RGPD e as tags RFID

A tecnologia de RFID (Radio Frequency IDentification – identificação por radiofreqüência) nada mais é do que um termo genérico para as tecnologias que utilizam a freqüência de rádio para captura de dados. Uma vez que podem efetuar a recolha de dados dos usuários e clientes desses produtos, as tags RFID também estão sujeitas a regras impostas pelo RGPD.

Para quem achou que o RGPD viria apenas a afetar websites e aplicações online, essa é uma péssima notícia. A verdade é que há normas técnicas já existentes que deverão nortear o uso dessas tags sob as novas regras de privacidade. Em outras palavras, mesmo quando usadas apenas para fins de stocks e armazenamento, as tags RFID deverão seguir regras de proteção e segurança de dados e também assegurar a proteção dos dados pessoais ou não daqueles que, por qualquer razão, estiverem a portar os itens que incluam as tags.

Tags RFID – normas técnicas
Emblema das tags RFID

ISO 29160 – normas técnicas para uso e aplicação e padronização do emblema das tags RFID.

O RGPD traz novas preocupações, mas o facto é que as tags RFID já vinham sendo regulamentadas por normas técnicas de uso e aplicação, tais como a ISO 29160, que entre outros normatiza o emblema RFID que todos os produtos e cargas que possuem tal rastreio devem trazer. Junto do emblema, em conformidade com as normas técnicas e também com o RGPD, deverá constar também:

  • O propósito do uso das tags RFID, com descrição clara do motivo pelo qual encontram-se ali e para que fim são utilizadas, ainda que apenas para stocks ou manuseio e controlo interno por empresas.
  • Dados e informações adicionais que deverão incluir contactos, por exemplo, dos responsáveis pelo processamento e controlo dos dados recolhidos a partir das tags RFID.

Enquanto que as normas técnicas em si constituíam mais uma padronização do que uma obrigação legal, o advento do RGPD criou uma necessidade premente de adequação às normas. Para as tags RFID, os procedimentos a adotar são detalhados em normas como EN 16570 e EN 16571, ambas de 2014.

A norma EN 16571, por exemplo, detalha uma série de procedimentos que culminam na elaboração de um documento conhecido como PIA para as tags, ou Privacy Impact Assessment, uma avaliação dos impactos do uso das tags RFID na privacidade.