A través de la newsletter del Grupo del Artículo 29, he seguido las andanzas que giran alrededor de las «temidas» tarjetas RFID. Estas herramientas, que pueden suponer un gran avance para la economía de las empresas, pueden implicar serios problemas para la privacidad de los consumidores.

Para la explicación de su funcionamiento, me remito al artículo de la Wikipedia que las describe, así que paso directamente al análisis realizado por el Grupo del Artículo 29.

Resulta que el mencionado grupo de especialistas emitió, en julio de 2010, un informe sobre la propuesta presentada por la industria del sector de las RFID y su impacto sobre la privacidad.

Este informe era bastante negativo y subrayaba 3 aspectos importantes, que no permitían al Grupo dar su conformidad a este estudio. Concretamente, se trataba de los siguientes aspectos:

1. Risk assessment

En el estudio presentado por la industria del sector, se detecta una preocupante ausencia de un análisis, previo a la implantación práctica de las tarjetas RFID, sobre los posibles riesgos para la privacidad. El texto del estudio no deja lugar a duda sobre la decepción del Grupo del Artículo 29 sobre este aspecto ya que afirma: «The Working Party deeply regrets that this point has not been addressed by authors of the proposed Framework«. Más claro, agua.

2. Tags carried by persons

El estudio presentado por la industria fracasa en la invitación a los operadores de las tarjetas RFID de tener en cuenta los aspectos de privacidad en el uso de estas etiquetas, sobre todo cuando éstas van incorporadas a bienes que son llevadas encima por los usuarios. Hay que recordar que estas etiquetas pueden ser incluidas en, por ejemplo, prendas de vestir, incorporando, por ejemplo, datos de talla, números únicos de identificación, geolocalización, etc. En fin, una serie de datos personales que deben ser debidamente protegidos de monitorizaciones realizadas por personas/empresas no autorizadas.

3. Las tarjetas RFID en el sector minorista

Al hilo de la mencionada posibilidad de uso de las tarjetas RFID, el Grupo del Artículo 29 llama la atención sobre la posibilidad de desactivar las etiquetas adosadas a productos de consumo. En este ámbito, la regla general es que el comercio minorista debe desactivar las tarjetas cuando el bien sea vendido. Hay una excepción a esta regla general que es la posibilidad de no desactivar las etiquetas, cuando éstas no acarrean problemas de privacidad (no contienen datos personales).

El Grupo de especialistas recrimina a la industria no haber incluido reglas claras sobre los casos en los que se pueda aplicar la mencionada excepción de no-desactivación de las tarjetas, dejando esta opción a un (no siempre informado) comercio minorista. Resumen: o se incluyen reglas claras, o el Grupo del Artículo 29 no da su visto bueno para el uso de estas tarjetas.

Así las cosas, la industria del sector se pone a trabajar, con la ayuda de la European Network and Information Security Agency (ENISA), elaborando otra propuesta que vuelve a ser sometida al estudio del Grupo de especialistas.

El pasado 11 de febrero, ha salido a la luz el informe definitivo sobre el uso de las tarjetas RFID (se puede consultar aquí) que hace suyo el estudio presentado por la industria. Los tres aspectos críticos han sido debidamente corregidos y ahora sólo toca esperar a la prueba de la realidad.