Roma – Con un comunicato stampa del 25 marzo scorso, l’Autorità Garante per la protezione dei dati Personali ha annunciato l’adozione di un provvedimento generale sulle c.d. “Etichette intelligenti” . In un precedente comunicato (del 31 dicembre 2004), il Garante della Privacy aveva indetto una consultazione pubblica su quattro dei temi più scottanti in tema di dati personali e nuove tecnologie: carte di “fedeltà” (o tessere di “fidelizzazione”), televisione satellitare e interattiva, videotelefonini e, per l’appunto, tecniche di Radio Frequency Identification (RFID: c.d. etichette intelligenti).
In merito agli aspetti tecnici della tecnologia RFID è stato già detto molto, e dunque in questa sede ci soffermeremo sulle problematiche legate alla tutela dei dati personali. Non v’è dubbio, infatti, che l’aspetto più delicato e dibattuto legato alla tecnologia delle “etichette intelligenti” sia proprio quest’ultimo.
L’attenzione è massima, soprattutto nei confronti degli impieghi cui nel prossimo futuro potrà essere destinata la tecnologia RFID. Se sino a pochi mesi fa una ricerca con la chiave “RFID” su “Google” (tra i siti italiani) restituiva ben poche informazioni, ad oggi sono centinaia le pagine informative ed i siti internet di società specializzate nel fornire soluzioni di “etichettatura intelligente”.
Ad esito della consultazione pubblica, è la stessa Autorità Garante ad affermare che determinati impieghi della tecnologia RFID possono costituire una violazione del diritto alla protezione dei dati personali, ed avere serie ripercussioni sull’integrità e la dignità della persona, anche perché, per le ridotte dimensioni e l’ubicazione delle cd. “etichette intelligenti” e dei relativi lettori, il trattamento dei dati personali attraverso la RFID può essere effettuato all’insaputa dell’interessato.
In determinati casi tale trattamento può costituire una violazione del diritto alla protezione dei dati personali e determinare forme di controllo sulle persone: con l’uso di RFID si potrebbero, infatti, raccogliere innumerevoli dati sulle abitudini dei consumatori a fini di profilazione o essere in grado di tracciare i percorsi effettuati dagli stessi, controllarne la posizione geografica o verificare quali prodotti usa, indossa, trasporta.
Vediamo ora quali sono le principali disposizioni contenute nel provvedimento generale del Garante. In primo luogo, in ottemperanza al principio di necessità del trattamento di cui all’art.3 del d.lgs. 196/03 (c.d. Codice della Privacy), occorrerà configurare i sistemi RFID in modo tale da evitare l’utilizzazione di dati personali oppure, a seconda dei casi, l’identificabilità degli interessati, quando non siano strettamente necessarie in relazione alla finalità perseguita. Il dato contenuto nel TAG RFID, dunque, potrà essere associato ad una persona fisica o giuridica sono nel caso in cui ciò sia strettamente necessario all’operatività del sistema.
In secondo luogo, oltre ad uniformarsi ai principi di liceità, finalità e proporzionalità comuni agli altri trattamenti, il titolare del trattamento, nel fornire agli interessati la prescritta informativa, sarà tenuto ad indicare la presenza di etichette RFID e specificare che, attraverso i sistemi connessi, sarà possibile raccogliere dati personali senza che l’interessato si attivi e/o se ne avveda. Dovrà essere poi segnalata mediante informativa anche l’esistenza di lettori in grado di interagire con il Tag RFID. Chiara evidenza dovrà essere inoltre data anche alle modalità di asportazione e/o disattivazione dell’etichetta, o comunque di interruzione del funzionamento del sistema di RFID.
Per quanto riguarda le applicazioni specifiche, il provvedimento dell’Autorità Garante si è soffermato su quelle che, ad oggi, appaiono essere le applicazioni che riguarderanno più da vicino un gran numero di persone, ed in particolare:
– per quanto riguarda l’utilizzo di tecniche RFID in esercizi commerciali, è stato chiarito che non sussiste la necessità di richiedere un consenso al trattamento dei dati, solamente qualora il sistema non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili;
– nel caso in cui, invece, le tecniche di RFID siano associate ad acquirenti identificati, es. con l’utilizzo di carte di fidelizzazione della clientela a fini di profilazione commerciale, valgono anche i principi di protezione dei dati (con specifico riferimento a informativa, consenso, necessità e proporzionalità del trattamento) esplicitati dalla stessa Autorità Garante nel provvedimento del 24 febbraio 2005 (“Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”);
– le etichette devono essere disattivate dopo il passaggio attraverso la cassa: non è infatti di regola lecita l’installazione di etichette RFID destinate a rimanere attive anche oltre la barriera-cassa dell’esercizio commerciale in cui sono utilizzate. Nel caso in cui, tuttavia, tale impiego dovesse essere ipoteticamente ritenuto lecito, presupporrebbe comunque il necessario consenso dell’interessato.
– per quanto concerne l’utilizzo dei sistemi RFID nella verifica di accessi a determinati luoghi, occorrerà tener conto del fatto che: se la tecnologia è utilizzata per verificare accessi a luoghi di lavoro (o comunque sul luogo di lavoro) lo Statuto dei lavoratori vieta l’uso di impianti e apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori e, nel caso in cui il loro impiego risulti necessario per altre finalità, prescrive alcune garanzie (art. 4 l. 20 maggio 1970, n. 300; art. 114 del Codice); nel caso in cui, invece, la tecnologia RFID venga utilizzata per controllare l’accesso occasionale di terzi in determinati luoghi (ad es. musei, discoteche, piscine, ecc.), il titolare del trattamento dovrà comunque predisporre sistemi alternativi da utilizzare nel caso in cui l’interessato si rifiuti di utilizzare il sistema di “etichettatura elettronica”.
Un ultimo accenno va fatto a riguardo della possibilità di ottenere la disattivazione delle “etichette intelligenti”: l’Autorità Garante ha infatti stabilito che l’interessato debba ottenere, gratuitamente e in maniera agevole, la rimozione o la disattivazione delle etichette RFID al momento dell’acquisto del prodotto, e che le etichette debbano essere posizionate in modo tale da risultare facilmente asportabili, senza danneggiare o limitare la funzionalità del prodotto.
Guido Villa
(Studio Legale Sarzana & Partners)
Lidis.it