RFID: aspetti di sicurezza e privacy

Recentemente il NIST americano ha pubblicato le proprie linee guida per la sicurezza sui sistemi RFID (pdf, 1.5 M), linee guida che contengono anche una prima elencazione dei principali rischi che tale tecnologia presenta per la privacy. Il nostro Garante per la protezione dei dati personali, nella sua newsletter n. 288 del 17 aprile 2007, ha già indicato i principi fondamentali di una "politica europea" per i sistemi Rfid proprio in relazione agli aspetti di sicurezza e privacy.

Newsletter n. 288 del 17 aprile 2007

La Commissione ha recentemente diffuso i risultati di una consultazione pubblica conclusasi nel 2006 e dedicata al tema dei sistemi RFID: "Radio Frequency Identification (RFID) in Europe: steps towards a policy framework" (pdf, 66 K). I risultati indicano che al primo posto fra le preoccupazioni dei cittadini c'è proprio la tutela della privacy. In questo contesto, tutela della privacy non significa soltanto proteggere l'integrità del dato personale in sé, ma soprattutto evitare possibili abusi legati all'interconnessione fra i sistemi basati sulla tecnologia Rfid ed altri sistemi per la gestione delle informazioni (bancarie, commerciali, o di altro genere).

La Comunicazione della Commissione riconosce senza ambiguità l'esigenza di dare risposta a queste preoccupazioni, anche attraverso il coinvolgimento delle autorità di protezione dati che sono chiamate a fornire indicazioni specifiche sulle modalità per garantire che le applicazioni della tecnologia siano rispettose della privacy. La formula-chiave, in questo ambito, è "privacy by design", ossia fare in modo che la tutela della privacy sia inscritta nella struttura operativa dei sistemi Rfid fin dal momento della loro progettazione. Significativo il fatto che una percentuale elevata delle risposte alla consultazione pubblica (70%) indichi nelle soluzioni tecnologiche la via più opportuna, mentre ben il 66% ritiene che la normativa in materia di protezione dati debba essere aggiornata con riguardo alla tecnologia Rfid. (…) È necessario, dunque, un'adeguata sensibilizzazione a tutti i livelli oltre alla necessità di effettuare un vero e proprio privacy impact assessment prima di procedere con l'implementazione di specifici sistemi Rfid; al riguardo è al lavoro una task force che sta esaminando l'applicazione del concetto di dato personale al contesto Rfid.

La raccomandazione della Commissione Europea

Da queste iniziative potranno scaturire indicazioni importanti, anche in vista della redazione di una Raccomandazione che la Commissione intende sviluppare entro la fine del 2007 su tutti gli aspetti dell'utilizzazione delle tecnologie Rfid, con particolare riguardo alla tutela della privacy. I Garanti europei sono chiamati anche a collaborare al Gruppo di lavoro (Rfid Stakeholder Group) che la Commissione costituirà prossimamente per elaborare la strategia europea concernente l'Rfid, in previsione di un'ulteriore analisi a tutto campo (ma con particolare riguardo alla privacy ed alla fiducia degli utenti nei sistemi Rfid) che sarà condotta entro la fine del 2008.

Privacy by design

Come visto, un aspetto importante dei risultati della consultazione già citata (pdf, 66 K) è il concetto di "privacy by design" cioè nell’adozione di criteri di progettazione dei sistemi che trattano dati personali e dunque anche dei sistemi RFID che evitino (o riducano al minimo) ex ante i rischi di privacy e sicurezza non solo a livello tecnologico ma anche a livello organizzativo e di processi di business. Inoltre ciò significa tenere costantemente sotto controllo le nuove minacce di sicurezza così da poter adottare, prima possibili, le migliori contromisure disponibili.
I sistemi informativi che utilizzano (o si basano su RFID) ed i relativi rischi in ordine alla sicurezza e alla privacy sono in continuo sviluppo e richiedono un continuo assessment e monitoring, sulla base di linee guida chiare e condivise, conformi al quadro regolatorio ed agli ultimi sviluppi della ricerca.

RFID: security and privacy risks

Gli specifici rischi di sicurezza e privacy dipendono in larga misura dalla natura delle applicazioni RFID sotto esame: un approccio generalista ("a one-size-fits-all approach") non è in questo caso auspicabile; occorre viceversa una analisi di dettaglio dei costi e dei benefici sia dei rischi sia delle contromisure adottabili PRIMA dell’adozione di una specifica soluzione RFID.

Link

  • RFID spiegati da Wikipedia Italia
AG-Vocabolario: