|
GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29
Il Gruppo di lavoro stato istituito in virt dellarticolo 29
della direttiva 95/46/CE. lorgano consultivo indipendente dellUE per la
protezione dei dati personali e della vita privata. I suoi compiti sono fissati
allarticolo 30 della direttiva 95/46/CE e allarticolo 15 della direttiva
2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C
(Diritti fondamentali e cittadinanza dell'Unione) della Commissione europea,
direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190. Sito Internet: http://ec.europa.eu/justice/policies/privacy/index_en.htm Parere 9/2011 - WP 180 sulla proposta rivista dell'industria relativa a un quadro per la
realizzazione di valutazioni di impatto sulla protezione della vita privata e dei dati per le applicazioni RFID adottato l'11 febbraio 2011 Indice 1 Contesto 1.1 Introduzione 1.2 Sintesi del quadro rivisto 2 Analisi 3 Conclusione IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO
AL TRATTAMENTO DEI DATI PERSONALI istituito
dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre
1995, visti
l'articolo 29 e l'articolo 30, paragrafo 1, lettera a) e paragrafo 3, della
suddetta direttiva, e l'articolo 15, paragrafo 3, della direttiva 2002/58/CE
del Parlamento europeo e del Consiglio, del 12 luglio 2002, visto il proprio
regolamento interno, ha adottato il seguente parere: 1 Contesto 1.1 Introduzione Il
presente documento fa seguito al parere1
5/2010 (WP 175) sulla proposta dell'industria relativa a un
quadro per la realizzazione di valutazioni di impatto sulla protezione della
vita privata e dei dati per le applicazioni RFID. La presente introduzione
riproporr alcuni elementi contestuali necessari alla comprensione degli
obiettivi e dell'ambito di questo nuovo parere; per ulteriori dettagli si
invita comunque il lettore a consultare il parere 5/2010. Il 12 maggio 2009 la Commissione europea ha formulato una
raccomandazione2 sull'applicazione
dei principi di protezione della vita privata e dei dati personali nelle applicazioni
basate sull'identificazione a radiofrequenza. Tale raccomandazione invita gli Stati
membri ad assicurarsi che l'industria, in cooperazione con le parti
interessate, metta a punto un quadro per la realizzazione di valutazioni
d'impatto sulla protezione della vita privata e dei dati e lo sottoponga al
gruppo di lavoro "Articolo 29" per la protezione dei dati. Una
volta definito tale quadro, gli Stati membri dovrebbero garantire che i gestori
RFID eseguano una valutazione dellimpatto sulla protezione dei dati e della
vita privata ("privacy and data protection impact assessment",
in appresso "PIA" o valutazione dellimpatto sulla privacy) delle
applicazioni RFID, prima di introdurle. Gli Stati membri dovrebbero inoltre garantire
che i gestori RFID mettano a disposizione delle autorit competenti le relazioni
sulle valutazioni. Il
31 marzo 2010 i rappresentanti dell'industria hanno presentato al Gruppo di
lavoro "Articolo 29", per approvazione, una proposta di quadro per la
realizzazione di valutazioni d'impatto sulla protezione della vita privata e dei
dati. Pur rappresentando un buon punto di partenza il quadro proposto non ha
tuttavia ottenuto il pieno appoggio del Gruppo di lavoro, specialmente per
l'assenza di tre elementi cruciali: 1)
un approccio della valutazione dei rischi chiaramente definito; 2)
la presa in considerazione delle etichette RFID portate da persone al di fuori
del perimetro operativo dell'applicazione; 3)
un modo di affrontare esplicitamente i principi di disattivazione delle
etichette nel settore al dettaglio stabiliti nella raccomandazione della
Commissione europea sull'applicazione dei principi di protezione della vita
privata e dei dati nelle applicazioni basate sull'identificazione a
radiofrequenza. Il
13 luglio 2010, nel parere 5/2010, il Gruppo di lavoro ha sintetizzato questi
elementi, insieme ad altre preoccupazioni, invitando lindustria a proporre un
quadro rivisto per la realizzazione di valutazioni dimpatto sulla protezione
dei dati e della vita privata. Per quanto riguarda la componente della
valutazione dei rischi, il Gruppo di lavoro ha fortemente incoraggiato lindustria
a basarsi sulle esistenti competenze che lAgenzia europea per la sicurezza
delle reti e dellinformazione (ENISA) potrebbe fornire in questo settore. Lo
stesso mese, lENISA ha pubblicato un parere indipendente3 con raccomandazioni pratiche per migliorare il quadro proposto. Il
parere dellENISA proponeva in particolare alcuni orientamenti iniziali per ladozione
di un approccio metodologico, ampio e riconosciuto, di valutazione dei rischi,
e suggeriva una serie di miglioramenti strutturali. Nei
mesi seguenti l'industria ha stilato un quadro rivisto per la valutazione dell'impatto
sulla privacy, tenendo conto dei contributi forniti sia dal Gruppo di lavoro
che dall'ENISA. Il 12 gennaio 2011 questo quadro rivisto stato presentato per
approvazione al Gruppo di lavoro "Articolo 29" per la protezione
dei dati. Il presente parere la risposta formale del Gruppo
alla nuova proposta. Nel
prosieguo, la raccomandazione della Commissione europea sull'applicazione dei
principi di protezione della vita privata e dei dati personali nelle
applicazioni basate sull'identificazione a radiofrequenza, pubblicata il 12
maggio 2009, denominata "raccomandazione RFID", e il quadro per la
realizzazione di valutazioni d'impatto sulla protezione della vita privata e
dei dati, presentato il 12 gennaio 2011 al Gruppo di lavoro "Articolo
29" e riportato in allegato al presente parere, denominato "quadro
rivisto" o semplicemente "quadro". 1.2 Sintesi del quadro rivisto Il
quadro rivisto comincia passando in rassegna le procedure interne importanti e
rilevanti per la realizzazione di una valutazione dell'impatto sulla privacy,
quali: la programmazione e l'esame della PIA, la compilazione di una
documentazione pertinente, la determinazione delle persone rilevanti,
nell'organizzazione, per il sostegno del processo di valutazione dell'impatto sulla
privacy, l'individuazione di condizioni che potrebbero dar luogo in futuro a
una revisione della PIA e a una consultazione delle parti interessate. Il
processo di valutazione dell'impatto sulla privacy si articola in due fasi: I.
Una fase pre-valutazione che consiste nel classificare un'applicazione RFID
secondo una scala di 4 livelli, in base a un albero di decisione. Il risultato
di questa valutazione consente di determinare se una PIA necessaria o meno, e
di scegliere fra una "PIA su grande scala" e una "PIA su piccola
scala". Per le applicazioni che utilizzano etichette RFID suscettibili di
essere portate dai singoli sar necessaria almeno una "PIA su piccola
scala" (livello 1), mentre per le applicazioni che in pi trattano dati personali
sar richiesta una "PIA su grande scala" (livelli 2 e 3). Viceversa,
le applicazioni che non utilizzano etichette suscettibili di essere portate dai
singoli e che non trattano dati personali non sono oggetto di valutazione
dell'impatto sulla privacy (livello 0). II.
Una fase di valutazione dei rischi, divisa in quattro passaggi principali: 1)
caratterizzazione dell'applicazione (tipi di dati, flussi di dati, tecnologia
RFID, conservazione e trasferimento dei dati, ecc.); 2)
individuazione dei rischi relativi ai dati personali tramite la valutazione
delle minacce, della loro probabilit e delle loro ripercussioni in termini di
privacy e di rispetto della legislazione europea; 3)
individuazione dei controlli e raccomandazioni in merito, in risposta a rischi precedentemente
identificati; 4)
documentazione dei risultati della valutazione dell'impatto sulla privacy, elaborazione
di una risoluzione riguardante le condizioni di esecuzione dell'applicazione
RFID esaminata, e informazioni sui rischi residui. Per
ogni passaggio della fase di valutazione dei rischi gli allegati del quadro
rivisto offrono un sostegno, fornendo alla persona preposta al controllo
orientamenti nella seguente forma:
un template per descrivere le caratteristiche principali dell'applicazione
RFID;
un elenco di 9 obiettivi relativi alla privacy che le applicazioni RFID devono soddisfare,
tratti dalla direttiva 95/46/CE;
un elenco di tipici rischi per la protezione della vita privata e dei dati, con
descrizioni ed esempi;
un elenco di esempi di controllo e di misure correttive che possono essere
utilizzate in risposta a rischi precedentemente identificati. Il
risultato di una valutazione dell'impatto sulla privacy formalizzato dal
gestore dell'applicazione RFID in una relazione PIA che descrive l'applicazione
RFID e documenta nei dettagli i quattro passaggi sopra esposti relativi alla
valutazione dei rischi. 2 Analisi Il
Gruppo di lavoro riconosce il lavoro approfondito svolto negli ultimi mesi
dalle associazioni e dagli esperti del settore, dal mondo accademico e da
singole societ per elaborare un quadro rivisto. Gli autori del quadro rivisto
hanno colto l'opportunit di questa rielaborazione non solo per affrontare la
maggior parte degli aspetti problematici evidenziati dal Gruppo di lavoro, ma
anche per presentare una struttura pi chiara e orientamenti pi solidi per i
gestori RFID che applicheranno il quadro. Il
Gruppo di lavoro osserva che il quadro rivisto basato su un approccio di
gestione del rischio, e ribadisce che questo un elemento fondamentale di
qualsiasi quadro di valutazione dellimpatto sulla protezione dei dati e della
vita privata. Il
Gruppo di lavoro accoglie inoltre con favore l'esplicita inclusione di un
processo di consultazione delle parti interessate fra le procedure interne
necessarie allo svolgimento di una PIA. La
proposta metodologia di valutazione dei rischi prevede una fase iniziale
pre-valutazione in cui le applicazioni RFID sono classificate in 4 livelli in
base a un albero di decisione. Il Gruppo di lavoro osserva che il proposto
albero di decisione contiene aspetti di ambiguit quanto alla definizione di ci
che pu essere o non essere considerato dato personale in un'applicazione RFID.
Se un'etichetta contenente un identificatore unico destinata ad essere portata
da una persona, l'etichetta ID dovrebbe essere considerata un dato personale,
come gi messo in rilievo nel parere 5/2010. Quindi, nella maggior parte dei
casi, se l'etichetta destinata ad essere portata da una persona, dovrebbe
essere classificata come applicazione di livello 2, e non di livello 1 come
suggerito nel quadro. Il Gruppo di lavoro accoglie tuttavia con favore il fatto
che il quadro rivisto obblighi chiaramente i gestori RFID ad effettuare una PIA
ogniqualvolta le etichette siano portate da persone. Come
indicato in vari pareri precedenti4,
una delle principali preoccupazioni, sotto il profilo della vita privata,
legata alla tecnologia RFID deriva dagli usi della tecnologia RFID che implicano
il tracciamento delle persone e l'accesso ai dati personali. Se un gestore RFID
non ha necessariamente in mente questo obiettivo quando introduce
un'applicazione RFID, comunque importante aver presente che esiste il rischio
che terzi si servano delle etichette per fini cui non sono state destinate. Il
quadro rivisto obbliga ora chiaramente i gestori RFID a valutare i rischi che
possono sorgere quando le etichette sono utilizzate al di fuori del perimetro
operativo di un'applicazione RFID e/o quando sono portate da persone. Questa
preoccupazione ha ricevuto particolare attenzione nel settore del commercio al dettaglio,
dove si teme che gli articoli muniti di etichette, comprati da singole persone,
possano essere utilizzati in maniera abusiva dai commercianti al dettaglio o da
terzi a fini di tracciamento o di profilazione. La Commissione europea ha
affrontato questo problema nella raccomandazione, stabilendo il principio della
disattivazione delle etichette nel punto di vendita, a meno che i clienti non
diano il loro consenso informato per mantenere le etichette operative. La
raccomandazione prevede una deroga a questo principio di disattivazione se la valutazione
dell'impatto sulla privacy conclude che mantenere le etichette operative al di
fuori del punto di vendita non rappresenta una probabile minaccia alla vita
privata o alla protezione dei dati personali. Il Gruppo di lavoro osserva che
un approccio di gestione del rischio, quale suggerito dal quadro, uno
strumento indispensabile affinch i gestori RFID possano valutare i rischi che
si corrono prendendosi la responsabilit di mantenere le etichette attive al di
fuori del punto di vendita. La
realizzazione di una valutazione dell'impatto sulla privacy seguita da una
relazione in merito che va messa a disposizione dell'autorit competente almeno
6 settimane prima dell'introduzione dell'applicazione RFID. Il Gruppo di lavoro
tiene a sottolineare che lo svolgimento di una PIA presuppone anche che i
gestori RFID elaborino e diffondano una politica informativa concisa, accurata
e di facile comprensione per ciascuna delle loro applicazioni (punto 7 della
raccomandazione), che includa in particolare una sintesi della valutazione dimpatto
sulla tutela della vita privata e la protezione dei dati. Poich
il quadro in oggetto comincia ad essere utilizzato per concrete applicazioni
RFID, probabile che il suo contenuto richieda degli adattamenti, che potranno
prendere forma solo grazie all'esperienza e al feedback di tutte le parti
interessate, fra cui l'industria, i consumatori, le autorit di protezione dei
dati e l'ENISA. Ci accadr probabilmente soprattutto per la distinzione fra la
valutazione dell'impatto sulla privacy "su grande scala" o "su
piccola scala", quale definita nel quadro rivisto. Inoltre, conformemente
alla raccomandazione, la Commissione europea dovr presentare una relazione
sullattuazione della stessa, sulla sua efficacia e sullimpatto sugli
operatori e i consumatori, in particolare per quanto riguarda le misure
relative al settore del commercio al dettaglio. La relazione deve essere
presentata 3 anni dopo la pubblicazione della raccomandazione, cio nel maggio
2012. Tuttavia,
considerando che possono passare 6 mesi prima che il quadro prenda pienamente effetto,
sarebbe utile concedere a tutte le parti interessate un maggior lasso di tempo
per realizzare la valutazione. Il Gruppo di lavoro suggerisce pertanto che la
Commissione europea posponga la presentazione della relazione proposta, o la
completi, a una data successiva, cio 3 anni dopo la pubblicazione del presente
parere. 3 Conclusione Il
Gruppo di lavoro approva il quadro rivisto, presentato il 12 gennaio 2011. Tale
quadro prende effetto al pi tardi 6 mesi dopo la pubblicazione del presente
parere. La
valutazione dell'impatto sulla privacy uno strumento concepito per promuovere
la cosiddetta privacy by design (ossia la tutela della vita privata fin
dalla progettazione), una migliore informazione per i cittadini e la
trasparenza e il dialogo con le autorit competenti. Di
conseguenza, poich alcune applicazioni RFID saranno utilizzate in vari Stati
membri, importante che le relazioni sulle valutazioni siano tradotte e messe
a disposizione delle autorit competenti nella loro lingua nazionale. Il Gruppo di lavoro
continuer a sostenere il dialogo a venire con l'industria, per quanto riguarda
il miglioramento e la precisazione della struttura e dell'attuazione del quadro
per la realizzazione di valutazioni d'impatto sulla privacy per le applicazioni
RFID, sulla base dell'esperienza e dei feedback di tutte le parti interessate. NOTE 2 http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf
(in inglese). 3 http://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia, Parere ENISA sulla proposta dellindustria relativa a un
quadro per la realizzazione di valutazioni dimpatto sulla protezione della
vita privata e dei dati per le applicazioni RFID del 31 marzo 2010. 4 Si
vedano ad esempio il parere 5/2010 (WP 175) e il Documento di lavoro sulle
questioni relative alla protezione dei dati collegate alla tecnologia RFID
(WP 105) del 19 gennaio 2005. |