La Radio Frequency Identification (RFID) è una tecnologia che consente l’identificazione automatica di cose o persone tramite la ricezione di informazioni via radio.
Questa tecnologia si compone di un c.d. Tag, ossia un’etichetta costituita da una memoria elettronica e da antenne, e di un lettore. I Tag RFID contengono un codice identificativo unico nonché, talvolta, ulteriori informazioni, ed i lettori RFID sono appunto finalizzati a leggere le informazioni contenute nei Tag.
Questa tecnologia si sta diffondendo rapidamente in numerosi settori viste le innumerevoli funzioni che può assumere. Ad esempio essa può essere utile per garantire una migliore gestione di prodotti aziendali, per incrementare la rapidità di operazioni commerciali, per controllare accessi a luoghi riservati o per altri usi nei luoghi di lavoro.
Considerata però la peculiarità di questi sistemi, molto diffusi e in molti casi “invisibili”, il loro utilizzo può spesso incorrere in violazioni del diritto alla protezione dei dati personali, ed avere quindi ripercussioni sulla dignità, ed in genere sui diritti e le libertà fondamentali, della persona.
Il caso in esame prende spunto dalla richiesta del Comune di Verona al Garante di una verifica preliminare in relazione al trattamento dei dati personali che intende effettuare attraverso un sistema RFID finalizzato al controllo degli orari di entrata ed uscita dalle zone a traffico limitato (ZTL) dei veicoli adibiti a trasporto merci.
Il Comune di Verona, infatti, tramite questo sistema, si propone di impedire ai veicoli adibiti al trasporto merci di rimanere all’interno delle ZTL oltre il limite di tempo concesso dalle ordinanze.
Allo stato attuale, infatti, la normativa di settore vigente prevede solamente sistemi di controllo degli ingressi nelle ZTL volti a sanzionare l’ingresso di veicoli non autorizzati, mentre nessuna sanzione è prevista per la violazione dei limiti temporali previsti per l’accesso alle predette zone (cfr. d.p.r. 22 giugno 1999 n. 250).
Nella richiesta di verifica il Comune ha descritto il funzionamento del sistema evidenziando come esso risulti composto “da un’antenna posta su un palo collegata ad una piccola unità locale che registra una sola informazione e cioè il numero univoco”, ossia il Tag del veicolo. “Tali antenne sono poste sia in corrispondenza degli ingressi (varchi ZTL esistenti) sia in corrispondenza di tutte le uscite dove è presente un varco elettronico (…)”. “Per sapere a chi appartiene il veicolo occorre abbinare il Tag alla targa/permesso, associazione già presente nel gestionale permessi, già soggetto a rigorose misure di sicurezza informatica sotto il profilo della privacy”.
Il Comune ha inoltre evidenziato come le sanzioni per i veicoli che risulteranno essere usciti dalla ZTL oltre l’orario consentito sono ancora in fase di discussione, il titolare del trattamento dei dati personali sarà il Comune di Verona stesso, per il mezzo del Comandante del Corpo di Polizia Municipale, e che l’attività sarà gestita nel rispetto di misure e garanzie a tutela degli interessati.
Nell’analizzare la richiesta, il Garante, ha immediatamente osservato come non fosse necessaria la verifica preliminare ai sensi dell’art. 17 del Codice per il trattamento dei dati personali in quanto, nel caso di specie, non si rinvengono i requisiti richiesti dalla legge per la suddetta verifica preliminare.
La verifica preliminare – ex art. 17 del Codice – è dallo stesso contemplata per i casi in cui tale trattamento di dati personali, diversi da quelli sensibili e giudiziari, possa implicare violazioni effettive o potenziali dei diritti e delle libertà fondamentali degli interessati.
Con specifico riferimento ai sistemi RFID, il Garante, con il provvedimento generale del 09 marzo 2005, ha, ad esempio, espressamente sottoposto a verifica preliminare i casi in cui tali sistemi siano destinati all’impianto sottocutaneo, proprio perché, in tali casi, i rischi per i diritti e le libertà fondamentali dell’individuo sono molto accentuati.
A ciò si aggiunga che un riferimento ai sistemi RFID è stato esplicitato pure nel provvedimento generale in materia di videosorveglianza dell’08 aprile 2010, nel quale il Garante ha appunto previsto che, per quanto concerne i sistemi di videosorveglianza c.d. intelligenti, ossia sistemi che non si limitano a registrare immagini ma sono in grado di rilevare automaticamente comportamenti/eventi anomali, fosse necessaria una verifica preliminare al loro utilizzo.
Conseguentemente a quanto sopra, il Garante ha affermato la mancata necessità di verifica preliminare nel caso de quo, anche alla luce delle numerose garanzie predisposte a tutela degli interessati da parte del Comune stesso.
In relazione a tale sistema il Comune di Verona non solo ha dichiarato di assicurare il rigoroso rispetto di tutti i principi enunciati del Codice, in particolare i principi di necessità, liceità, finalità, qualità e proporzionalità dei dati, nonché del divieto di controllo a distanza dell’attività dei lavoratori (cfr. artt. 3, 11, 18-22 e 114 del Codice; art. 4 lg. 20 maggio 1970 n. 300), ma ha pure evidenziato come il sistema non comporti il trattamento sistematico di dati identificativi diretti, ma di soli numeri identificativi personali che non permettono l’immediato collegamento all’identità del soggetto, il quale ultimo avverrà solamente nei casi di trasgressione delle regole concernenti gli orari di entrata e uscita dalle ZTL.
Il sistema, infatti, rileva il numero di targa, associato al codice univoco con cui il Tag è identificato dal produttore, dei veicoli autorizzati al carico-scarico merci. In tale modo l’identificazione dell’interessato potrà avvenire solamente in un momento successivo e solamente qualora si riscontri un’infrazione.
A ciò si aggiunga che, a tutela del diritto dei lavoratori al divieto di controllo a distanza della loro attività, tale sistema non registrerà alcune informazione sul percorso seguito dal veicolo.
Ciò premesso, e vista la possibilità – prevista nel citato provvedimento generale del 09 marzo 2005 – per il Garante di impartire comunque ulteriori prescrizioni in relazione a specifici trattamenti di dati personali effettuati mediante RFID, anche in assenza di necessaria verifica preliminare, lo stesso ha ritenuto opportuno offrire al Comune di Verona alcune indicazioni di massima per l’utilizzo del sistema.
Anzitutto, viene richiamato l’obbligo di informativa nei confronti degli interessati – ossia gli intestatari delle targhe dei veicoli adibiti al trasporto merci – in relazione al trattamento di dati personali che l’utilizzo del sistema RFID comporterà.
Viene prescritta la necessità che l’ identificazione degli interessati avvenga solo in caso di trasgressione alle disposizioni in tema di orari di entrata e uscita dalla ZTL.
La conservazione dei dati raccolti con sistema RFID dovrà essere limitata al tempo necessario alla rilevazione dei dati che permettano di individuare eventuali trasgressori; da ciò ne deriva che qualora il veicolo effettui ingresso e uscita nel rispetto dei tempi consentiti i dati raccolti andranno cancellati subito dopo, mentre nel caso di violazione dei tempi concessi la conservazione delle informazioni non potrà superare il periodo necessario alla contestazione dell’infrazione, all’applicazione della sanzione e/o alla definizione dell’eventuale procedimento giudiziale.
Non solo.
Il Comune di Verona dovrà inoltre adottare tutte quelle misure di sicurezza che si riveleranno necessarie al fine di evitare i rischi di distruzione, perdita (anche accidentale), di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità del sistema (cfr. art. 31 del Codice), e designare espressamente i soggetti incaricati del trattamento dei dati, nonché, per ognuno di essi, i diversi livelli di accesso a seconda delle specifiche mansioni assegnate.
In ragione delle considerazioni di cui sopra, il Garante ha ritenuto opportuno ed autorizzato l’utilizzo del sistema RFID al fine di consentire un maggiore e più efficiente controllo degli accessi e della permanenza all’interno delle zone a traffico limitato, dando prova dell’utilità che tali strumenti possono offrire, sempre nel rispetto dei diritti della persona.
Sistema RFID per il controllo degli ingressi e delle uscite dalle zone a traffico limitato (Ztl) dei veicoli adibiti al trasporto delle merci. Verifica preliminare richiesta dal Comune di Verona al Garante
0
Share.
