AVIZUL Comitetului Economic şi Social European privind identificarea prin Frecvenţe Radio (RFID) (aviz exploratoriu)
Comitetul Economic şi Social European
TEN/293
Identificarea prin Frecvenţe Radio (RFID)
Bruxelles, 11 iulie 2007
AVIZUL
Comitetului Economic şi Social European
privind
identificarea prin Frecvenţe Radio (RFID)
(aviz exploratoriu)
_____________
Într-o scrisoare din 26 februarie 2007, Comisia Europeană, în conformitate cu articolul 262 din Tratatul de instituire a Comunităţii Europene, a solicitat Comitetului Economic şi Social European să elaboreze un aviz exploratoriu cu privire la
Identificarea prin frecvenţe radio (RFID).
Secţiunea pentru transporturi, energie, infrastructură şi societatea informaţională, însărcinată cu pregătirea lucrărilor Comitetului pe această temă, şi-a adoptat avizul la 19 iunie 2007. Raportor: dl Morgan.
În cea de-a 437-a sesiune plenară, care a avut loc la 11 şi 12 iulie 2007 (şedinţa din 11 iulie), Comitetul Economic şi Social European a adoptat prezentul aviz cu 138 voturi pentru, 1 vot împotrivă şi 6 abţineri.
*
* *
Concluzii şi recomandări
Identificarea prin frecvenţe radio (RFID) este o tehnologie semnificativă, care va deveni cu timpul foarte importantă. Aplicaţiile sale prezente şi viitoare au potenţialul de a îmbunătăţi net o gamă largă de activităţi economice, atât în sectorul public, cât şi în cel privat şi de a aduce beneficii semnificative atât persoanelor, cât şi întreprinderilor. De asemenea, are potenţialul de a stimula o dezvoltare masivă în domeniul aplicaţiilor Internetului, făcând posibil ceea ce o agenţie a ONU a descris ca fiind „Internetul obiectelor”. Cu toate acestea, dacă RFID nu este foarte atent controlată, ar putea, totodată, să încalce intimitatea persoanei, să distrugă libertăţile cetăţeneşti şi să ameninţe securitatea persoanelor şi a întreprinderilor.
Titlul integral al comunicării este „Identificarea prin frecvenţe radio în Europa: etape spre realizarea unui cadru politic”. Comisia a întreprins deja o consultare amplă, care a stat la baza acestei comunicări. CESE este acum invitat să elaboreze un document de poziţie. Pe baza reacţiilor la comunicare sa, la sfârşitul anului, Comisia va face o recomandare statelor membre. Actele legislative, a căror elaborare durează mai mult, vor urma mai târziu. Prin urmare, prezentul aviz se concentrează asupra acestei recomandări.
Comisia a decis să instituie un grup al părţilor interesate, care să funcţioneze ca o cutie de rezonanţă, pentru a o ajuta la formularea recomandărilor. CESE acceptă invitaţia de participare, care-i da posibilitatea de a expune prezentul aviz grupului părţilor interesate.
CESE sprijină acţiunile propuse de Comisie în domeniul spectrului radio, al standardelor, al sănătăţii şi securităţii şi al mediului. CESE evidenţiază urgenţa instituirii unei prezenţe eficiente în forurile de standardizare.
Deoarece Comisia îşi va publica recomandările către statele membre la sfârşitul acestui an, este de presupus că va accepta infrastructura de securitate a datelor şi de protecţie a vieţii private în forma sa actuală. Concret, aceasta presupune că organismele de protecţie a datelor care există deja în fiecare stat membru vor deveni autorităţile însărcinate cu protecţia datelor şi a vieţii private în contextul RFID. Prezentul aviz se concentrează asupra acestor teme.
Există puternice ameninţări la adresa vieţii private şi a libertăţilor cetăţeneşti:
- etichetele RFID pot fi aplicate în/pe obiecte şi documente fără ştiinţa persoanei care ajunge în posesia lor. Deoarece undele radio traversează silenţios şi cu uşurinţă ţesăturile, materialele plastice şi alte materiale, este posibilă citirea etichetelor RFID cusute pe îmbrăcăminte sau fixate pe obiecte din portofele, sacoşe, valize şi altele;
- codul electronic al produsului dă posibilitatea oricărui obiecte de pe Pământ să aibă un număr de identitate propriu. Folosirea unor numere de identitate unice poate conduce la crearea unui sistem global de înregistrare a articolelor, în care fiecare obiect fizic este identificat şi asociat cu cumpărătorul sau cu proprietarul său la punctul de desfacere sau transfer;
- instalarea RFID necesită crearea unor uriaşe baze de date, care să conţină datele de pe etichetele unice. Aceste înregistrări pot fi asociate cu date de identificare personale, în special ţinând seama de extinderea memoriilor şi a capacităţii de prelucrare a calculatoarelor;
- etichetele pot fi citite de la distanţă, nelimitându-se la raza vizuală, de către dispozitive de citire care pot fi încorporate invizibil în aproape orice mediu în care se adună mai multe persoane. Dispozitivele pot fi încorporate în dale de podea, ţesute în covoare, mascate în cadrul uşilor sau ascunse în sertare, ceea ce face practic imposibil ca o persoană să ştie când este scanată;
- dacă identitatea personală este asociată cu numerele unor etichete RFID unice, persoana poate fi localizată sau i se poate elabora profilul fără ca aceasta să ştie sau să-şi dea consimţământul;
- se poate imagina o lume în care dispozitivele de citire RFID formează o reţea globală omniprezentă. O astfel de reţea nu ar avea nevoie de asemenea cititoare peste tot. Sistemul din zona de circulaţie cu taxă din Londra poate localiza toate autovehiculele care intră în perimetrul central cu relativ puţine camere, strategic amplasate. În acelaşi mod, se poate construi o reţea de dispozitive de citire a etichetelor RFID strategic amplasate. Acest lucru nu trebuie permis.
Implicaţiile acestor ameninţări sunt următoarele:
- utilizatorii RFID trebuie să-şi facă publice politicile şi practicile şi nu ar trebui să existe baze de date secrete privind informaţia personală;
- persoanele au dreptul să ştie dacă articolele comercializate cu amănuntul conţin etichete sau dispozitive de citire RFID. Orice citire care se produce într-un loc de desfacere cu amănuntul trebuie să fie transparentă pentru toate părţile;
- utilizatorii RFID trebuie să anunţe scopurile pentru care utilizează etichete şi dispozitive de citire. Colectarea informaţiilor ar trebui limitată la ceea ce este necesar pentru scopurile declarate;
- utilizatorii RFID sunt răspunzători de aplicarea tehnologiei şi de operarea strict în cadrul legislaţiei şi al orientărilor privind securitatea datelor. De asemenea, aceştia sunt responsabili pentru securitatea şi integritatea sistemului şi a bazelor sale de date.
Modul în care aceste principii ar trebui puse în practică.
În cazul ideal, orice întreprindere care desfăşoară tranzacţii cu consumatorii, precum comercianţii cu amănuntul, vânzarea de bilete, controalele de acces, serviciile de transport ar urma să dea clienţilor o formă de garanţie că aceste principii vor fi respectate, un fel de cartă a protecţiei consumatorilor. Teoretic, o astfel de cartă ar putea încorpora toate principiile de bună practică legate de protecţia datelor, detaliate la punctul 4.5. În plus, CESE propune următoarele orientări:
a) comercianţilor ar trebui să li se interzică să forţeze sau să oblige clienţii să accepte etichete active sau pasive în produsele pe care le cumpără. Printre opţiuni, s-ar putea număra lipirea etichetelor pe ambalaj sau utilizarea unor etichete amovibile, asemănătoare etichetelor de preţ;
b) clienţii trebuie să aibă libertatea de a îndepărta sau de a dezactiva orice etichete de pe articolele aflate în posesia lor;
c) RFID nu trebuie folosită pentru localizarea persoanelor. Localizarea persoanelor este o acţiune inadecvată, indiferent că se face prin îmbrăcăminte, bunuri sau alte articole;
d) RFID nu ar trebui utilizată niciodată într-un mod care să elimine sau să reducă anonimatul;
e) autoritatea responsabilă ar trebui să indice clar că (c) şi (d) vor fi admisibile numai în situaţii excepţionale şi cu obţinerea în prealabil a aprobării oficiale a autorităţii.
Pot fi avute în vedere anumite excepţii de la orientările anterioare, atunci când:
- persoanele îşi exercită dreptul de a păstra etichetele active în beneficiu personal;
- persoanele îşi dau consimţământul să fie localizate în medii sensibile, cum sunt clădirile şi instituţiile publice şi private de înaltă securitate;
- persoanele optează pentru folosirea aplicaţiilor care îi vor localiza şi îi vor identifica în acelaşi mod în care sunt deja localizate şi identificate prin folosirea telefoanelor mobile, a cardurilor ATM, a adreselor de internet etc.
Orice astfel de excepţie ar trebui notificată autorităţii responsabile.
RFID nu este o tehnologie matură, astfel încât potenţialul său deplin nu este încă înţeles. Pe de-o parte, poate aduce beneficii greu de imaginat civilizaţiei noastre tehnologice, iar pe de altă parte poate reprezenta cea mai mare ameninţare cunoscută la adresa libertăţii şi a vieţii private. CESE are convingerea că aplicaţiile RFID ar trebui dezvoltate în conformitate cu un cod etic strict în materie de protecţie a vieţii private, de libertate şi securitate a datelor, dar că, odată luate măsurile de protecţie necesare, dezvoltarea aplicaţiilor sale trebuie continuată.
În concluzie, în cazul în care se autorizează aplicaţii RFID, instalarea acestora trebuie să fie pe deplin transparentă pentru toţi cei implicaţi. Aplicaţiile care îmbunătăţesc manipularea bunurilor sunt general acceptate. În general, aplicaţiile care implică etichetarea RFID a persoanelor sunt acceptabile în zone de tranzit. Aplicaţiile care asociază persoane cu mărfuri pot fi acceptabile în scopuri de marketing. Aplicaţiile care identifică persoane prin intermediul mărfurilor pe care le-au cumpărat sunt, în general, inacceptabile. Cu toate acestea, unele aplicaţii sunt inadecvate într-o societate liberă şi nu ar trebui autorizate niciodată. Necesitatea imperativă de a proteja viaţa privată şi anonimatul trebuie să constituie miezul recomandării adresate de Comisie statelor membre.
Ce este RFID şi de ce este importantă?
RFID este o tehnologie care permite identificarea şi culegerea automată de date folosind frecvenţe radio. Cea mai evidentă caracteristică a acestei tehnologii este posibilitatea de a ataşa unui obiect, unui animal sau chiar unei persoane un element unic de identificare şi alte informaţii – utilizând o etichetă electronică – şi de a citi aceste informaţii printr-un dispozitiv fără fir.
Etichetele electronice constau dintr-un circuit electronic care stochează date şi o antenă care comunică datele prin unde radio. Un dispozitiv de citire RFID accesează etichetele electronice pentru a obţine informaţiile stocate. Atunci când dispozitivul de citire RFID emite unde radio, toate etichetele electronice din aria sa de acoperire intră în comunicare cu acesta. Este necesar un software pentru controlul dispozitivului de citire, colectarea şi filtrarea informaţiilor.
Sunt disponibile diferite tipuri de sisteme RFID. Etichetele electronice pot fi etichete active sau etichete pasive. Etichetele active au incorporată o baterie care alimentează circuitul intern şi generează unde radio, astfel încât pot să emită în absenţa unui dispozitiv de citire RFID. Etichetele pasive sunt alimentate folosind energia undelor radio transmise de la dispozitivul de citire RFID şi nu au sursă de alimentare proprie. Etichetele pot fi „doar în citire” sau „citire-scriere”. Producţia de etichete doar pentru citire este mai puţin costisitoare şi acestea sunt folosite în cele mai multe aplicaţii curente.
Aria de acoperire a unui sistem RFID depinde de frecvenţa radio, de puterea dispozitivului de citire şi de natura materialului aflat între etichetă şi dispozitiv. În cazul sistemelor pasive, aceasta poate atinge câţiva metri, dar poate depăşi 100 de metri în cazul celor active.
RFID se află la baza ierarhiei tehnologiilor fără fir. În clasificarea în funcţie de distanţa parcursă de semnal, prima poziţie o deţin sistemele de comunicaţie prin satelit, precum GPS. Acestea sunt urmate de tehnologiile de telefonie mobilă cu arie largă de acoperire, precum GSM şi GPRS, urmate, la rândul lor, de semnalele cu acoperire mai redusă, în clădiri, cum este Wi-Fi, de reţelele personale, ca Bluetooth, şi, în cele din urmă, de RFID. Fiecare dintre aceste tehnologii funcţionează separat şi autonom, astfel încât, de exemplu, nu există riscul ca sistemele de satelit să citească etichetele electronice RFID. Chiar şi aşa, datele pot fi transferate între diferitele sisteme prin dispozitive cum sunt telefoanele celulare.
Câteva dintre potenţialele avantaje ale aplicaţiilor RFID sunt următoarele:
- pentru persoane, pot însemna siguranţă (de exemplu, siguranţa alimentară, îngrijirea sănătăţii, lupta împotriva contrafacerilor), comoditate (timp de aşteptare mai scurt la case de marcat, mai buna manipulare a bagajelor în aeroporturi, plăţi automate) şi îmbunătăţirea îngrijirii pacienţilor, în special în cazul bolilor cronice precum demenţa;
- în domeniul transporturilor, este de aşteptat să îmbunătăţească eficienţa, securitatea şi calitatea serviciilor pentru persoane şi mărfuri;
- în domeniul îngrijirii sănătăţii, RFID are potenţialul de a mări calitatea îngrijirii şi a securităţii pacienţilor şi de a îmbunătăţi logistica şi gradul de respectare al tratamentelor medicale. În prezent, se elaborează o metodă de plasare a etichetelor electronice pe fiecare tabletă;
- în comerţul cu amănuntul, ar putea ajuta la reducerea întreruperilor în aprovizionare, a nivelurilor stocurilor şi a furturilor;
- în multe domenii în care contrafacerile sunt foarte răspândite, folosirea RFID poate ajuta la determinarea locurilor prin care mărfurile ilicite pătrund în lanţul de aprovizionare;
- de asemenea, etichetarea RFID poate ajuta la sortarea şi reciclarea pieselor şi materialelor care compun diferitele produse, cu rezultate pozitive pentru gestionarea deşeurilor şi dezvoltarea durabilă.
Multe aspecte ale utilizării RFID sunt ilustrate de aplicarea sa la ciclul de viaţă al cărţilor. Fie numai şi prin numărul lor, cărţile tipărite reprezintă coşmaruri logistice pentru editori, distribuitori, bibliotecari şi librari. În afară de logistica lanţului de aprovizionare, este necesar să fie localizate cărţile ajunse pe raft, astfel încât să poată fi atât regăsite ulterior, cât şi înlocuite. În plus, bibliotecile trebuie să controleze ciclul împrumuturilor, iar cumpărătorii pot întâmpina dificultăţi în localizarea propriilor cărţi în bibliotecă. Etichetele RFID oferă o soluţie acestor probleme. Controlul împrumuturilor din bibliotecile publice va avea analogii în orice alt domeniu în care obiectele sunt reciclate sau închiriate.
Pentru a ilustra natura ameninţărilor inerente acestei tehnologii, se prezintă în continuare rezumatul unei cereri de brevet a IBM (20020615758) din noiembrie 2002, care priveşte identificarea şi urmărirea persoanelor utilizând articole etichetate electronic prin metoda RFID.
„Metodă şi sistem de identificare şi urmărire a persoanelor prin utilizarea de articole etichetate prin metoda RFID, purtate de persoanele respective. Un terminal de la punctul de desfacere generează lista de achiziţii anterioare ale fiecărei persoane care cumpără dintr-un magazin cu amănuntul şi le stochează într-o bază de date privind tranzacţiile. Atunci când o persoană care are sau poartă articole cu etichetă RFID intră în magazin sau în altă zonă desemnată, un scaner de etichete RFID situat în spaţiul respectiv localizează etichetele RFID aflate asupra acelei persoane şi citeşte informaţiile pe care le conţin. Informaţiile colectate de pe etichetele RFID sunt corelate cu istoricul tranzacţiilor stocat în baza de date privind tranzacţiile, conform unor algoritmi de corelare prestabiliţi. Pe baza rezultatelor corelării, pot fi determinate identitatea persoanei şi anumite caracteristici ale sale. Această informaţie se foloseşte pentru a monitoriza deplasarea persoanei în magazin sau în alte zone”.
Cererea de brevet nr. 20050038718 a companiei American Express prezintă elemente asemănătoare.
Este clar că RFID reprezintă mult mai mult decât un cod de bare. În rezumatul cererii de brevet citat mai sus, diferenţele-cheie sunt:
a) eticheta conţine nu numai descrierea articolului, ci şi un identificator al fiecărui articol în parte, ceea ce permite identificarea ulterioară a cumpărătorului acestuia;
b) nu este necesar ca eticheta să fie un microcip fizic. Circuitele pot fi imprimate direct pe majoritatea materialelor, de exemplu pe articolele de îmbrăcăminte;
c) eticheta rămâne activă după vânzare, astfel încât poate fi permanent citită;
d) dispozitive de citire a etichetelor nu există numai la punctele de desfacere, ci pot fi plasate oriunde şi nu numai în incinta magazinului;
e) corelarea prin intermediul bazei de date introduce o nouă dimensiune în colectarea de date, în protecţia vieţii private şi în securitatea datelor.
Este discutabil dacă eticheta trebuie să rămână sau nu activă după ieşirea din magazin. Pe de-o parte, reprezintă o ameninţare la adresa protecţiei vieţii private. Pe de altă parte, ar putea fi în avantajul cumpărătorului. De exemplu, posibilitatea existenţei unor dispozitive de citire RFID în casă ar putea ajuta la organizarea pivniţelor de vinuri, a conţinutului frigiderelor, şifonierelor şi bibliotecilor. Prin urmare, este logic ca opţiunea să-i aparţină persoanei, dar tehnologia şi aplicaţia sa trebuie să îi asigure posibilitatea să opteze.
RFID are multe alte aplicaţii în afară de identificarea produselor din comerţul cu amănuntul. Cardul de identitate şi acces in sediul CESE este un dispozitiv RFID. Reţeaua metroului londonez foloseşte cardurile RFID pe scară largă, pentru plată şi acces. Cărţile de credit vor încorpora în curând un dispozitiv RFID pentru efectuarea tranzacţiilor cu valoare redusă fără a folosi codul PIN. Plăcuţele RFID sunt folosite în aplicaţii precum perceperea taxelor de autostradă şi identificarea conducătorilor auto. Accesul la teleschiuri, în unele staţiuni montane europene, este controlat prin plăcuţe RFID purtate în buzunarul costumului de schi. Însuşi raportorul din faţa dumneavoastră poartă zilnic asupra sa trei carduri RFID şi o plăcuţă RFID. Câinele său este identificat cu un cip RFID subcutanat. În întreaga lume, astfel de cipuri intră în uz pe scară largă pentru etichetarea animalelor, în scopul asigurării trasabilităţii în lanţul alimentar. Nu mai este decât un pas până la etichetarea infractorilor şi a pacienţilor cu probleme, exact cum se procedează în cazul câinilor.
Cardul de identitate folosit de CESE este o benignă aplicaţie RFID. Identitatea devine o provocare cu mult mai semnificativă atunci când etichetele RFID sunt incorporate în echipamente de lucru sau uniforme, astfel încât mişcările persoanelor care le poartă pot fi urmărite permanent de scanere amplasate în toate punctele-cheie ale incintei. Cu toate acestea, trebuie admis că acest lucru poate fi dezirabil în anumite cazuri, de exemplu în scopul siguranţei. În orice caz, atunci când nu este însoţită de garanţii adecvate, localizarea continuă a unei persoane poate deveni o încălcare gravă a protecţiei vieţii private, care necesită o justificare solidă şi un control deosebit de atent.
Săptămânalul The Economist consemnează, ca straniu herald al viitoarelor utilizări, faptul că, la clubul Baja Beach din Barcelona, biletul de intrare în zona VIP este un microcip care se implantează în braţ clienţilor fideli. Puţin mai mare decât un bob de orez şi acoperit cu sticlă şi silicon, cipul este folosit la identificarea persoanelor atunci când intră şi plătesc consumaţia. Este injectat de o asistentă medicală, sub anestezie locală. În fond, este o etichetă RFID.
Esenţa comunicării
RFID prezintă interes politic, dat fiind potenţialul său de a deveni un nou motor pentru creştere economică şi locuri de muncă şi, astfel, de a-şi aduce o însemnată contribuţie la Strategia Lisabona, dacă pot fi depăşite barierele din calea inovaţiei.
Comisia a realizat în 2006 o consultare publică privind RFID, evidenţiind aşteptările create de această tehnologie pe baza rezultatelor celor care au adoptat-o primii, dar şi preocupările cetăţenilor în ceea ce priveşte aplicaţiile RFID care implică identificarea şi/sau localizarea persoanelor.
Evoluţiile viitoare şi funcţionarea pe scară largă a RFID ar putea consolida în continuare rolul tehnologiei informaţiei şi comunicaţiilor ca motor al inovaţiilor şi factor de creştere economică.
Este necesar un cadru politic şi legislativ clar şi previzibil pentru a face acceptabilă pentru utilizatori această nouă tehnologie. Deoarece tehnologia RFID este transfrontalieră în sine, acest cadru ar trebui să asigure coerenţa cu piaţa internă.
Securitatea, protecţia vieţii private şi etica
Această tehnologie, care are capacitatea de a se răspândi cu uşurinţă şi de a conferi putere deţinătorilor săi, produce îngrijorări serioase în ceea ce priveşte protecţia vieţii private: RFID poate fi utilizată pentru a colecta informaţii legate direct sau indirect de o persoană identificată sau identificabilă şi care, prin urmare, sunt considerate date personale; etichetele RFID pot înmagazina date personale; tehnologia RFID ar putea fi folosită pentru a localiza sau a urmări persoane ori a configura profilul comportamental al acestora. RFID are potenţialul de a fi o tehnologie intruzivă. S-au manifestat preocupări privind încălcarea unor valori fundamentale, a vieţii private şi creşterea supravegherii, în special la locul de muncă, ceea ce poate conduce la discriminare, excludere, victimizare şi posibile pierderi de locuri de muncă.
Este clar că aplicarea RFID trebuie să fie acceptabilă din punct de vedere social şi politic, admisibilă din punct de vedere etic şi permisă din punct de vedere legal. RFID va putea să producă numeroase beneficii economice şi sociale, dar numai dacă se prevăd garanţii eficiente de protecţie a datelor, a vieţii private şi a dimensiunilor etice asociate care stau în centrul dezbaterii privind acceptabilitatea publică a RFID.
Cadrul legislativ comunitar privind protecţia datelor şi a vieţii private în Europa a fost construit pentru a face faţă inovaţiei. Protecţia datelor personale este reglementată de directiva generală privind protecţia datelor , care este aplicabilă tuturor tehnologiilor care cuprind RFID. Directiva generală privind protecţia datelor este completată de directiva privind protejarea vieţii private în mediul electronic . În conformitate cu aceste directive, autorităţile publice din statele membre trebuie să se asigure că introducerea aplicaţiilor RFID respectă legislaţia privind protecţia datelor şi a vieţii private. Prin urmare, este necesar să se furnizeze orientări detaliate privind aplicarea RFID şi să se elaboreze codurile de conduită aferente.
În ce priveşte securitatea, întreprinderile din domeniu, statele membre şi Comisia vor întreprinde eforturi comune pentru a înţelege mai bine aspectele sistemice şi ameninţările la adresa securităţii potenţial asociate cu răspândirea masivă a tehnologiilor şi sistemelor RFID. Un aspect important al răspunsului la provocările de mai sus îl constituie specificarea şi adoptarea unor criterii de proiectare care să evite riscurile la adresa vieţii private şi a securităţii, nu numai la nivel tehnic, ci şi la nivel organizaţional şi al desfăşurării activităţii economice. Prin urmare, înainte de alegerea sistemelor RFID şi instalarea aplicaţiilor RFID, este necesară o examinare detaliată a costurilor şi beneficiilor acelor riscuri specifice legate de securitate şi de protecţia vieţii private.
Transparenţa şi neutralitatea bazelor de date care vor înregistra identificatorii unici aflaţi în centrul sistemului RFID, stocarea şi manipularea datelor colectate, precum şi folosirea acestora de către terţi constituie o sursă de preocupare. Acesta este un subiect important, deoarece RFID va genera un nou val de dezvoltare a Internetului, care va conecta în cele din urmă miliarde de dispozitive inteligente şi detectoare sofisticate într-o infrastructură globală de comunicare în reţea. Această nouă fază a dezvoltării Internetului reprezintă „Internetul obiectelor”.
Sistemele de înregistrare şi nomenclatura identităţilor în viitorul „Internet al obiectelor” ar trebui să excludă întreruperile sau utilizarea involuntară de natură a provoca dezordine. Ar trebui ca sistemul să nu fie controlat de interese particulare, care ar putea folosi bazele de date şi sistemele în scopuri proprii. Cerinţele de securitate, etică şi protejare a vieţii private ar trebui garantate pentru toţi factorii interesaţi, fie persoane particulare, fie întreprinderi ale căror informaţii comerciale sensibile sunt integrate în procesele bazate pe RFID.
Pe parcursul proiectării sistemului, trebuie luate în considerare atât cerinţele părţilor implicate activ în instalarea sistemului informatic RFID (de exemplu, întreprinderi, administraţie publică, spitale), cât şi cerinţele utilizatorilor finali cărora li se aplică sistemul (cetăţeni, consumatori, pacienţi, angajaţi). Deoarece, în mod obişnuit, utilizatorii finali nu sunt implicaţi în etapa de proiectare, Comisia va sprijini elaborarea unui set de orientări specifice pentru aplicaţii (cod de conduită, bune practici) de către un grup restrâns de experţi reprezentând toate părţile implicate. Până la sfârşitul anului 2009, Comisia va publica o recomandare prin care va stabili principiile pe care autorităţile publice şi alte părţi interesate ar trebui să le aplice în materie de utilizare a RFID.
De asemenea, Comisia va lua în considerare includerea unor dispoziţii adecvate în viitoarea propunere de modificare a directivei privind protecţia vieţii private în mediul electronic şi, în paralel, va ţine seama de informaţiile furnizate de viitorul grup al factorilor interesaţi de RFID, de grupul de lucru „Protecţia datelor în conformitate cu articolul 29” şi de alte iniţiative relevante, precum grupul european „Etica în ştiinţă şi în noile tehnologii”. Pe aceste baze, Comisia va evalua necesitatea unor alte iniţiative legislative pentru protecţia datelor şi a vieţii private.
Comisia va monitoriza îndeaproape evoluţia către „Internetul Obiectelor”, în cadrul căreia este de aşteptat ca RFID să fie un element important. La sfârşitul anului 2008, Comisia va publica o comunicare în care va analiza natura şi efectele acestor evoluţii, acordând o atenţie deosebită subiectelor legate de protecţia datelor, încredere şi guvernanţă. Comunicarea va evalua opţiunile politice, inclusiv posibilitatea unor noi iniţiative legislative, atât pentru protecţia datelor şi a vieţii private, cât şi pentru a aborda alte obiective ale politicilor publice.
Observaţiile privind temele legate de securitate, protecţia vieţii private şi etică se găsesc în secţiunea 4 a prezentului aviz.
Alte teme ale politicii în materie de RFID
În afară de întregul domeniu al securităţii, protecţiei vieţii private şi eticii, alte teme ale politicii în materie de RFID privesc spectrul radio, standardele, sănătatea şi mediul.
Este important ca armonizarea condiţiilor de utilizare a spectrului să permită o bună mobilitate şi costuri reduse. Comisia a adoptat recent o decizie (2006/808/CE) pentru frecvenţele RFID în banda UHF. Se consideră că alocarea este adecvată pentru o perioadă de trei până la zece ani, dar, dacă vor apărea necesităţi suplimentare în materie de spectru, Comisia va acţiona în consecinţă, folosindu-şi competenţele în temeiul deciziei privind spectrul radio (676/2002/CE). CESE susţine această poziţie.
Adoptarea raţionalizată a noilor standarde internaţionale ISO şi armonizarea standardelor regionale sunt esenţiale pentru lansarea fără incidente a serviciilor. Organismele de standardizare europene corespunzătoare – CEN şi ETSI – sunt pe deplin implicate. Comisia invită aceste trei organisme ca, împreună cu întreprinderile din domeniu, să se asigure că standardele în curs de elaborare îndeplinesc cerinţele europene, în special pe cele privind protecţia vieţii private, securitatea, DPI şi autorizaţiile. Dat fiind că standardele din domeniu şi brevetele avansează adesea în paralel, CESE îndeamnă Comisia să facă tot posibilul pentru a determina întreprinderile din domeniu şi organismele de standardizare să acţioneze rapid pentru a împiedica dependenţa excesivă a aplicaţiilor europene ale RFID de drepturi costisitoare de proprietate intelectuală din afara Comunităţii.
În ceea ce priveşte mediul, dispozitivele RFID sunt integral reglementate de Directiva privind deşeurile de echipamente electrice şi electronice (DEEE) şi Directiva privind limitarea utilizării anumitor substanţe periculoase în echipamentele electrice şi electronice (LSDEEE). În materie de sănătate, problema potenţială o reprezintă câmpurile electromagnetice asociate cu dispozitivele RFID. Câmpurile electromagnetice asociate cu RFID sunt, în general, de putere redusă, astfel încât este de aşteptat ca expunerea lucrătorilor şi a publicului să fie mult sub limitele stabilite în prezent. Cu toate acestea, în contextul creşterii generale a aplicaţiilor fără fir, Comisia va analiza permanent cadrul legal. CESE susţine această poziţie.
Observaţii
Deoarece Comisia îşi va publica recomandările către statele membre la sfârşitul acestui an, este de presupus că va accepta infrastructura de securitate a datelor şi de protecţie a vieţii private în forma sa actuală. Concret, aceasta presupune că organismele de protecţie a datelor care există deja în fiecare stat membru vor deveni autorităţile însărcinate cu protecţia datelor şi a vieţii private în contextul RFID.
În comunicare, Comisia a afirmat că, inter alia, va institui şi va consulta un nou grup al părţilor interesate. CESE ar dori să expună prezentul aviz acestui grup.
Există puternice ameninţări la adresa vieţii private şi a libertăţilor cetăţeneşti:
a) etichetele RFID pot fi aplicate în/pe obiecte şi documente fără ştiinţa persoanei care ajunge în posesia lor. Deoarece undele radio traversează silenţios şi cu uşurinţă ţesăturile, materialele plastice şi alte materiale, este posibilă citirea etichetelor RFID cusute pe îmbrăcăminte sau fixate pe obiecte din portofele, sacoşe, valize şi altele;
b) codul electronic al produsului dă posibilitatea oricărui obiecte de pe Pământ să aibă un număr de identitate propriu. Folosirea unor numere de identitate unice poate conduce la crearea unui sistem global de înregistrare a articolelor, în care fiecare obiect fizic este identificat şi asociat cu cumpărătorul sau cu proprietarul său la punctul de desfacere sau transfer;
c) instalarea RFID necesită crearea unor uriaşe baze de date, care să conţină datele de pe etichetele unice. Aceste înregistrări pot fi asociate cu date de identificare personale, în special ţinând seama de extinderea memoriilor şi a capacităţii de prelucrare a calculatoarelor;
d) etichetele pot fi citite de la distanţă, nelimitându-se la raza vizuală, de către dispozitive de citire care pot fi încorporate invizibil în aproape orice mediu în care se adună mai multe persoane. Dispozitivele pot fi încorporate în dale de podea, ţesute în covoare, mascate în cadrul uşilor sau ascunse în sertare, ceea ce face practic imposibil ca o persoană să ştie când este scanată;
e) dacă identitatea personală este asociată cu numerele unor etichete RFID unice, persoana poate fi localizată sau i se poate elabora profilul fără ca aceasta să ştie sau să-şi dea consimţământul;
f) se poate imagina o lume în care dispozitivele de citire RFID formează o reţea globală omniprezentă. O astfel de reţea nu ar avea nevoie de dispozitive peste tot. Sistemul din zona de circulaţie cu taxă din Londra poate localiza toate autovehiculele care intră în perimetrul central cu relativ puţine camere, strategic amplasate. În acelaşi mod, se poate construi o reţea de dispozitive de citire a etichetelor RFID strategic amplasate. Acest lucru nu trebuie permis.
În cel de-al şaptelea Program-cadru, Comisia a oferit deja indicaţii privind aplicarea etică a tehnologiei, deoarece aceasta afectează securitatea datelor şi protecţia vieţii private („Ghidul candidatului” pentru proiectele de colaborare, p. 54) . RFID este un exemplu de prim ordin al relaţiei în evoluţie dintre tehnologie şi drepturile legale sau aşteptările publicului în materie de protecţie a vieţii private în colectarea şi partajarea datelor. Apar probleme de protecţie a vieţii private oriunde se colectează şi se stochează, în formă digitală sau altfel, date care permit identificare unică a unei sau mai multor persoane. Absenţa controlului sau controlul necorespunzător al divulgării datelor poate fi principala cauză a problemelor în materie de protecţie a vieţii private. Cele mai des întâlnite surse de date care sunt afectate de probleme de protecţie a vieţii private sunt sănătatea, justiţia penală, finanţele, genetica şi localizarea. Localizarea este problema-cheie a RFID.
În indicaţiile sale privind modul de abordare a protecţiei datelor şi vieţii private, Comisia a stabilit opt principii aplicabile de bună practică. Astfel, datele trebuie să fie:
- prelucrate în mod onest şi legal;
- prelucrate în scopuri limitate;
- adecvate, pertinente şi nu în exces;
- corecte;
- prelucrate în conformitate cu drepturile persoanei respective;
- sigure;
- netransferate în ţări care nu asigură o protecţie adecvată în domeniu.
Aceste orientări sunt pe deplin adecvate problemelor de protecţie a vieţii private şi de securitate a datelor pe care le implică aplicaţiile RFID.
În opinia CESE, principiile fundamentale de bună practică sunt următoarele:
- utilizatorii RFID trebuie să-şi facă publice politicile şi practicile şi nu ar trebui să existe baze de date secrete privind informaţia personală;
- persoanele au dreptul să ştie dacă articolele comercializate cu amănuntul conţin etichete sau dispozitive de citire RFID. Orice citire care se produce într-un loc de desfacere cu amănuntul trebuie să fie transparentă pentru toate părţile;
- utilizatorii RFID trebuie să anunţe scopurile pentru care utilizează etichete şi dispozitive de citire. Colectarea informaţiilor ar trebui limitată la ceea ce este necesar pentru scopurile declarate;
- utilizatorii RFID sunt răspunzători de aplicarea tehnologiei şi de operarea strict în cadrul legislaţiei şi al orientărilor privind securitatea datelor. De asemenea, aceştia sunt responsabili pentru securitatea şi integritatea sistemului şi a bazelor sale de date.
Modul în care aceste principii ar trebui puse în practică. În cazul ideal, orice societate care participă la tranzacţii între societăţi şi consumatori, precum comercianţii cu amănuntul, vânzarea de bilete, controalele de acces sau serviciile de transport, ar urma să dea clienţilor o formă de garanţie că aceste principii vor fi respectate, un fel de cartă a protecţiei consumatorilor. În plus, CESE propune următoarele orientări:
a) comercianţilor ar trebui să li se interzică să forţeze sau să oblige clienţii să accepte etichete active sau pasive în produsele pe care le cumpără. Printre opţiuni, s-ar putea număra lipirea etichetelor pe ambalaj sau utilizarea unor etichete amovibile, asemănătoare etichetelor de preţ;
b) clienţii trebuie să aibă libertatea de a îndepărta sau de a dezactiva orice etichete de pe articolele aflate în posesia lor;
c) RFID nu trebuie folosită pentru localizarea persoanelor. Localizarea persoanelor este o acţiune inadecvată, indiferent că se face prin îmbrăcăminte, bunuri sau alte articole;
d) RFID nu ar trebui utilizată niciodată într-un mod care să elimine sau să reducă anonimatul;
e) autoritatea responsabilă ar trebui să indice clar că (c) şi (d) vor fi admisibile numai în situaţii excepţionale şi cu obţinerea în prealabil a aprobării oficiale a autorităţii.
Pot fi avute în vedere anumite excepţii de la orientările anterioare, atunci când:
- persoanele îşi exercită dreptul de a păstra etichetele active în beneficiu personal;
- persoanele îşi dau consimţământul să fie localizate în medii sensibile, cum sunt clădirile şi instituţiile publice şi private de înaltă securitate;
- persoanele optează pentru folosirea aplicaţiilor care îi vor localiza şi îi vor identifica în acelaşi mod în care sunt deja localizate şi identificate prin folosirea telefoanelor mobile, a cardurilor ATM, a adreselor de internet etc.
Orice astfel de excepţie ar trebui notificată autorităţii responsabile.
O categorie de aplicaţii care ar putea primi exonerare generală este localizarea persoanelor şi a bunurilor în zone de tranzit. În sectorul transportului aerian, bagajele ar putea fi etichetate la îmbarcare pentru a îmbunătăţi securitatea şi siguranţa manipulării, iar pasagerii ar putea fi etichetaţi pentru a îmbunătăţi şi a accelera îmbarcarea la timp şi derularea activităţilor de securitate. O altă aplicaţie ar putea fi localizarea pacienţilor după internarea în spital, în vederea intervenţiilor chirurgicale. Esenţială pentru acceptabilitatea acestei categorii de aplicaţii este certitudinea eliminării etichetei la sfârşitul episodului de tranzit.
RFID nu este o tehnologie matură, astfel încât potenţialul său deplin nu este încă înţeles. Pe de-o parte, poate aduce beneficii greu de imaginat civilizaţiei noastre tehnologice, iar pe de altă parte poate reprezenta cea mai mare ameninţare cunoscută la adresa libertăţii şi a vieţii private. CESE are convingerea că aplicaţiile RFID ar trebui dezvoltate în conformitate cu un cod etic strict în materie de protecţie a vieţii private, de libertate şi securitate a datelor, dar că, odată luate măsurile de protecţie necesare, dezvoltarea aplicaţiilor sale trebuie continuată.
În concluzie, în cazul în care se autorizează aplicaţii RFID, instalarea acestora trebuie să fie pe deplin transparentă pentru toţi cei implicaţi. Aplicaţiile care îmbunătăţesc manipularea bunurilor sunt general acceptate. Aplicaţiile care implică etichetarea persoanelor sunt în general inacceptabile, cu excepţia mediilor cu trafic intens. Aplicaţiile care asociază persoane cu mărfuri pot fi acceptabile în scopuri de marketing. Aplicaţiile care identifică persoane prin intermediul mărfurilor pe care le-au cumpărat sunt, în general, inacceptabile. Cu toate acestea, unele aplicaţii sunt inadecvate într-o societate liberă şi nu ar trebui autorizate niciodată. Necesitatea imperativă de a proteja viaţa privată şi anonimatul trebuie să constituie miezul recomandării adresate de Comisie statelor membre.
Bruxelles, 11 iulie 2007Preşedintele Comitetului Economic şi Social European Dimitris DIMITRIADIS
Secretarul general al Comitetului Economic şi Social European Patrick VENTURINI