Le garanzie per le "etichette intelligenti"
Sono precise le garanzie e le prescrizioni impartite dal Garante
per la protezione dei dati personali per chi intende produrre ed
utilizzare le cosiddette "etichette intelligenti", cioè quei
minuscoli chip a radiofrequenza (detti anche sistemi Rfid, Radio
Frequency Identification) attivati da lettori ottici, che
iniziano a trovare applicazione anzitutto nell'ambito delle
aziende, degli esercizi commerciali, della grande distribuzione,
allo scopo di ottenere una serie di vantaggi, anche per il
consumatore (migliore gestione dei prodotti aziendali, maggiore
rapidità delle operazioni commerciali, agevole rintracciabilità
dell'origine di particolari prodotti, controllo degli accessi a
luoghi riservati).
Alcuni impieghi di questa tecnologia - che non si limitino a
tracciare il prodotto per garantire l'efficienza del processo di
produzione industriale - possono costituire una violazione del
diritto alla protezione dei dati personali e determinare forme
di controllo sulle persone: con l'uso di Rfid si potrebbero,
infatti, raccogliere innumerevoli dati sulle abitudini dei
consumatori a fini di profilazione o essere in grado di
tracciare i percorsi effettuati dagli stessi, controllarne la
posizione geografica o verificare quali prodotti usa, indossa,
trasporta.
I sistemi Rfid possono essere usati anche da soggetti pubblici o
privati anche ad altri scopi, quali l'identificazione personale
o la tutela della salute. Alcuni particolari usi, come
l'impianto di microchip sottopelle, sollevano già oggi
problematiche di grande delicatezza che hanno già indotto altre
autorità garanti in Europa a considerarlo inaccettabile sul
piano della protezione dei dati personali.
Ulteriori pericoli possono derivare dall'adozione di standard
comuni tali da favorire la possibilità che terzi non autorizzati
"leggano" i contenuti delle etichette o intervengano sugli
stessi (es. mediante la loro riscrittura). I rischi possono
accrescersi nel caso si integrino le tecniche Rfid con
infrastrutture di rete, come telefonia ed Internet e sulla base
dello stesso sviluppo tecnologico che, potenziando i sistemi,
può consentire una "lettura" delle etichette a distanze sempre
maggiori.
É per questi motivi che il Garante ha adottato un provvedimento
generale, che si collega a quello varato di recente dai garanti
europei, per stabilire alcune prime misure per rendere conformi
l'impiego dei sistemi Rfid alle norme sulla privacy nei casi in
cui si trattino dati personali relativi a persone identificate o
identificabili e tutelare la loro dignità e la libertà.
Informativa
Le persone devono essere adeguatamente informate dell'utilizzo
di sistemi Rfid, così come dell'esistenza dei lettori ottici che
attivano l'etichetta. La presenza di avvisi nei luoghi nei quali
le tecniche Rfid sono utilizzate non esime da apporre
informativa sugli stessi oggetti e prodotti che recano le
etichette intelligenti.
Consenso
Un soggetto privato che utilizza Rfid trattando dati personali
può farlo solo con il consenso espresso e specifico degli
interessati, a meno che ricorra in casi particolari uno degli
altri presupposti di legge. Il consenso non è valido se ottenuto
con pressioni o condizionamenti sull'interessato.
Se le etichette intelligenti sono associate all'utilizzo di
carte di fedeltà, e si trattano dati a fini di profilazione dei
consumatori, occorre informare e acquisire il consenso degli
interessati.
Il consenso non è necessario quando le etichette intelligenti
sono adoperate solo per modalità di pagamento e tale impiego non
comporti alcuna riconducibilità dei prodotti ad acquirenti
identificati o identificabili.
Disattivazione
Alle persone deve essere garantito comunque il diritto di
asportare, disattivare o interrompere gratuitamente ed in
maniera agevole il funzionamento delle Rfid al momento
dell'acquisto del prodotto sui cui è apposta l'etichetta. Le
etichette devono essere posizionate in modo tale da risultare
facilmente asportabili senza danneggiare o limitare la
funzionalità del prodotto (es. collocate solo sulla confezione).
Non è, di regola, lecita l'installazione di Rfid destinate a
rimanere attive oltre la barriera-cassa dell'esercizio
commerciale.
Accesso a determinati luoghi o a posti di lavoro
Nei casi di impiego di Rfid per la verifica di accessi a
determinati luoghi riservati devono essere predisposte idonee
cautele per i diritti e le libertà delle persone. In
particolare: per i luoghi di lavoro va rispettato quanto
previsto dallo Statuto dei lavoratori che vieta l'utilizzo di
impianti per il controllo a distanza dei lavoratori; per
l'accesso occasionale di terzi a determinati luoghi occorre
predisporre un meccanismo che, nel caso di indisponibilità ad
usare Rfid da parte dell'interessato, gli permetta comunque di
entrare nel luogo in questione.
Microchip sottopelle
Tali impianti devono ritenersi in via di principio esclusi in
quanto in contrasto con i diritti, le libertà fondamentali e la
dignità della persona. Essi possono essere ammessi solo in casi
eccezionali per comprovate e giustificate esigenze di tutela
della salute delle persone. L'interessato, comunque, deve poter
ottenere la rimozione del microchip e l'interruzione del
relativo trattamento dei dati che lo riguardano. Si devono
prevedere modalità di impianto che garantiscano la riservatezza
circa la presenza delle etichette nel corpo dell'interessato.
Va ricordato che anche nei casi di un limitato impiego di
microprocessori sottocutanei (es. Stati Uniti), sono stati messi
in evidenza i potenziali rischi sia per la salute che soggetti
che si sottopongono all'impianto, sia per la sicurezza dei dati
personali trattati.
Il Garante ha stabilito, comunque, che i soggetti che intendono
utilizzare tali microchip devono sottoporre alla verifica
preliminare dell'Autorità tali sistemi.
Proporzionalità, finalità di raccolta e conservazione dei dati
L'uso di etichette intelligenti deve risultare proporzionato
agli scopi che si intende perseguire. I dati possono essere
utilizzati solo per le finalità per le quali sono stati raccolti
e devono essere conservati per il tempo strettamente necessario.
Misure di sicurezza
Chi utilizza etichette intelligenti e tratta dati personali ha
l'obbligo di adottare misure di sicurezza per ridurre i rischi
di distruzione, perdita, acceso non autorizzato o manomissione
dei dati conservati.
Notificazione
L'avvio di trattamenti di dati che indicano la posizione
geografica di persone o oggetti mediante reti di comunicazione
elettronica o che siano effettuati allo scopo di costruire
profili o personalità di un individuo devono essere comunicati
preventivamente al Garante.
GdS
GdS 10 IV 2005 - www.gazzettadisondrio.it