Le etichette intelligenti sotto la lente del Garante per la privacy
(MKT  luglio/Agosto 2003)

Nella newsletter n. 172 del 26 maggio 2003 il Garante per la protezione dei dati personali si è pronunciato in merito alle c.d. “etichette intelligenti”, che cominciano oggi a essere sfruttabili (a prezzi accessibili) con diverse finalità: controllo delle merci; controllo degli acquisiti; velocità in cassa nel caso di grande distribuzione, etc…

A livello tecnologico, si parla di “Rfid” (acronimo di Radio Frequency ID Devices), sigla con cui vengono indicati i dispositivi microscopici simili a microchip contenenti un identificativo (ad esempio, un numero di serie), che è possibile riconoscere attraverso un lettore compatibile funzionante in radiofrequenza.
L’attenzione del Garante è dovuta al fatto che “questi dispositivi suscitano un interesse crescente fra le imprese produttrici, perché offrono la possibilità di verificare i movimenti (magazzino, carico/scarico) dei singoli articoli in vendita – e quindi di ottenere un’istantanea dei flussi merceologici. Tuttavia, essi comportano anche rischi per la privacy delle persone, poiché in potenza essi permettono di rintracciare (e monitorare) i singoli acquirenti degli articoli nei quali sono stati inseriti”.

Negli Stati Uniti uno dei siti internet che maggiormente si preoccupa del tema è Junkbusters (sito definito dal Garante come pro-privacy), che ha realizzato una pagina in cui informa sull’argomento e sulle prospettive di sviluppo delle Rfid (www.junkbusters.com/rfid.html).
I dubbi e le problematiche sollevate da Junkbusters vertono soprattutto sulla possibilità che gli Rfid non si disattivino automaticamente una volta che il cliente lasci il perimetro del negozio dove è entrato in possesso della merce contrassegnata con il Rfid, il che determinerebbe una indebita aggressione alla riservatezza della persona qualora la stessa non sia stata informata della circostanza e abbia prestato il proprio consenso.
Ovviamente, le prospettive di marketing che si aprono attraverso l’uso di dispositivi Rfid sono infinite, soprattutto in considerazione della possibilità di inserirli su capi di abbigliamento e oggetti di uso personale con la possibilità quindi di incrociare i dati relativi all’acquisto e/o all’utilizzo di un certo prodotto con le informazioni identificative di una persona determinata (per esempio incrociando i dati generati dalle etichette intelligenti con quello della carta di credito o di una fidelity card).
Il Garante per la protezione dei dati personali, facendo anche riferimento alle indicazioni di Junkbusters, ha dunque fissato alcune prime regole nell’utilizzo delle etichette intelligenti, e cioè:

• In primo luogo, è necessario che coloro i quali le utilizzano garantiscano che i clienti siano adeguatamente informati dell’esistenza di tali dispositivi negli articoli in vendita;
• in secondo luogo, le aziende produttrici dovrebbero garantire l’effettiva disattivazione dei chip all’uscita dall’esercizio commerciale, oppure inserire i chip in elementi asportabili (ad esempio, l’etichetta o la targhetta ove è indicato il prezzo). Non deve infatti succedere che il cliente possa essere “tracciato” o “monitorato” al di là di quanto strettamente necessario per l’utilizzo delle etichette intelligenti in ambito commerciale.

In adempimento a quanto sopra, sarà quindi necessario adeguatamente informare i clienti ai sensi dell’articolo 10 della legge sulla privacy, specificando la natura e la tipologia dei dati raccolti attraverso il Rfid nonché le finalità perseguite. Ed infatti, indipendentemente dal possesso di una fidelity card, il solo utilizzo di una carta di credito potrebbe comportare la possibilità di profilare un soggetto in maniera particolarmente invasiva. Naturalmente, particolarmente rilevante nell’ambito dell’obbligo informativo sarà avvisare il cliente dell’esatto funzionamento dell’etichetta intelligente (disattivazione al momento dell’acquisto o meno; eventuale ulteriore ambito di suo funzionamento; ecc..).
In ogni caso, la possibilità di utilizzare i dati raccolti attraverso l’etichetta intelligente al di là dei semplici adempimenti contrattuali sarà sottoposta alla raccolta del consenso del cliente ai sensi dell’articolo 11 della legge n. 675/96. Il consenso, al di là della formulazione dell’articolo 11 della legge sulla privacy che stabilisce come il consenso “è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto” sarà senz’altro meglio raccoglierlo per iscritto anche perché alcune delle informazioni che potenzialmente potrebbero essere raccolte si configureranno senz’altro come sensibili ai sensi dell’articolo 22 della legge sulla privacy.
Infine, i dati raccolti dovranno essere protetti attraverso l’adozione di misure di sicurezza idonee ad evitare il rischio di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del trattamento.
Il Garante si è tuttavia riservato di tenere monitorata l’evoluzione nell’utilizzo da parte degli operatori commerciali delle etichette intelligenti, e sarà quindi necessario controllare se e quali modifiche al trattamento dei dati raccolti tramite il Rfid diverranno necessarie anche a causa dell’annunciato testo unico in materia di privacy che dovrebbe, fra gli altri aspetti, finalmente chiarire quali devono essere considerati come dati “quasi sensibili”.
Qualora in questa nuova categoria (introdotta con il d.lgs 467/01 ma mai identificata con esattezza) dovessero essere ricompresi i dati relativi alle abitudini al consumo, potrebbe diventare allora necessario adottare procedure più complesse nella raccolta e nel trattamento dei dati acquisibili mediante fidelity card o etichette intelligenti rispetto a quelle sopra brevemente indicate.