Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing' ![Crea PDF]( "Crea PDF")
![Banca dati, normativa sulla sicurezza]()
Etichette intelligenti nel rispetto della privacy, anche nei luoghi di lavoro
Pubblicità
Il Garante della privacy ha fissato regole per chi intende produrre ed utilizzare le cosiddette “etichette intelligenti”, basate sulla tecnologia Rfid (Radio Frequency Identification).
I vantaggi della loro applicazione, quali una maggiore rapidità delle operazioni commerciali e una agevole rintracciabilità dell’origine di particolari prodotti, non devono tuttavia portare a sottovalutare i rischi di violazione della riservatezza degli utenti.
Le “etichette intelligenti” consentono infatti di raccogliere innumerevoli dati sulle abitudini dei consumatori a fini di profilazione o essere in grado di tracciare i percorsi effettuati dagli stessi, controllarne la posizione geografica o verificare quali prodotti usa, indossa, trasporta.
“Ulteriori pericoli - afferma il Garante - possono derivare dall’adozione di standard comuni tali da favorire la possibilità che terzi non autorizzati “leggano” i contenuti delle etichette o intervengano sugli stessi (es. mediante la loro riscrittura). I rischi possono accrescersi nel caso si integrino le tecniche Rfid con infrastrutture di rete, come telefonia ed Internet e sulla base dello stesso sviluppo tecnologico che, potenziando i sistemi, può consentire una “lettura” delle etichette a distanze sempre maggiori.”
Da qui l’urgenza di dettare regole precise per il loro utilizzo.
Il provvedimento del Garante riprende le indicazioni fondamentali di un documento varato dai Garanti europei sull’argomento. Particolare attenzione è stata dimostrata nei confronti dell’utilizzo della tecnologia RFI nei luoghi di lavoro per la verifica di accessi a determinate aree riservate. In tal caso deve essere rispettato quanto previsto dallo Statuto dei lavoratori che “vieta l’utilizzo di impianti per il controllo a distanza dei lavoratori; per l’accesso occasionale di terzi a determinati luoghi occorre predisporre un meccanismo che, nel caso di indisponibilità ad usare Rfid da parte dell’interessato, gli permetta comunque di entrare nel luogo in questione.”
Di seguito una sintesi delle indicazioni dell’Autorità.
Informativa Le persone devono essere adeguatamente informate dell’utilizzo di sistemi Rfid, così come dell’esistenza dei lettori ottici che attivano l’etichetta. La presenza di avvisi nei luoghi nei quali le tecniche Rfid sono utilizzate non esime da apporre informativa sugli stessi oggetti e prodotti che recano le etichette intelligenti.
Consenso. Un soggetto privato che utilizza Rfid trattando dati personali può farlo solo con il consenso espresso e specifico degli interessati, a meno che ricorra in casi particolari uno degli altri presupposti di legge. Il consenso non è valido se ottenuto con pressioni o condizionamenti sull’interessato.
Se le etichette intelligenti sono associate all’utilizzo di carte di fedeltà, e si trattano dati a fini di profilazione dei consumatori, occorre informare e acquisire il consenso degli interessati.
Il consenso non è necessario quando le etichette intelligenti sono adoperate solo per modalità di pagamento e tale impiego non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili.
Disattivazione. Alle persone deve essere garantito comunque il diritto di asportare, disattivare o interrompere gratuitamente ed in maniera agevole il funzionamento delle Rfid al momento dell’acquisto del prodotto sui cui è apposta l’etichetta. Le etichette devono essere posizionate in modo tale da risultare facilmente asportabili senza danneggiare o limitare la funzionalità del prodotto (es. collocate solo sulla confezione).
Non è, di regola, lecita l’installazione di Rfid destinate a rimanere attive oltre la barriera-cassa dell’esercizio commerciale.
Accesso a determinati luoghi o a posti di lavoro. Nei casi di impiego di Rfid per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà delle persone. In particolare: per i luoghi di lavoro va rispettato quanto previsto dallo Statuto dei lavoratori che vieta l’utilizzo di impianti per il controllo a distanza dei lavoratori; per l’accesso occasionale di terzi a determinati luoghi occorre predisporre un meccanismo che, nel caso di indisponibilità ad usare Rfid da parte dell’interessato, gli permetta comunque di entrare nel luogo in questione.
Microchip sottopelle. Tali impianti devono ritenersi in via di principio esclusi in quanto in contrasto con i diritti, le libertà fondamentali e la dignità della persona. Essi possono essere ammessi solo in casi eccezionali per comprovate e giustificate esigenze di tutela della salute delle persone. L’interessato, comunque, deve poter ottenere la rimozione del microchip e l’interruzione del relativo trattamento dei dati che lo riguardano. Si devono prevedere modalità di impianto che garantiscano la riservatezza circa la presenza delle etichette nel corpo dell’interessato.
Va ricordato che anche nei casi di un limitato impiego di microprocessori sottocutanei (es. Stati Uniti), sono stati messi in evidenza i potenziali rischi sia per la salute che soggetti che si sottopongono all’impianto, sia per la sicurezza dei dati personali trattati.
Il Garante ha stabilito, comunque, che i soggetti che intendono utilizzare tali microchip devono sottoporre alla verifica preliminare dell’Autorità tali sistemi.
Proporzionalità, finalità di raccolta e conservazione dei dati. L’uso di etichette intelligenti deve risultare proporzionato agli scopi che si intende perseguire. I dati possono essere utilizzati solo per le finalità per le quali sono stati raccolti e devono essere conservati per il tempo strettamente necessario.
Misure di sicurezza. Chi utilizza etichette intelligenti e tratta dati personali ha l’obbligo di adottare misure di sicurezza per ridurre i rischi di distruzione, perdita, acceso non autorizzato o manomissione dei dati conservati.
Notificazione. L’avvio di trattamenti di dati che indicano la posizione geografica di persone o oggetti mediante reti di comunicazione elettronica o che siano effettuati allo scopo di costruire profili o personalità di un individuo devono essere comunicati preventivamente al Garante.
Il Garante della privacy ha fissato regole per chi intende produrre ed utilizzare le cosiddette “etichette intelligenti”, basate sulla tecnologia Rfid (Radio Frequency Identification).
I vantaggi della loro applicazione, quali una maggiore rapidità delle operazioni commerciali e una agevole rintracciabilità dell’origine di particolari prodotti, non devono tuttavia portare a sottovalutare i rischi di violazione della riservatezza degli utenti.
Le “etichette intelligenti” consentono infatti di raccogliere innumerevoli dati sulle abitudini dei consumatori a fini di profilazione o essere in grado di tracciare i percorsi effettuati dagli stessi, controllarne la posizione geografica o verificare quali prodotti usa, indossa, trasporta.
“Ulteriori pericoli - afferma il Garante - possono derivare dall’adozione di standard comuni tali da favorire la possibilità che terzi non autorizzati “leggano” i contenuti delle etichette o intervengano sugli stessi (es. mediante la loro riscrittura). I rischi possono accrescersi nel caso si integrino le tecniche Rfid con infrastrutture di rete, come telefonia ed Internet e sulla base dello stesso sviluppo tecnologico che, potenziando i sistemi, può consentire una “lettura” delle etichette a distanze sempre maggiori.”
Da qui l’urgenza di dettare regole precise per il loro utilizzo.
Il provvedimento del Garante riprende le indicazioni fondamentali di un documento varato dai Garanti europei sull’argomento. Particolare attenzione è stata dimostrata nei confronti dell’utilizzo della tecnologia RFI nei luoghi di lavoro per la verifica di accessi a determinate aree riservate. In tal caso deve essere rispettato quanto previsto dallo Statuto dei lavoratori che “vieta l’utilizzo di impianti per il controllo a distanza dei lavoratori; per l’accesso occasionale di terzi a determinati luoghi occorre predisporre un meccanismo che, nel caso di indisponibilità ad usare Rfid da parte dell’interessato, gli permetta comunque di entrare nel luogo in questione.”
Di seguito una sintesi delle indicazioni dell’Autorità.
Informativa Le persone devono essere adeguatamente informate dell’utilizzo di sistemi Rfid, così come dell’esistenza dei lettori ottici che attivano l’etichetta. La presenza di avvisi nei luoghi nei quali le tecniche Rfid sono utilizzate non esime da apporre informativa sugli stessi oggetti e prodotti che recano le etichette intelligenti.
Consenso. Un soggetto privato che utilizza Rfid trattando dati personali può farlo solo con il consenso espresso e specifico degli interessati, a meno che ricorra in casi particolari uno degli altri presupposti di legge. Il consenso non è valido se ottenuto con pressioni o condizionamenti sull’interessato.
Se le etichette intelligenti sono associate all’utilizzo di carte di fedeltà, e si trattano dati a fini di profilazione dei consumatori, occorre informare e acquisire il consenso degli interessati.
Il consenso non è necessario quando le etichette intelligenti sono adoperate solo per modalità di pagamento e tale impiego non comporti alcuna riconducibilità dei prodotti ad acquirenti identificati o identificabili.
Disattivazione. Alle persone deve essere garantito comunque il diritto di asportare, disattivare o interrompere gratuitamente ed in maniera agevole il funzionamento delle Rfid al momento dell’acquisto del prodotto sui cui è apposta l’etichetta. Le etichette devono essere posizionate in modo tale da risultare facilmente asportabili senza danneggiare o limitare la funzionalità del prodotto (es. collocate solo sulla confezione).
Non è, di regola, lecita l’installazione di Rfid destinate a rimanere attive oltre la barriera-cassa dell’esercizio commerciale.
Accesso a determinati luoghi o a posti di lavoro. Nei casi di impiego di Rfid per la verifica di accessi a determinati luoghi riservati devono essere predisposte idonee cautele per i diritti e le libertà delle persone. In particolare: per i luoghi di lavoro va rispettato quanto previsto dallo Statuto dei lavoratori che vieta l’utilizzo di impianti per il controllo a distanza dei lavoratori; per l’accesso occasionale di terzi a determinati luoghi occorre predisporre un meccanismo che, nel caso di indisponibilità ad usare Rfid da parte dell’interessato, gli permetta comunque di entrare nel luogo in questione.
Microchip sottopelle. Tali impianti devono ritenersi in via di principio esclusi in quanto in contrasto con i diritti, le libertà fondamentali e la dignità della persona. Essi possono essere ammessi solo in casi eccezionali per comprovate e giustificate esigenze di tutela della salute delle persone. L’interessato, comunque, deve poter ottenere la rimozione del microchip e l’interruzione del relativo trattamento dei dati che lo riguardano. Si devono prevedere modalità di impianto che garantiscano la riservatezza circa la presenza delle etichette nel corpo dell’interessato.
Va ricordato che anche nei casi di un limitato impiego di microprocessori sottocutanei (es. Stati Uniti), sono stati messi in evidenza i potenziali rischi sia per la salute che soggetti che si sottopongono all’impianto, sia per la sicurezza dei dati personali trattati.
Il Garante ha stabilito, comunque, che i soggetti che intendono utilizzare tali microchip devono sottoporre alla verifica preliminare dell’Autorità tali sistemi.
Proporzionalità, finalità di raccolta e conservazione dei dati. L’uso di etichette intelligenti deve risultare proporzionato agli scopi che si intende perseguire. I dati possono essere utilizzati solo per le finalità per le quali sono stati raccolti e devono essere conservati per il tempo strettamente necessario.
Misure di sicurezza. Chi utilizza etichette intelligenti e tratta dati personali ha l’obbligo di adottare misure di sicurezza per ridurre i rischi di distruzione, perdita, acceso non autorizzato o manomissione dei dati conservati.
Notificazione. L’avvio di trattamenti di dati che indicano la posizione geografica di persone o oggetti mediante reti di comunicazione elettronica o che siano effettuati allo scopo di costruire profili o personalità di un individuo devono essere comunicati preventivamente al Garante.
Pubblica un commento
Ad oggi, nessun commento è ancora stato inserito.Banca Dati di PuntoSicuro
