Una vez más los avances de la tecnología requieren de la actuación de las Autoridades de Control para garantizar el bienestar de la Sociedad de la Información.
El empleo de la tecnología RFID, (Radio Frecuency Identification) permite almacenar en dispositivos portátiles, "etiquetas RFID", información y trasmitirla por ondas de radio, a un lector que la procesará y la remitirá al software RFID elegido, para su posterior tratamiento y manipulación.
Si bien la capacidad de almacenamiento y la disponibilidad e integridad de la información transmitida dependen del tipo de etiqueta RDIF utilizada, son muchas las utilidades para las que dicha tecnología está siendo empleada, (p.e. mediante su utilización en pulseras para el seguimiento de los pacientes en los centros sanitarios, pulseras para la toma de tiempo de los participantes en carreras deportivas, o a través de tarjetas de fidelización para estudios mercado de los consumidores y usuarios).
Desde la perspectiva del cumplimiento normativo en la utilización de la tecnología RFID, se debe tener en cuenta los riesgos que de la misma se derivan para la seguridad de la información y la privacidad de las personas.
En ocasiones, la información obtenida podrá ser susceptible de contener datos de carácter personal (p.e. datos identificativos del nombre y apellidos, datos de salud, gustos, hábitos de consumo, etc) de aquellas personas que las utilicen, así como obtener datos de geolocalización, de forma que será preciso que las empresas que utilicen productos con tecnología RFID y realicen un tratamiento de datos personales, implementen los mecanismos establecidos por los dictámenes y recomendaciones emanadas de las autoridades europeas en la materia.
En este sentido, con la finalidad de mitigar los riesgos en la seguridad y privacidad de las personas, en la incipiente implantación de la tecnología RFID, la Agencia Española de Protección de Datos y el Instituto Nacional de Tecnologías de la Comunicación han establecido en su "Guía de sobre seguridad y privacidad de la tecnología RFID", determinadas recomendaciones que deberán implantarse por aquellas entidades que recaben datos de carácter personal mediante dicha tecnología, entre las que destacan las siguientes:
- Se deberá informar previamente al sujeto del tratamiento de sus datos, en los términos del artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en adelante LOPD.
- Se deberá indicar el modo de desactivar las etiquetas o extraerlas de los objetos, así como su localización en el producto.
- Se deberá adoptar las previsiones necesarias para posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento.
- Se deberá garantizar las medidas de seguridad establecidas en el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, en función de la tipología de los datos recabados en las etiquetas (p.e. mediante la utilización de mecanismos de encriptación o cifrado de los datos sensibles trasmitidos (p.e. datos de salud).
Por su parte, el Grupo de Trabajo del Artículo 29 determina en su Dictamen 9/2011 relativo a la Propuesta Revisada de la Industria para un Marco de Evaluación del Impacto sobre la Protección de Datos y la Intimidad en las Aplicaciones Basadas en la Identificación por Radiofrecuencia (RFID), de 11 de febrero de 2011, el impacto de las aplicaciones basadas en la identificación por radiofrecuencia, promoviendo la necesidad de establecer por parte de los operadores RFID, un Informe de Evaluación de Impacto.
De forma que toda empresa que emplee para la recogida y tratamiento de datos de carácter personal tecnología basada en RFID, deberá garantizar el cumplimiento establecido por dicho Informe antes de proceder a la ejecución y/o desarrollo de la aplicación. El mencionado Informe deberá estar disponible a requerimiento de la Agencia Española de Protección de datos.
En consecuencia, el incremento de los beneficios obtenidos por la tecnología RFID, en los distintos entornos y ámbitos de nuestra vida por parte de las empresas, implica actuar conforme el marco de regulación establecido, de manera que los derechos de la privacidad, intimidad y protección de datos de las personas no se encuentren amenazados.
