WP 105 - Documento sulla protezione dei dati relativo all'uso della...
WP 105 - Documento sulla protezione dei dati relativo all'uso della tecnologia RFID - 19 gennaio 2005 [1608182]
[doc. web n. 1608189]
Documento sulla protezione dei dati relativo all´uso della tecnologia RFID
19 gennaio 2005 - WP 105
Il documento di lavoro del Gruppo Articoo 29 è rivolto agli utilizzatori di queste tecnologie e ai produttori ed organismi che si occupano di standardizzazione, chiamati a cooperare per orientare queste tecnologie in termini più rispettosi della privacy. Attraverso i dispositivi RFID è infatti possibile raccogliere surrettiziamente differenti categorie di dati: ad esempio, profilare i clienti, monitorando i loro comportamenti, i capi di abbigliamento, gli accessori o le medicine utilizzate.
Dopo aver richiamato l´attenzione sulla necessità di applicare tutti i principi contenuti nelle direttive europee in materia di protezione dei dati, laddove si trattino informazioni relative ad un individuo identificato o identificabile, il Gruppo ha sottolineato la possibilità di utilizzare dispositivi tecnologici e accorgimenti di varia natura al fine di dare effettiva attuazione a tali principi. Esistono, infatti, strumenti che, a vari livelli, permettono di sviluppare i principi di protezione dati già all´interno di dispositivi come quelli basati sulle tecnologie Rfid.
Fra le indicazioni specifiche fornite dal Gruppo di lavoro si evidenziano in particolare:
a) il riconoscimento del diritto degli interessati ad essere informati, sia sulla presenza di dispositivi Rfid, sia sulla loro attivazione (ad es., attraverso pittogrammi, o segnalazioni luminose);
b) la possibilità di esercitare il diritto di accesso, rettifica, cancellazione ecc. (viene consigliato l´utilizzo di linguaggi standard come l´Xml o di dispositivi per la disattivazione permanente o temporanea);
c) la necessità che il trattamento di dati personali attraverso la tecnologia Rfid sia comunque basato sul consenso dell´interessato e, laddove sia possibile ritirare il consenso, che siano utilizzati dispositivi in grado di disattivare facilmente il tag Rfid (tag disabler);
d) la necessità di proteggere i dati personali contenuti nei tag Rfid attraverso misure di sicurezza proporzionali alla natura del trattamento effettuato (cifratura e autenticazione del lettore Rfid, impiego di protocolli standard di autenticazione secondo norme Iso, impiego di metodi di autenticazione crittografica ecc.).
Il documento è stato sottoposto ad una consultazione pubblica, conclusasi il 31 marzo 2005, a cui hanno partecipato soggetti pubblici e privati. Sulla base dell´analisi delle risposte è stato preparato un documento di sintesi che evidenzia alcune questioni maggiormente controverse: inopportunità di integrare la direttiva n. 95/46/Ce con norme specifiche per la Rfid, posizione condivisa dalle imprese che paventano ripercussioni negative in termini di concorrenza rispetto ad altre aree del mondo; necessità di ulteriori indicazioni con riguardo a determinate applicazioni (ad es., uso di dispositivi Rfid nelle attività commerciali, nei passaporti, nei trasporti pubblici); necessità di approfondire la natura dei trattamenti effettuati attraverso dispositivi Rfid, con particolare riguardo all´esistenza di un trattamento effettivo di dati personali e al concetto di dato personale, che a giudizio di alcuni commentatori è interpretato in modo eccessivamente estensivo dal Gruppo art. 29. A seguito di queste riflessioni il Gruppo art. 29 ha ritenuto di dover costituire un sottogruppo incaricato di approfondire il concetto di "dato personale" con particolare riguardo alle applicazioni Rfid.