Discovery Mobile, il lettore RFID Partitalia, è privacy by default: infatti, non raccoglie dati sensibili, mentre la sua posizione è registrata esclusivamente per un atto volontario e l’ID non è associato all’operatore.
In materia di privacy, Discovery Mobile, il lettore RFID Partitalia, è conforme a quanto sancito dal GDPR, il regolamento generale sulla protezione dei dati, applicabile nei Paesi dell’Unione Europea dal 25 maggio 2018.
Cosa si intende per GDPR?
Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea il Regolamento (UE) 2016/679 del 27 aprile 2016, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. Il regolamento generale sulla protezione dei dati, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio dello stesso anno ma è diventato operativo negli Stati membri dell’UE a partire dal 25 maggio 2018; il GDPR abroga la direttiva 95/46/CE, precedente normativa europea di riferimento in materia di protezione dei dati, divenuta ormai inadeguata a far fronte ai trattamenti automatizzati e all’utilizzo sempre più esteso del web.
Il GDPR disciplina il trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, società o organizzazioni: come chiarisce il considerando 14, “è opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali”. Esso si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” (articolo 2) e “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” (articolo 3).
Per quanto riguarda le aziende, “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese” (articolo 40).
Chi è il DPO e quali sono i suoi compiti?
Il regolamento (UE) 2016/679 introduce la figura del Responsabile della protezione dei dati (DPO – Data Protection Officer). Come specificato all’articolo 39:
“ Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
f) Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
Perché Discovery Mobile è privacy by default
L’articolo 25 del GDPR introduce il concetto di “protezione per impostazione predefinita” (privacy by default): nelle aziende “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Discovery Mobile è privacy by default, dal momento che:
♦ il GPS è attivo, ma la posizione del wearable RFID Partitalia è registrata esclusivamente per un atto volontario, ovvero nel momento della lettura del tag RFID posto sul sacco o sul bidone. Il dispositivo non ha, quindi, alcuna finalità di controllo automatico;
♦ l’ID del dispositivo indossabile non è associato all’operatore che lo utilizza, in nessun database;
♦ solo gli utenti autorizzati possono accedere ai dati ed alle funzioni rese disponibili dal sistema/applicazione;
♦ il sistema RFID di Partitalia controlla che l’utente sia in possesso di un opportuno profilo di autorizzazione che stabilisca a quali funzioni (lettura, scrittura, ricerca, stampa ecc.) e a quali dati può avere accesso;
♦ i messaggi di errore da parte del sistema forniscono un’indicazione tempestiva ed efficace sulle cause senza rivelare informazioni che potrebbero essere utili ad eseguire tentativi di accesso non autorizzati. I messaggi di errore di sistema sono rivelati solo a persone autorizzate (ad es. amministratore di sistema, personale addetto alla manutenzione ecc.).
Il lettore RFID Partitalia non raccoglie dati sensibili
L’articolo 9 del regolamento individua i dati sensibili, definiti “categorie particolari di dati personali”, e stabilisce il divieto di trattarli: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Il dispositivo indossabile RFID di Partitalia non raccoglie dati sensibili: durante la lettura del tag, infatti, il wearable rileva un dato che riporta l’ID del dispositivo, senza associare il nome di alcun operatore, e l’ID del tag, il codice di 24 cifre che per definizione è associato ad un utente in maniera univoca, ma senza riportarne il nome. Non è possibile risalire a chi appartiene il codice, tanto più ricavare da tale codice alcun dato sensibile.
Di conseguenza, il wearable RFID Partitalia è GDPR by default, perché:
♦ durante il turno di lavoro, non esistono registrazioni delle posizioni del Discovery Mobile che non siano associate ad una lettura del tag RFID o ad una anomalia;
♦ non esiste la possibilità di associare l’ID del wearable ad un operatore della raccolta puntuale;
♦ la tecnologia RFID Partitalia non raccoglie dati sensibili.
