di privacy. Sinora le etichette RFID vengono utilizzate soprattutto per l’identificazione e la gestione di oggetti (prodotti), per il controllo della catena distributiva, o per tutelare l’autenticità di singoli marchi; tuttavia, esse potrebbero essere messe in relazione con dati personali come quelli ricavabili dalle carte di credito, e potrebbero essere utilizzate persino per raccogliere tali dati, oppure per localizzare o profilare individui in possesso di oggetti che rechino tali etichette. La tecnologia in questione potrebbe consentire di ricostruire le attività di singoli individui e istituire collegamenti fra le informazioni raccolte e banche dati preesistenti.

La Conferenza sottolinea la necessità di tenere conto dei principi di protezione dati qualora si preveda di introdurre etichette RFID connesse a dati personali. Occorre rispettare tutti i principi fondamentali della normativa in materia di protezione dei dati e privacy nella progettazione, nella realizzazione e nell’utilizzazione di dispositivi basati sulla tecnologia RFID.

In particolare:

a) prima di ricorrere a etichette RFID connesse a dati personali, o tali da consentire la profilazione della clientela, ciascun titolare di trattamento dovrebbe valutare approcci alternativi che consentano di raggiungere lo stesso obiettivo senza raccogliere dati personali o profilare la clientela;

b) qualora il titolare del trattamento dimostri che è indispensabile ricorrere a dati personali, questi ultimi devono essere raccolti in modo chiaro e trasparente;

c) i dati personali possono essere utilizzati esclusivamente per lo scopo specifico per cui sono stati inizialmente raccolti, e possono essere conservati soltanto finché risultino necessari al raggiungimento (o al soddisfacimento) di tale scopo, e

d) i singoli interessati dovrebbero avere la possibilità di cancellare i dati e di disattivare o distruggere le etichette RFID una volta che ne siano entrati in possesso.

Si dovrebbe tenere conto dei principi sopra indicati nella progettazione e nell’utilizzazione di prodotti con tecnologie RFID.

La lettura e l’attivazione remote di etichette RFID, senza che la persona in possesso dell’oggetto recante un’etichetta del genere abbia alcuna ragionevole possibilità di intervenire in tale procedimento, sarebbero fonte di ulteriori preoccupazioni in termini di privacy.

La Conferenza e l’International Working Group on Data Protection in Telecommunications intendono seguire con attenzione e in modo approfondito gli sviluppi tecnologici in questo campo, al fine di garantire il rispetto dei principi di protezione dati e privacy nell’ambito della cosiddetta ‘informatizzazione pervasiva’ (ubiquitous computing)".