Roma – Le tecnologie RFID (Radio Frequency Identification) non possono essere usate a piacimento dall’industria che, come noto, in più settori sta sperimentando le cosiddette etichette intelligenti . Ad affermarlo è il Garante per la privacy che nell’ultima newsletter descrive la posizione assunta dai garanti mondiali dopo la Conferenza di Sidney.
“Le etichette cosiddette intelligenti – si legge nella newsletter – non devono servire per la raccolta di dati personali, a meno che ciò sia assolutamente necessario. In tal caso, i consumatori devono esserne informati adeguatamente, e i dati non possono essere utilizzati per altri scopi. Inoltre, deve essere possibile disattivare o distruggere le etichette RFID una volta che l?acquirente sia entrato in possesso dell?articolo sul quale esse sono applicate”.
Come noto, infatti, l’applicazione RFID che sta riscuotendo maggiore interesse è il loro inserimento negli articoli esposti, perché destinate a velocizzare il processo di vendita, inventario, controllo delle transazioni e di magazzino. Le etichette RFID contengono un minuscolo dispositivo, simile ad un microchip, in cui è memorizzato un identificativo (ad esempio, un numero di serie) che è possibile riconoscere attraverso un lettore funzionante in radiofrequenza.
Con RFID, dunque, un sistema integrato potrebbe facilmente tenere traccia di tutto quello che esce, ed entra, per esempio, in un supermercato . Ed è proprio il forte interesse per questi apparati che sta spingendo i big della tecnologia a raffinare gli studi affinché sia in grado di rimpiazzare i codici a barre proponendo anche qualcosa di nuovo.
Ma questo “qualcosa” può non essere necessariamente un vantaggio per i consumatori. La risoluzione adottata a Sidney dai garanti, infatti, pone in evidenza il fatto che dispositivi del genere sono particolarmente utili per seguire gli spostamenti di singoli oggetti e prodotti ma potrebbero finire per divenire “segugi” della persona. “Le etichette – hanno dichiarato i Garanti – potrebbero essere messe in relazione con dati personali come quelli ricavabili dalle carte di credito, e potrebbero essere utilizzate persino per raccogliere tali dati, oppure per localizzare o profilare individui in possesso di oggetti che rechino tali etichette. La tecnologia in questione potrebbe consentire di ricostruire le attività di singoli individui e istituire collegamenti fra le informazioni raccolte e banche dati preesistenti”.
Per questo i garanti ritengono che l’uso di RFID in connessione con i dati personali debba avvenire solo se non vi sono alternative e nel rispetto dei principi di tutela della riservatezza, in particolare:
a) prima di ricorrere a etichette RFID connesse a dati personali, o tali da consentire la profilazione della clientela, ciascun titolare di trattamento dovrebbe valutare approcci alternativi che consentano di raggiungere lo stesso obiettivo senza raccogliere dati personali o profilare la clientela;
b) qualora il titolare del trattamento dimostri che è indispensabile ricorrere a dati personali, questi ultimi devono essere raccolti in modo chiaro e trasparente;
c) i dati personali possono essere utilizzati esclusivamente per lo scopo specifico per cui sono stati inizialmente raccolti, e possono essere conservati soltanto finché risultino necessari al raggiungimento (o al soddisfacimento) di tale scopo, e
d) i singoli interessati dovrebbero avere la possibilità di cancellare i dati e di disattivare o distruggere le etichette RFID una volta che ne siano entrati in possesso.
Tanto la Conferenza dei Garanti quanto l? International Working Group on Data Protection in Telecommunications hanno comunque dichiarato l’intenzione di seguire con attenzione gli sviluppi tecnologici in questo settore, “al fine di garantire il rispetto dei principi di protezione dati e privacy nell?ambito della cosiddetta informatizzazione pervasiva ( ubiquitous computing )”.