Etichette intelligenti. La posizione dei Garanti mondiali

Workspace

Approvata una risoluzione internazionale dopo la Conferenza di Sidney.

Così riporta un articolo apparso sulla newsletter del Garante per la privacy: le etichette cosiddette «intelligenti» (basate sulla tecnologia in radiofrequenza, RFID) non devono servire per la raccolta di dati personali, a meno che ciò sia assolutamente necessario. In tal caso, i consumatori devono esserne informati adeguatamente, e i dati non possono essere utilizzati per altri scopi. Inoltre, deve essere possibile disattivare o distruggere le etichette RFID una volta che l’acquirente sia entrato in possesso dell’articolo sul quale esse sono applicate. Sono queste le indicazioni principali che emergono dalla risoluzione («Risoluzione sulla RFID Radio Frequency Identification») approvata dalle autorità di protezione dati di quasi 50 Paesi lo scorso 9 dicembre, successivamente alla Conferenza internazionale tenutasi a Sydney nel mese di settembre (http://www.privacyconference2003.org/…). Le etichette RFID, spiega l’articolo apparso sulla newsletter, contengono un minuscolo dispositivo, simile ad un microchip, in cui è memorizzato un identificativo (ad esempio, un numero di serie) che è possibile riconoscere attraverso un lettore funzionante in radiofrequenza. Dispositivi del genere sono particolarmente utili per seguire gli spostamenti (e, quindi, le vendite) di singoli oggetti e prodotti, anche ai fini di inventario. Tuttavia, essi comportano alcuni rischi, in particolare per la facile associabilità a dati personali (come quelli ricavabili dall’acquisto del prodotto effettuato con carta di credito), tanto che si è parlato di una possibile profilazione occulta dei consumatori. L’articolo riporta il testo della Risoluzione. Attraverso l’International Working Group on Data Protection in Telecommunications, del quale fa parte, il Garante seguirà gli sviluppi tecnologici e regolamentari in questo campo. Come ha sottolineato Malcom Crompton, direttore dell’Autorità federale australiana per la protezione dei dati, «Ignorando i principi a tutela della privacy, si rischia di compromettere il futuro di questa tecnologia, con un danno sia per le imprese, sia per i consumatori». Sulla base di una proposta formulata dall’Autorità per la protezione dei dati e l’accesso alle informazioni del Brandeburgo, dal Centro indipendente per la tutela della privacy dello Schleswig-Holstein, dall’Autorità spagnola per la protezione dei dati e dall’Autorità per la protezione dei dati del Cantone Zug, Svizzera, la Conferenza internazionale delibera quanto segue: I dispositivi basati sull’identificazione attraverso radiofrequenze (RFID) trovano impiego crescente per numerosi scopi. Pur esistendo situazioni in cui tale tecnologia può avere effetti positivi e benefici, vi sono anche implicazioni potenziali in termini di privacy. Sinora le etichette RFID vengono utilizzate soprattutto per l’identificazione e la gestione di oggetti (prodotti), per il controllo della catena distributiva, o per tutelare l’autenticità di singoli marchi; tuttavia, esse potrebbero essere messe in relazione con dati personali come quelli ricavabili dalle carte di credito, e potrebbero essere utilizzate persino per raccogliere tali dati, oppure per localizzare o profilare individui in possesso di oggetti che rechino tali etichette. La tecnologia in questione potrebbe consentire di ricostruire le attività di singoli individui e istituire collegamenti fra le informazioni raccolte e banche dati preesistenti. La Conferenza sottolinea la necessità di tenere conto dei principi di protezione dati qualora si preveda di introdurre etichette RFID connesse a dati personali. Occorre rispettare tutti i principi fondamentali della normativa in materia di protezione dei dati e privacy nella progettazione, nella realizzazione e nell’utilizzazione di dispositivi basati sulla tecnologia RFID. In particolare: prima di ricorrere a etichette RFID connesse a dati personali, o tali da consentire la profilazione della clientela, ciascun titolare di trattamento dovrebbe valutare approcci alternativi che consentano di raggiungere lo stesso obiettivo senza raccogliere dati personali o profilare la clientela; qualora il titolare del trattamento dimostri che è indispensabile ricorrere a dati personali, questi ultimi devono essere raccolti in modo chiaro e trasparente; i dati personali possono essere utilizzati esclusivamente per lo scopo specifico per cui sono stati inizialmente raccolti, e possono essere conservati soltanto finché risultino necessari al raggiungimento (o al soddisfacimento) di tale scopo, e i singoli interessati dovrebbero avere la possibilità di cancellare i dati e di disattivare o distruggere le etichette RFID una volta che ne siano entrati in possesso. Si dovrebbe tenere conto dei principi sopra indicati nella progettazione e nell’utilizzazione di prodotti con tecnologie RFID. La lettura e l’attivazione remote di etichette RFID, senza che la persona in possesso dell’oggetto recante un’etichetta del genere abbia alcuna ragionevole possibilità di intervenire in tale procedimento, sarebbero fonte di ulteriori preoccupazioni in termini di privacy. La Conferenza e l’International Working Group on Data Protection in Telecommunications intendono seguire con attenzione e in modo approfondito gli sviluppi tecnologici in questo campo, al fine di garantire il rispetto dei principi di protezione dati e privacy nell’ambito della cosiddetta informatizzazione pervasiva (ubiquitous computing)».

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore