Consulte aqui o documento original
A identificação por radiofrequência (IDRF) é um sistema automático de identificação que possibilita a transmissão de dados recorrendo a marcas/identificadores (tags) portáteis para leitores com a capacidade de processar tais dados.
As marcas são microchips, de dimensões muito reduzidas, por vezes microscópicas, que se encontram conectados a uma antena e que possuem a capacidade de transmitir informação de identificação – tipicamente, um código único universal. Os sinais enviados/recebidos pelas marcas de radiofrequência (RF) são, assim, univocamente identificáveis.
Os dados transmitidos pelas marcas de radiofrequência (RF) podem incluir informação sobre a identificação ou a localização, bem como outra relativa às características (propriedades) do produto etiquetado. A transmissão da informação pode ser iniciada/interrompida remotamente sem que o portador da marca disso se aperceba.
Os desenvolvimentos verificados na tecnologia emergente de identificação por radiofrequência (IDRF), permitindo a crescente generalização e um alargamento dos respectivos domínios de aplicação, são susceptíveis de abranger a identificação de documentos, notas bancárias, animais e até mesmo pessoas Não se duvidando das vantagens da utilização desta tecnologia, bastante útil para finalidades bem definidas, é possível associar esse código identificador único a informação pessoal, potenciando os eventuais perigos da sua utilização de forma ilegítima.
É fácil conceber e desenvolver sistemas que, partindo dos dados recolhidos por RF, possibilitem a sua interconexão com bases de dados pessoais, para mera identificação, ou, por exemplo, para especificação das compras efectuadas por cartão de crédito, para elaborar perfis de utentes de estabelecimentos comerciais ou para localização de pessoas por recurso a objectos com marcas RF em sua posse.
A possibilidade de leitura e activação remotas das marcas RF, sem conhecimento prévio das pessoas que as possuem, inviabilizando, assim, quaisquer oportunidades de o titular dos dados influenciar e/ou controlar o processo coloca, na perspectiva da protecção de dados, preocupações adicionais.
Hoje, assiste-se a uma massificação da tecnologia de IDRF sem que os cidadãos estejam alertados para os riscos que tal acarreta para a sua privacidade. É, também, necessário que os fabricantes dos produtos RF estejam sensibilizados para a necessidade de encontrar soluções tecnológicas que compatibilizem os interesses económicos com os direitos dos cidadãos. De igual modo, os responsáveis pelos tratamentos deverão ter consciência das suas obrigações legais nesta matéria.
Tendo presente a generalização da IDRF a novos domínios bastante diferenciados e consciente dos perigos que para a protecção de dados a utilização abusiva de tal tecnologia pode implicar; tendo ainda presente o papel que cabe a esta Comissão na harmonização do desenvolvimento tecnológico com os direitos individuais dos cidadãos, em particular a privacidade; a CNPD considera que sempre que o recurso à tecnologia de IDRF implica a interconexão com informação de carácter pessoal se está em presença de um tratamento de dados pessoais (nos termos da alínea b) do artigo 3.º da Lei 67/98 de 26 de Outubro) e delibera:
1. O responsável por tal tratamento deve cumprir a Lei de Protecção de Dados, designadamente a notificação do tratamento (artigo 27.º).
2. Os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas. Os dados produzidos via RF e as informações de índole pessoal só podem ser interconectados para as finalidades determinantes da recolha.
3. Os dados recolhidos devem ser adequados, pertinentes e não excessivos.
4. Os dados pessoais devem ser recolhidos de forma transparente, garantindo que o seu titular é informado da utilização de equipamentos de identificação por RF.
5. O responsável pelo tratamento de dados envolvendo a tecnologia de identificação por RF deve colocar avisos nos produtos e nos locais onde tal tecnologia é utilizada, garantindo que o titular dos dados é sempre informado da utilização IDRF e assegurando-lhe, nos termos gerais, o direito de oposição.
6. Sempre que a leitura e a activação remotas das marcas de RF seja contemplada, os titulares devem ser informados sobre quando é que tal leitura/activação irá ocorrer.
7. Os dados pessoais devem ser eliminados quando a sua manutenção deixar de ser pertinente para o objectivo definido.
8. As interconexões entretanto efectuadas devem, de igual modo, ser eliminadas ou desactivadas, de acordo com o tratamento concreto.
Lisboa, 13 de Janeiro de 2004
Luís Durão Barroso (Relator), Amadeu Guerra, Eduardo Campos, Alexandre Pinheiro, Luís Lingnau da Silveira (Presidente)