Garante per la protezione dei dati personali
 09 March 2005   Bollettino del n. 0/March 2005,  pag. 0
 

[doc. web n. 1109493]

[ doc. web n. 1121107]

[v. anche Comunicato stampa]

"Etichette intelligenti" (Rfid): il Garante individua le garanzie per il loro uso - 9 marzo 2005

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI gli articoli 3, 7 e 8 della Carta dei diritti fondamentali dell'Unione europea;

VISTO il Codice in materia di tutela dei dati personali (d.lg. 30 giugno 2003, n. 196);

RITENUTA la necessità di prescrivere alcune misure al fine di rendere il trattamento dei dati personali nell'ambito dei sistemi di Radio Frequency Identification conforme alle disposizioni vigenti, anche in relazione al principio di dignità della persona (art. 1 Carta dei diritti fondamentali dell'Unione europea; artt. 2 e 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali);

VISTI i commenti e le osservazioni pervenuti a seguito della consultazione pubblica indetta da questa Autorità riguardo alle tecniche di Radio Frequency Identification;

VISTI gli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

RELATORE il prof. Stefano Rodotà;

PREMESSO

La Radio Frequency Identification ("RFID") si diffonde rapidamente in numerosi settori.

L'utilizzo di tale tecnologia può risultare utile, ad esempio, per garantire una migliore gestione dei prodotti aziendali, per incrementare la rapidità di operazioni commerciali anche a vantaggio dei consumatori, per rintracciare l'origine di prodotti particolarmente delicati, per controllare accessi a luoghi riservati e per altri usi nei luoghi di lavoro.

Tuttavia, determinati impieghi della RFID possono costituire una violazione del diritto alla protezione dei dati personali (art. 1 del Codice) ed avere serie ripercussioni sull'integrità e la dignità della persona, anche perché, per le ridotte dimensioni e l'ubicazione delle cd. "etichette intelligenti" e dei relativi lettori, il trattamento dei dati personali attraverso la RFID può essere effettuato all'insaputa dell'interessato.

In particolare, come rilevato anche dal Gruppo dei garanti europei (documento di lavoro adottato il 19 gennaio 2005 dal Gruppo costituito ai sensi dell'art. 29 della direttiva n. 95/46/CE, in http://europa.eu.int/...), l'impiego di tecniche di RFID, da parte sia di soggetti privati, sia di soggetti pubblici, può determinare forme di controllo sulle persone, limitandone le libertà. Attraverso l'impiego della RFID, potrebbero, ad esempio, raccogliersi innumerevoli dati sulle abitudini dell'interessato a fini di profilazione, tracciare i percorsi effettuati da quest'ultimo o verificare prodotti (vestiti, accessori, medicine, prodotti di valore) dallo stesso indossati o trasportati.

In alcune ipotesi, l'impiego della RFID può essere finalizzato esclusivamente al tracciamento di prodotti, per garantire una maggiore efficienza nel processo di produzione industriale. In particolare, ove tali sistemi siano impiegati da produttori o distributori solo all'interno di una catena di distribuzione, l'informazione contenuta su ciascuna etichetta del prodotto può costituire un dato personale (di per sé sola, o per effetto della connessione con ulteriori informazioni quali stato di conservazione, stabilimento di produzione, sussistenza di difetti, appartenenza a partite avariate, ecc.) relativo ai soli produttori o distributori.

Questo tipo di trattamento di dati non pone particolari problemi di liceità e sotto il profilo della tutela dei soggetti interessati.

In altri casi, invece, l'utilizzo dei sistemi di RFID può comportare il trattamento di dati personali relativi a terzi, persone fisiche o giuridiche, enti o associazioni (art. 4, comma 1, lett. a) e b) del Codice).

Infatti, le "etichette" potrebbero contenere esse stesse dati personali, o essere impiegate in modo tale da rendere comunque identificabili gli interessati attraverso il raffronto con altre informazioni.

I sistemi informativi cui esse sono collegate possono permettere, altresì, di individuare la posizione geografica di chi detiene l'etichetta o l'oggetto su cui essa è apposta, con considerevoli ripercussioni sulla libertà di circolazione delle persone.

La RFID può essere inoltre adoperata nelle tecniche di impianto di microchip sottocutaneo, anche su individui: l'inserimento di microprocessori sottopelle, per l'evidente delicatezza delle implicazioni che ne derivano sui diritti delle persone, rende quindi necessaria la predisposizione di particolari cautele.

Ulteriori pericoli per gli interessati possono altresì derivare -specie, in prospettiva, con l'adozione di standard comuni- dalla possibilità che terzi non autorizzati "leggano" i contenuti delle etichette o intervengano sugli stessi (mediante, ad esempio, "riscrittura"). Ciò, tenendo anche conto che lo sviluppo tecnologico può comportare un aumento della potenza dei sistemi di RFID, rendendo possibile una "lettura" delle etichette a distanze sempre maggiori; parallelamente, il progressivo contenimento dei costi di produzione dei dispositivi in questione agevola la crescita dell'impiego di tali tecniche di identificazione.

Infine, i rischi per la vita privata dei cittadini possono accrescersi nel caso di un'integrazione della RFID con infrastrutture di rete (telefonia, Internet, ecc.).

È quindi necessario che l'implementazione e l'utilizzo della RFID, ove si configuri un trattamento di dati personali, avvenga nel rispetto dei principi dettati dal Codice e, in particolare, delle libertà, dei diritti fondamentali e della dignità degli interessati (art. 2, comma 1, del Codice).

Il Garante, a garanzia degli interessati e in conformità a quanto previsto dal Codice, prescrive pertanto alcune prime misure che devono essere approntate da parte di coloro che, a diverso titolo, si avvalgano di tecniche fondate sulla RFID; ciò, anche al fine di consentire ad operatori e produttori di predisporre dispositivi offerti alla conformità alla normativa in materia di tutela dei dati personali.

Tali prescrizioni si applicano ai casi in cui, per effetto dell'impiego di sistemi RFID, si trattino dati personali relativi a terzi identificati o identificabili (art. 4, comma 1, lett. b) del Codice); non operano invece nei casi -che non pongono particolari problemi sul piano della protezione dei dati- in cui la RFID non comporti il predetto trattamento e sia utilizzata, ad esempio, in una catena di distribuzione aziendale al solo fine di garantire una maggiore efficienza del processo di produzione.

L'Autorità si riserva peraltro di impartire ulteriori prescrizioni che potrebbero rendersi necessarie in relazione a specifici trattamenti di dati personali effettuati mediante RFID, anche in vista dell'evoluzione rapida e costante che contraddistingue questa tematica.

 

Principi generali
L'utilizzo della RFID può comportare condizionamenti e vincoli per gli interessati. Si rende pertanto necessario assicurare il rigoroso rispetto di tutti i principi dettati dal Codice, tra i quali, vanno qui richiamati, in particolare:

 

• Principio di necessità (art. 3 del Codice)

I sistemi di RFID devono essere configurati in modo tale da evitare l'utilizzazione di dati personali oppure, a seconda dei casi, l'identificabilità degli interessati, quando non siano strettamente necessarie in relazione alla finalità perseguita.

Tale valutazione deve essere condotta tenendo presente che nella maggior parte degli impieghi, ad esempio nella catena di distribuzione di prodotti, non è necessario trattare dati personali relativi a terzi.

 

• Liceità (art. 11, comma 1, lett. a), del Codice)

Il trattamento mediante RFID è lecito solo se si fonda su uno dei presupposti che il Codice prevede, rispettivamente, per i soggetti pubblici da un lato (svolgimento di funzioni istituzionali: artt. 18-22) e, dall'altro, per soggetti privati ed enti pubblici economici (ad es., adempimento ad un obbligo di legge, o consenso libero ed espresso: artt. 23-27).

L'utilizzo di tali tecniche deve svolgersi anche nel rispetto di altre leggi e regolamenti che possono di volta in volta rilevare a seconda del loro settore di impiego. In ambito lavorativo, l'uso di tecniche RFID deve in particolare rispettare il divieto di controllo a distanza del lavoratore (art. 4 l. 20 maggio 1970, n. 300; art. 114 del Codice).

 

• Finalità e qualità dei dati (art. 11, comma 1, lett. b), c), d) e e), del Codice)

Il titolare (art. 4, comma 1, lett. f)) può trattare dati personali esclusivamente per scopi determinati, espliciti e legittimi (art. 11, comma 1, lett. b)).

I dati possono essere inoltre utilizzati soltanto in termini compatibili con la finalità per la quale sono stati originariamente raccolti; devono essere conservati per il tempo strettamente necessario a perseguire tale finalità, decorso il quale devono essere cancellati o resi anonimi (art. 11, comma 1, lett. b) e e) del Codice).

Il titolare deve altresì curare la pertinenza e non eccedenza, l'esattezza e l'aggiornamento dei dati personali (art. 11, comma 1, lett. c) e d) del Codice).

 

• Proporzionalità (art. 11, comma 1, lett. d), del Codice)

Il titolare deve verificare il rispetto del principio di proporzionalità in tutte le diverse fasi del trattamento.

I dati trattati e le modalità del loro trattamento, anche con riferimento alla tipologia delle infrastrutture di rete adoperate, non devono risultare sproporzionati rispetto agli scopi da prefissare.

Non risulta di regola giustificato il trattamento che comporti il funzionamento delle etichette apposte su prodotti acquistati dall'interessato anche fuori dell'esercizio commerciale, a meno che ciò sia necessario per fornire un servizio specificamente e liberamente richiesto dall'interessato stesso.

 

• Informativa (art. 13 del Codice)

Il titolare del trattamento, nel fornire agli interessati la prescritta informativa precisando anche le modalità del trattamento (art. 13 del Codice), deve indicare la presenza di etichette RFID e specificare che, attraverso i sistemi connessi, è possibile raccogliere dati personali senza che gli interessati si attivino al riguardo. Analogamente, deve essere segnalata mediante informativa l'esistenza di lettori in grado di "attivare" l'etichetta (lettori i quali possono comunque essere posti in essere solo in quanto strettamente necessari in rapporto alla finalità del trattamento).

Chiara evidenza deve essere data anche alle modalità per asportare o disattivare l'etichetta, o per interrompere in altro modo il funzionamento del sistema di RFID.

L'informativa potrebbe essere altresì fornita attraverso appositi avvisi agevolmente visionabili nei luoghi in cui le tecniche RFID sono adoperate, con un formato ed un posizionamento tale da risultare chiaramente visibile.

La presenza di avvisi non esime i titolari del trattamento dall'apporre un'idonea informativa sugli oggetti o sui prodotti recanti le "etichette intelligenti", qualora le stesse rimangano attive dopo che è stato reso possibile associarle con dati relativi a terzi identificati o identificabili, in particolare al di fuori dei luoghi (ad esempio esercizi commerciali) in cui si fa uso della RFID.

 

• Trattamento da parte di privati: il consenso (artt. 23 e ss. del Codice)

In generale, l'utilizzo di RFID che implichi un trattamento di dati personali da parte di privati può essere effettuato solo con il consenso dell'interessato (art. 23), a meno che ricorra un altro presupposto equipollente del trattamento (art. 24).

In presenza di un trattamento di dati personali, il consenso, ove necessario, deve avere i requisiti previsti (art. 23 del Codice). In particolare, esso deve essere specifico ed espresso, non rilevando a tal fine il semplice comportamento concludente dell'interessato (art. 23, commi 1 e 3).

Il consenso non è altresì valido se ottenuto sulla base di pressioni o condizionamenti sull'interessato (art. 23, comma 3). Ove non acconsenta al trattamento, l'interessato non dovrà incorrere in conseguenze pregiudizievoli o limitazioni che non siano diretta conseguenza dell'impossibilità di effettuare il trattamento dei dati che lo riguardano.

Se il trattamento riguarda dati di carattere sensibile (art. 4, comma 1, lett. d)), il consenso deve essere manifestato per iscritto e il trattamento può essere effettuato solo previa autorizzazione del Garante (art. 26 del Codice).

Anche in presenza del consenso dell'interessato o di un altro presupposto del trattamento, il trattamento dei dati personali mediante RFID deve comunque svolgersi nel rispetto dei menzionati principi di finalità, proporzionalità e dignità (artt. 2, comma 1, e 11, comma 1).

Tutto ciò premesso, e nella consapevolezza della prevedibile diffusione della RFID in diversi settori ed impieghi, possono sin da ora distinguersi -con riferimento al profilo del consenso- alcuni casi specifici:

a) qualora le tecniche di RFID siano adoperate, in esercizi commerciali, nel quadro delle modalità di pagamento (ad es. cd. carrello elettronico), e tale impiego non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili, non sussiste, in generale, la necessità di richiedere un consenso, in base alla normativa sulla protezione dei dati personali, ai clienti stessi;

b) nel caso in cui le tecniche di RFID siano associate all'utilizzo di carte di fidelizzazione della clientela e al trattamento di dati relativi a clienti a fini di profilazione commerciale, valgono anche i principi di protezione dei dati -con specifico riferimento a informativa, consenso, necessità e proporzionalità- esplicitati da questa Autorità nel provvedimento del 24 febbraio 2005 (in www.garanteprivacy.it);

c) fermo restando, come sopra rilevato, che non è di regola lecita l'installazione di etichette RFID destinate a rimanere attive anche oltre la barriera-cassa dell'esercizio commerciale in cui sono utilizzate, tale ipotetico impiego, ove lecito, presuppone comunque il necessario consenso dell'interessato, a meno che possa operare un altro presupposto equipollente del trattamento (art. 24 del Codice);

d) nei casi di impiego di RFID per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà degli interessati. In particolare,

d1) ove si intenda utilizzare tali tecniche per verificare accessi a luoghi di lavoro, o comunque sul luogo di lavoro, va tenuto conto che lo Statuto dei lavoratori vieta l'uso di impianti e apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori e, nel caso in cui il loro impiego risulti necessario per altre finalità, prescrive alcune garanzie (art. 4 l. 20 maggio 1970, n. 300; art. 114 del Codice) alle quali si affianca l'osservanza dei richiamati principi di necessità, finalità e proporzionalità del trattamento dei dati;

d2) qualora la RFID sia adoperata per controllare l'accesso occasionale di terzi a determinati luoghi, occorre predisporre un meccanismo che, in caso di indisponibilità dell'interessato, permetta a quest'ultimo di entrare comunque nel luogo in questione, con eventuale adozione -e solo se necessario- di misure di cautela rimesse alla ragionevole valutazione del titolare.

 

• Esercizio dei diritti (artt. 7-10 del Codice)

Il titolare del trattamento deve agevolare l'esercizio, da parte dell'interessato, dei diritti di cui all'art. 7 del Codice, semplificando le modalità e riducendo i tempi per il riscontro al richiedente (art. 10, comma 1 del Codice).

Già nella fase di progettazione delle tecnologie, i produttori di sistemi RFID dovrebbero opportunamente predisporre modalità idonee a garantire agli interessati un agevole esercizio dei diritti.

 

• Disattivazione o rimozione delle etichette

All'interessato deve essere riconosciuta la possibilità di ottenere, gratuitamente e in maniera agevole, la rimozione o la disattivazione delle etichette RFID al momento dell'acquisto del prodotto su cui è apposta l'etichetta o al termine dell'utilizzo del dispositivo.

Le etichette devono essere posizionate in modo tale da risultare, per quanto possibile, facilmente asportabili senza danneggiare o limitare la funzionalità del prodotto o dell'oggetto a cui si riferiscono (ad esempio, disponendone la collocazione sulla sola confezione).

 

• Impianto sottocutaneo di microchip

L'impianto sottocutaneo di microchip in esseri umani solleva problematiche, particolarmente delicate, che hanno già indotto altre autorità garanti in Europa a considerarlo inaccettabile sul piano della protezione dei dati.

Anche nei casi in cui un limitato impiego di microprocessori sottocutanei è stato permesso (ad es., negli Stati Uniti: Food and Drug Administration, 12 ottobre 2004) sono stati comunque messi in evidenza i potenziali rischi di tali operazioni, sia per la salute dei soggetti che si sottopongono all'impianto, sia per la sicurezza dei dati personali trattati.

Gli impianti sottocutanei di microchip devono ritenersi in via di principio esclusi, in quanto contrastanti, con riferimento alla protezione dei dati, con il principio di dignità (art. 2 del Codice), ferme restando le altre norme dell'ordinamento a garanzia dell'integrità fisica e dell'inviolabilità della dignità della persona, contenute anche nella Carta dei diritti fondamentali dell'Unione europea (artt. 1 e 3).

Fatte salve le previsioni della normativa sulla protezione dei dati e le prescrizioni del presente provvedimento, l'impiego di microchip sottocutaneo può essere quindi ammesso solo in casi eccezionali, per comprovate e giustificate esigenze a tutela della salute delle persone, in stretta aderenza al principio di proporzionalità (art. 11 del Codice), e nel rigoroso rispetto della dignità dell'interessato (art. 2, comma 1).

L'interessato dovrebbe poter essere in grado di ottenere di regola, in qualunque momento e senza oneri, la rimozione del microchip e l'interruzione del relativo trattamento dei dati che lo riguardano.

I titolari del trattamento devono inoltre predisporre modalità di impianto e di impiego delle etichette sottocutanee tali da garantire la riservatezza circa la presenza delle stesse etichette nel corpo dell'interessato.

I trattamenti di dati sensibili, oltre che effettuati nell'osservanza dei presupposti e dei limiti stabiliti dal Codice (artt. 22 e 2; Parte II, Titolo V del Codice), devono essere, ove prescritto (artt. 26 e 76), preventivamente autorizzati dal Garante.

Il Garante si riserva di prescrivere ai titolari del trattamento, ai sensi dell'art. 17 del Codice, di sottoporre alla verifica preliminare di questa Autorità (anche con eventuali provvedimenti di carattere generale) i sistemi di RFID destinati all'impianto sottocutaneo che, in quanto tali, presentano rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati.

 

• Ulteriori prescrizioni

Restano, fermi, in aggiunta alla prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai titolari del trattamento.

Ci si riferisce, in particolare:

a) all'obbligo di notificazione al Garante dei trattamenti

  • concernenti dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (art. 37, comma 1, lett. a))
  • effettuati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma 1, lett. d));

b) agli obblighi relativi alle misure di sicurezza (artt. 31-36 e Allegato B) del Codice), affinché siano ridotti al minimo i rischi di distruzione o perdita anche accidentale dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento, sono autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codice).

 

TUTTO CIÓ PREMESSO IL GARANTE:

ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive ai soggetti che, a diverso titolo, effettuino trattamenti di dati personali avvalendosi della RFID, le misure necessarie od opportune indicate nel presente provvedimento al fine di rendere il trattamento conforme alle disposizioni vigenti.


Roma, 9 marzo 2005

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli