La Commissione Europea e la European Network and Information Security Agency (ENISA) hanno raggiunto un accordo sull’adozione di un nuovo framework operativo per la gestione dei tag RFID, contenente una serie di regole (attualmente non obbligatorie) pensate per salvaguardare la privacy dei cittadini comunitari e alleviare le legittime preoccupazioni sul possibile abuso dei dati personali trasmessi in radiofrequenza .
Il framework su privacy e RFID si chiama “Privacy and Data Protection Impact Assessment Framework for RFID Applications”, ed è stato messo a punto dal gruppo di lavoro Articolo 29 assieme alla stessa industria dei microchip in radiofrequenza. La sua natura non vincolante ne fa soprattutto uno strumento di rassicurazione più che di imposizione di regole comuni, anche se si prevede una sua ampia adozione visto il coinvolgimento diretto delle aziende nella stesura del documento.
Il framework di valutazione prevede innanzitutto la definizione di quattro diversi livelli applicativi per i tag RFID, dotati di un potenziale “rischio privacy” di pericolosità crescente : il Livello 0 agisce sui tag RFID applicati a casse da imballaggio e altri oggetti, senza nessuna implicazione per la riservatezza di alcunché; il Livello 1 identifica i tag che possono essere indossati/trasportati da persone e richiede un controllo di basso livello da parte dell’azienda produttrice.
I livelli 2 e 3 descrivono rispettivamente quei tag RFID contenenti un record di un database connesso a dati personali e i tag con all’interno informazioni personali. In entrambi i casi è prevista (tra le altre cose) la necessità di un controllo approfondito della corretta cifratura delle comunicazioni e la valutazione delle potenziali falle nella sicurezza dei dispositivi.
I controlli di rischio, o “Privacy Impact Assessments” come li definisce il documento, sono affidati agli “RFID Application Operator” che verranno scelti a discrezione dei singoli stati della Comunità Europea.
Alfonso Maruccia