| Garante per la protezione dei dati personali PROVVEDIMENTI A CARATTERE GENERALE - 9 marzo 2005 ETICHETTE INTELLIGENTI" (RFID): IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. StefanoRodotà, presidente, del prof. Giuseppe Santaniello vice-presidente, del prof.Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. GiovanniButtarelli, segretario generale; Visti gli articoli 3, 7 e 8 della Carta dei dirittifondamentali dell'Unione europea; Visto il Codice in materia di tutela dei dati personali(d.lg. 30 giugno 2003, n. 196); Ritenuta la necessità di prescrivere alcune misure al finedi rendere il trattamento dei dati personali nell'ambito dei sistemi di RadioFrequency Identification conforme alle disposizioni vigenti, anche in relazione al principio di dignità della persona (art. 1 Carta dei diritti fondamentali dell'Unione europea; artt. 2 e 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali); Visti i commenti e le osservazioni pervenuti a seguito dellaconsultazione pubblica indetta da questa Autorità riguardo alle tecniche di Radio Frequency Identification; Visti gli atti d'ufficio e le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore il prof. Stefano Rodotà; PREMESSO La Radio Frequency Identification ("RFID") si diffonde rapidamente in numerosi settori. L'utilizzo di tale tecnologia può risultare utile, adesempio, per garantire una migliore gestione dei prodotti aziendali, perincrementare la rapidità di operazioni commerciali anche a vantaggio deiconsumatori, per rintracciare l'origine di prodotti particolarmente delicati,per controllare accessi a luoghi riservati e per altri usi nei luoghi dilavoro. Tuttavia, determinati impieghi della RFID possono costituire una violazione del diritto alla protezione dei dati personali (art. 1 del Codice) ed avere serie ripercussioni sull'integrità e la dignità della persona, ancheperché, per le ridotte dimensioni e l'ubicazione delle cd. "etichetteintelligenti" e dei relativi lettori, il trattamento dei dati personaliattraverso la RFID può essere effettuato all'insaputa dell'interessato. In particolare, come rilevato anche dal Gruppo dei garantieuropei (documento di lavoro adottato il 19 gennaio 2005 dal Gruppocostituito ai sensi dell'art. 29 della direttiva n. 95/46/CE, in In alcune ipotesi, l'impiego della RFID può essere finalizzato esclusivamente al tracciamento di prodotti, per garantire una maggioreefficienza nel processo di produzione industriale. In particolare, ove talisistemi siano impiegati da produttori o distributori solo all'interno di unacatena di distribuzione, l'informazione contenuta su ciascuna etichetta delprodotto può costituire un dato personale (di per sé sola, o per effetto della connessione con ulteriori informazioni quali stato di conservazione,stabilimento di produzione, sussistenza di difetti, appartenenza a partiteavariate, ecc.) relativo ai soli produttori o distributori. Questo tipo di trattamento di dati non pone particolariproblemi di liceità e sotto il profilo della tutela dei soggetti interessati. In altri casi, invece, l'utilizzo dei sistemi di RFID può comportare il trattamento di dati personali relativi a terzi, persone fisiche o giuridiche, enti o associazioni (art. 4, comma 1, lett. a) e b) del Codice). Infatti, le "etichette" potrebbero contenere essestesse dati personali, o essere impiegate in modo tale da rendere comunqueidentificabili gli interessati attraverso il raffronto con altre informazioni. I sistemi informativi cui esse sono collegate possonopermettere, altresì, di individuare la posizione geografica di chi detienel'etichetta o l'oggetto su cui essa è apposta, con considerevoli ripercussionisulla libertà di circolazione delle persone. La RFID può essere inoltre adoperata nelle tecniche di impianto di microchip sottocutaneo, anche suindividui: l'inserimento di microprocessori sottopelle, per l'evidentedelicatezza delle implicazioni che ne derivano sui diritti delle persone, rendequindi necessaria la predisposizione di particolari cautele. Ulteriori pericoli per gli interessati possono altresìderivare -specie, in prospettiva, con l'adozione di standard comuni- dallapossibilità che terzi non autorizzati "leggano" i contenuti delleetichette o intervengano sugli stessi (mediante, ad esempio,"riscrittura"). Ciò, tenendo anche conto che lo sviluppo tecnologicopuò comportare un aumento della potenza dei sistemi di RFID, rendendo possibile una "lettura" delle etichette a distanze sempre maggiori; parallelamente, il progressivo contenimento dei costi di produzione dei dispositivi in questione agevola la crescita dell'impiego di tali tecniche di identificazione. Infine, i rischi per la vita privata dei cittadini possonoaccrescersi nel caso di un'integrazione della RFID con infrastrutture direte (telefonia, Internet, ecc.). È quindi necessario che l'implementazione e l'utilizzo dellaRFID, ove si configuri un trattamento di dati personali, avvenga nel rispetto dei principi dettati dal Codice e, in particolare, delle libertà, dei dirittifondamentali e della dignità degli interessati (art. 2, comma 1, del Codice). Il Garante, a garanzia degli interessati e in conformità aquanto previsto dal Codice, prescrive pertanto alcune prime misure che devonoessere approntate da parte di coloro che, a diverso titolo, si avvalgano ditecniche fondate sulla RFID; ciò, anche al fine di consentire ad operatori eproduttori di predisporre dispositivi offerti alla conformità alla normativa inmateria di tutela dei dati personali. Tali prescrizioni si applicano ai casi in cui, per effettodell'impiego di sistemi RFID, si trattino dati personali relativi a terziidentificati o identificabili (art. 4, comma 1, lett. b) del Codice); non operano invece nei casi -che non pongono particolari problemi sul piano della protezione dei dati- in cui la RFID non comporti il predetto trattamento e sia utilizzata, ad esempio, in una catena di distribuzione aziendale al solo fine di garantire una maggiore efficienza del processo di produzione. L'Autorità si riserva peraltro di impartire ulterioriprescrizioni che potrebbero rendersi necessarie in relazione a specificitrattamenti di dati personali effettuati mediante RFID, anche in vistadell'evoluzione rapida e costante che contraddistingue questa tematica. Principi generali L'utilizzo della RFID può comportare condizionamentie vincoli per gli interessati. Si rende pertanto necessario assicurare ilrigoroso rispetto di tutti i principi dettati dal Codice, tra i quali, vannoqui richiamati, in particolare: * Principio di necessità (art. 3 del Codice) I sistemi di RFID devono essere configurati in modotale da evitare l'utilizzazione di dati personali oppure, a seconda dei casi,l'identificabilità degli interessati, quando non siano strettamente necessariein relazione alla finalità perseguita. Tale valutazione deve essere condotta tenendo presente chenella maggior parte degli impieghi, ad esempio nella catena di distribuzione diprodotti, non è necessario trattare dati personali relativi a terzi. * Liceità (art. 11, comma 1, lett. a), del Codice) Il trattamento mediante RFID è lecito solo se si fonda suuno dei presupposti che il Codice prevede, rispettivamente, per i soggettipubblici da un lato (svolgimento di funzioni istituzionali: artt. 18-22)e, dall'altro, per soggetti privati ed enti pubblici economici (ad es.,adempimento ad un obbligo di legge, o consenso libero ed espresso: artt.23-27). L'utilizzo di tali tecniche deve svolgersi anche nelrispetto di altre leggi e regolamenti che possono di volta in volta rilevare aseconda del loro settore di impiego. In ambito lavorativo, l'uso di tecniche RFID deve in particolare rispettare il divieto di controllo a distanza del lavoratore (art. 4 l. 20 maggio 1970, n. 300; art. 114 del Codice). * Finalità e qualità dei dati (art. 11, comma 1, lett. b), c), d) e e), del Codice) Il titolare (art. 4, comma 1, lett. f)) può trattare dati personali esclusivamente per scopi determinati, espliciti e legittimi (art.11, comma 1, lett. b)). I dati possono essere inoltre utilizzati soltanto in terminicompatibili con la finalità per la quale sono stati originariamente raccolti;devono essere conservati per il tempo strettamente necessario a perseguire talefinalità, decorso il quale devono essere cancellati o resi anonimi (art. 11, comma 1, lett. b) e e) del Codice). Il titolare deve altresì curare la pertinenza e noneccedenza, l'esattezza e l'aggiornamento dei dati personali (art. 11, comma1, lett. c) e d) del Codice). * Proporzionalità (art. 11, comma 1, lett. d), delCodice) Il titolare deve verificare il rispetto del principio diproporzionalità in tutte le diverse fasi del trattamento. I dati trattati e le modalità del loro trattamento, anchecon riferimento alla tipologia delle infrastrutture di rete adoperate, nondevono risultare sproporzionati rispetto agli scopi da prefissare. Non risulta di regola giustificato il trattamento checomporti il funzionamento delle etichette apposte su prodotti acquistatidall'interessato anche fuori dell'esercizio commerciale, a meno che ciò sianecessario per fornire un servizio specificamente e liberamente richiestodall'interessato stesso. * Informativa (art. 13 del Codice) Il titolare del trattamento, nel fornire agli interessati laprescritta informativa precisando anche le modalità del trattamento (art. 13 del Codice), deve indicare la presenza di etichette RFID e specificare che, attraverso i sistemi connessi, è possibile raccogliere dati personali senza che gli interessati si attivino al riguardo. Analogamente, deve essere segnalata mediante informativa l'esistenza di lettori in grado di "attivare" l'etichetta (lettori i quali possono comunque essere posti in essere solo in quanto strettamente necessari in rapporto alla finalità del trattamento). Chiara evidenza deve essere data anche alle modalità perasportare o disattivare l'etichetta, o per interrompere in altro modo ilfunzionamento del sistema di RFID. L'informativa potrebbe essere altresì fornita attraversoappositi avvisi agevolmente visionabili nei luoghi in cui le tecniche RFID sono adoperate, con un formato ed un posizionamento tale da risultare chiaramente visibile. La presenza di avvisi non esime i titolari del trattamentodall'apporre un'idonea informativa sugli oggetti o sui prodotti recanti le"etichette intelligenti", qualora le stesse rimangano attive dopo cheè stato reso possibile associarle con dati relativi a terzi identificati oidentificabili, in particolare al di fuori dei luoghi (ad esempio esercizicommerciali) in cui si fa uso della RFID. * Trattamento da parte di privati: il consenso (artt. 23e ss. del Codice) In generale, l'utilizzo di RFID che implichi untrattamento di dati personali da parte di privati può essere effettuato solocon il consenso dell'interessato (art. 23), a meno che ricorra un altropresupposto equipollente del trattamento (art. 24). In presenza di un trattamento di dati personali, ilconsenso, ove necessario, deve avere i requisiti previsti (art. 23 delCodice). Il consenso non è altresì valido se ottenuto sulla base di pressioni o condizionamenti sull'interessato (art. 23, comma 3). Ove non acconsenta al trattamento, l'interessato non dovrà incorrere in conseguenze pregiudizievoli o limitazioni che non siano diretta conseguenza dell'impossibilità di effettuare il trattamento dei dati che lo riguardano. Se il trattamento riguarda dati di carattere sensibile (art.4, comma 1, lett. d)), il consenso deve essere manifestato per iscritto e il trattamento può essere effettuato solo previa autorizzazione del Garante (art. 26 del Codice). Anche in presenza del consenso dell'interessato o di unaltro presupposto del trattamento, il trattamento dei dati personali mediante RFID deve comunque svolgersi nel rispetto dei menzionati principi di finalità, proporzionalità e dignità (artt. 2, comma 1, e 11, comma 1). Tutto ciò premesso, e nella consapevolezza della prevedibilediffusione della RFID in diversi settori ed impieghi, possono sin da oradistinguersi -con riferimento al profilo del consenso- alcuni casi specifici: b) nel caso in cui le tecniche di RFID siano associate all'utilizzo di carte di fidelizzazione della clientela e al trattamento di dati relativi a clienti a fini di profilazione commerciale, valgono anche i principi di protezione dei dati -con specifico riferimento a informativa, consenso, necessità e proporzionalità- esplicitati da questa Autorità nel provvedimento del 24 febbraio 2005 (in www.garanteprivacy.it); c) fermo restando, come sopra rilevato, che non è di regola lecita l'installazione di etichette RFID destinate a rimanere attive anche oltre la barriera-cassa dell'esercizio commerciale in cui sono utilizzate, tale ipotetico impiego, ove lecito, presuppone comunque il necessario consenso dell'interessato, a meno che possa operare un altro presupposto equipollente del trattamento (art. 24 del Codice); d) nei casi di impiego di RFID per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà degli interessati. In particolare, d2) qualora la RFID sia adoperata per controllare l'accesso occasionale di terzi a determinati luoghi, occorre predisporre un meccanismo che, in caso di indisponibilità dell'interessato, permetta a quest'ultimo di entrare comunque nel luogo in questione, con eventuale adozione -e solo se necessario- di misure di cautela rimesse alla ragionevole valutazione del titolare. * Esercizio dei diritti (artt. 7-10 del Codice) Il titolare del trattamento deve agevolare l'esercizio, daparte dell'interessato, dei diritti di cui all'art. 7 del Codice, semplificandole modalità e riducendo i tempi per il riscontro al richiedente (art. 10,comma 1 del Codice). Già nella fase di progettazione delle tecnologie, iproduttori di sistemi RFID dovrebbero opportunamente predisporre modalità idonee a garantire agli interessati un agevole esercizio dei diritti. * Disattivazione o rimozione delle etichette All'interessato deve essere riconosciuta la possibilità diottenere, gratuitamente e in maniera agevole, la rimozione o la disattivazionedelle etichette RFID al momento dell'acquisto del prodotto su cui è appostal'etichetta o al termine dell'utilizzo del dispositivo. Le etichette devono essere posizionate in modo tale darisultare, per quanto possibile, facilmente asportabili senza danneggiare olimitare la funzionalità del prodotto o dell'oggetto a cui si riferiscono (adesempio, disponendone la collocazione sulla sola confezione). * Impianto sottocutaneo di microchip L'impianto sottocutaneo di microchip in esseri umani solleva problematiche, particolarmente delicate, che hanno già indotto altre autoritàgaranti in Europa a considerarlo inaccettabile sul piano della protezione deidati. Anche nei casi in cui un limitato impiego di microprocessorisottocutanei è stato permesso (ad es., negli Stati Uniti: Food and DrugAdministration, 12 ottobre 2004) sono stati comunque messi in evidenza i potenziali rischi di tali operazioni, sia per la salute dei soggetti che si sottopongono all'impianto, sia per la sicurezza dei dati personali trattati. Gli impianti sottocutanei di microchip devono ritenersi in via di principio esclusi, in quanto contrastanti, con riferimento alla protezione deidati, con il principio di dignità (art. 2 del Codice), ferme restando le altrenorme dell'ordinamento a garanzia dell'integrità fisica e dell'inviolabilitàdella dignità della persona, contenute anche nella Carta dei dirittifondamentali dell'Unione europea (artt. 1 e 3). Fatte salve le previsioni della normativa sulla protezionedei dati e le prescrizioni del presente provvedimento, l'impiego di microchip sottocutaneo può essere quindi ammesso solo in casi eccezionali, per comprovate e giustificate esigenze a tutela della salute delle persone, in stretta aderenza al principio di proporzionalità (art. 11 del Codice), e nel rigoroso rispetto della dignità dell'interessato (art. 2, comma 1). L'interessato dovrebbe poter essere in grado di ottenere diregola, in qualunque momento e senza oneri, la rimozione del microchip e l'interruzione del relativo trattamento dei dati che lo riguardano. I titolari del trattamento devono inoltre predisporremodalità di impianto e di impiego delle etichette sottocutanee tali dagarantire la riservatezza circa la presenza delle stesse etichette nel corpodell'interessato. I trattamenti di dati sensibili, oltre che effettuatinell'osservanza dei presupposti e dei limiti stabiliti dal Codice (artt. 22e 2; Parte II, Titolo V del Codice), devono essere, ove prescritto (artt.26 e 76), preventivamente autorizzati dal Garante. Il Garante si riserva di prescrivere ai titolari deltrattamento, ai sensi dell'art. 17 del Codice, di sottoporre alla verificapreliminare di questa Autorità (anche con eventuali provvedimenti di caratteregenerale) i sistemi di RFID destinati all'impianto sottocutaneo che, in quantotali, presentano rischi specifici per i diritti, le libertà fondamentali e ladignità degli interessati. * Ulteriori prescrizioni Restano, fermi, in aggiunta alla prescrizioni del presenteprovvedimento, gli obblighi che il Codice detta ai titolari del trattamento. Ci si riferisce, in particolare: * effettuati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma 1, lett. d)); c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento, sono autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codice). TUTTO CIÒ PREMESSO IL GARANTE: ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive ai soggetti che, a diverso titolo, effettuino trattamenti di dati personaliavvalendosi della RFID, le misure necessarie od opportune indicate nel presente provvedimento al fine di rendere il trattamento conforme alle disposizionivigenti. Roma, 9 marzo 2005 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |