Roma – Non c’è spazio in Italia per quelle sperimentazioni che vanno dilagando in alcuni paesi, Stati Uniti in testa, che prevedono l’inserimento sottopelle di un chip a radiofrequenza, perlopiù localizzato nel braccio. Un’operazione che secondo il Garante per la privacy è in contrasto con i diritti, le libertà fondamentali e la dignità della persona.
Per questa ragione gli impianti sono esclusi in via di principio nelle raccomandazioni formulate dall’Autorità per l’uso degli RFID. I chip sottopelle, spiega il Garante, “possono essere ammessi solo in casi eccezionali per comprovate e giustificate esigenze di tutela della salute delle persone”. Come noto in Messico chip sottopelle sono stati utilizzati per identificare il personale dell’ufficio del procuratore generale dello Stato mentre in Spagna sono stati impiantati da un locale notturno nelle braccia dei discotecari più assidui.
Se comunque al chippetto si deve ricorrere, “l’interessato – spiega il Garante – deve poter ottenere la rimozione del microchip e l’interruzione del relativo trattamento dei dati che lo riguardano”. Non solo: le modalità di impianto devono essere tali da garantire riservatezza anche della notizia che nel corpo del soggetto è stato piazzato un chip.
Il Garante ha anche voluto sottolineare come vi siano casi in cui l’uso anche limitato di “microprocessori sottocutanei” ha dato luogo a “potenziali rischi per la salute” nonché “per la sicurezza dei dati personali trattati”.
Anche in considerazione di questo, il Garante ha stabilito che chi dovesse voler utilizzare nel nostro paese i chip sottopelle dovrà prima sottoporre il proprio progetto alla verifica dell’Autorità stessa. Va detto che la posizione dell’Autorità ricorda molto da vicino la scelta dei Garanti UE che, come si ricorderà, hanno dato un via libera condizionato all’uso di questi strumenti.
Di seguito le ulteriori raccomandazioni del Garante sull’uso degli RFID.
Sono precise le garanzie e le prescrizioni impartite dal Garante per chi intende produrre ed utilizzare le cosiddette “etichette intelligenti”, cioè quei minuscoli chip a radiofrequenza (detti anche sistemi RFID, Radio Frequency Identification) attivati da lettori ottici, che iniziano a trovare applicazione anzitutto nell’ambito delle aziende, degli esercizi commerciali, della grande distribuzione allo scopo di ottenere una serie di vantaggi, anche per il consumatore (migliore gestione dei prodotti aziendali, maggiore rapidità delle operazioni commerciali, agevole rintracciabilità dell’origine di particolari prodotti, controllo degli accessi a luoghi riservati).
Alcuni impieghi di questa tecnologia – che non si limitino a tracciare il prodotto per garantire l’efficienza del processo di produzione industriale – possono costituire una violazione del diritto alla protezione dei dati personali e determinare forme di controllo sulle persone: con l’uso di RFID – sostiene il Garante – si potrebbero, infatti, raccogliere innumerevoli dati sulle abitudini dei consumatori a fini di profilazione o tracciare i percorsi effettuati dagli stessi, controllarne la posizione geografica o verificare quali prodotti usa, indossa, trasporta.
I sistemi RFID possono essere usati da soggetti pubblici o privati anche ad altri scopi, quali l’identificazione personale o la tutela della salute.
Ulteriori pericoli possono derivare dall’adozione di standard comuni tali da favorire la possibilità che terzi non autorizzati “leggano” i contenuti delle etichette o intervengano sugli stessi (es. mediante la loro riscrittura). I rischi possono accrescersi nel caso si integrino le tecniche RFID con infrastrutture di rete, come telefonia ed Internet e sulla base dello stesso sviluppo tecnologico che, potenziando i sistemi, può consentire una “lettura” delle etichette a distanze sempre maggiori.
Di seguito i punti chiave del provvedimento del Garante:
Informativa
Le persone devono essere adeguatamente informate dell’utilizzo di sistemi RFID, così come dell’esistenza dei lettori ottici che attivano l’etichetta. La presenza di avvisi nei luoghi nei quali le tecniche RFID sono utilizzate non esime da apporre informativa sugli stessi oggetti e prodotti che recano le etichette intelligenti.
Consenso
Un soggetto privato che utilizza RFID trattando dati personali può farlo solo con il consenso espresso e specifico degli interessati, a meno che ricorra in casi particolari uno degli altri presupposti di legge. Il consenso non è valido se ottenuto con pressioni o condizionamenti sull’interessato.
Se le etichette intelligenti sono associate all’utilizzo di carte di fedeltà, e si trattano dati a fini di profilazione dei consumatori, occorre informare e acquisire il consenso degli interessati.
Il consenso non è necessario quando le etichette intelligenti sono adoperate solo per modalità di pagamento e tale impiego non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili.
Disattivazione
Alle persone deve essere garantito comunque il diritto di asportare, disattivare o interrompere gratuitamente ed in maniera agevole il funzionamento delle RFID al momento dell’acquisto del prodotto sui cui è apposta l’etichetta. Le etichette devono essere posizionate in modo tale da risultare facilmente asportabili senza danneggiare o limitare la funzionalità del prodotto (es. collocate solo sulla confezione).
Non è, di regola, lecita l’installazione di RFID destinate a rimanere attive oltre la barriera-cassa dell’esercizio commerciale.
Accesso a determinati luoghi o a posti di lavoro
Nei casi di impiego di RFID per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà delle persone. In particolare: per i luoghi di lavoro va rispettato quanto previsto dallo Statuto dei lavoratori che vieta l’utilizzo di impianti per il controllo a distanza dei lavoratori; per l’accesso occasionale di terzi a determinati luoghi occorre predisporre un meccanismo che, nel caso di indisponibilità ad usare RFID da parte dell’interessato, gli permetta comunque di entrare nel luogo in questione.
Proporzionalità, finalità di raccolta e conservazione dei dati
L’uso di etichette intelligenti deve risultare proporzionato agli scopi che si intende perseguire. I dati possono essere utilizzati solo per le finalità per le quali sono stati raccolti e devono essere conservati per il tempo strettamente necessario.
Misure di sicurezza
Chi utilizza etichette intelligenti e tratta dati personali ha l’obbligo di adottare misure di sicurezza per ridurre i rischi di distruzione, perdita, acceso non autorizzato o manomissione dei dati conservati.
Notificazione
L’avvio di trattamenti di dati che indicano la posizione geografica di persone o oggetti mediante reti di comunicazione elettronica o che siano effettuati allo scopo di costruire profili o personalità di un individuo devono essere comunicati preventivamente al Garante.