16.5.2009   

PT

Jornal Oficial da União Europeia

L 122/47

(1)

A identificação por radiofrequências (RFID) marca uma nova etapa na sociedade da informação, em que a presença de objectos equipados com dispositivos microelectrónicos capazes de tratar dados automaticamente se fará sentir cada vez mais na vida quotidiana.

(2)

A RFID está a tornar-se mais comum, penetrando assim na vida dos cidadãos em diversos domínios, como a logística (1), os cuidados de saúde, os transportes públicos, o comércio retalhista, nomeadamente para melhorar a segurança dos produtos e tornar mais rápida a retirada de produtos do mercado, o lazer, o trabalho, a gestão das portagens rodoviárias, a gestão das bagagens e os documentos de viagem.

(3)

A tecnologia RFID pode vir a tornar-se um novo motor do crescimento e do emprego, contribuindo assim fortemente para a estratégia de Lisboa, já que é muito promissora em termos económicos, pois pode oferecer novas oportunidades de negócios, redução de custos e maior eficiência, em especial no combate à contrafacção e na gestão dos resíduos de equipamentos electrónicos, dos materiais perigosos e da reciclagem de produtos em fim de vida.

(4)

A tecnologia RFID permite o tratamento de dados, incluindo dados pessoais, a curta distância, sem contacto físico nem interacção visível entre o leitor ou gravador e a etiqueta, de modo que esta interacção pode ocorrer sem que a pessoa em causa se dê conta de tal.

(5)

As aplicações RFID têm capacidade para tratar dados respeitantes a uma pessoa singular identificada ou identificável, sendo essa pessoa identificada directa ou indirectamente. Podem tratar dados pessoais armazenados na etiqueta, nomeadamente o nome da pessoa, a sua data de nascimento, o endereço, dados biométricos ou dados que associam o número específico de um objecto com etiqueta RFID a dados pessoais armazenados noutra parte no sistema. Além disso, existe a possibilidade de esta tecnologia ser utilizada para monitorizar uma pessoa através de um ou vários objectos que leve consigo e que tenham uma etiqueta RFID.

(6)

É necessário prestar especial atenção às questões ligadas à privacidade e à protecção dos dados no contexto da implantação dos dispositivos RFID, já que estes podem estar em qualquer lugar e ser praticamente invisíveis. Consequentemente, devem ser incorporadas nas aplicações RFID, antes da sua utilização generalizada, características que garantam a privacidade e a segurança da informação (princípio da «segurança e privacidade asseguradas de raiz»).

(7)

A tecnologia RFID só poderá produzir os seus numerosos benefícios económicos e sociais se forem adoptadas medidas eficazes que salvaguardem a protecção dos dados pessoais, a privacidade e os princípios éticos nesta matéria, elementos fundamentais no debate sobre a aceitação pública da RFID.

(8)

Os Estados-Membros e as partes interessadas devem, em especial nesta fase inicial de implantação da tecnologia RFID, intensificar os esforços para garantir que as aplicações RFID sejam monitorizadas e que os direitos e liberdades individuais sejam respeitados.

(9)

A comunicação da Comissão de 15 de Março de 2007 intitulada «Identificação por Radiofrequências (RFID) na Europa: rumo a um quadro político» (2) anunciava que seriam fornecidos esclarecimentos e orientações respeitantes à protecção dos dados e à privacidade no domínio das aplicações RFID através de uma ou mais recomendações da Comissão.

(10)

Os direitos e obrigações referentes à protecção dos dados pessoais e à sua livre circulação, previstos na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (3), e na Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) (4), são inteiramente aplicáveis à utilização de aplicações RFID que tratam dados pessoais.

(11)

Os princípios estabelecidos na Directiva 1999/5/CE do Parlamento Europeu e do Conselho, de 9 de Março de 1999, relativa aos equipamentos de rádio e equipamentos terminais de telecomunicações e ao reconhecimento mútuo da sua conformidade (5), devem ser aplicados na criação de aplicações RFID.

(12)

O parecer da Autoridade Europeia para a Protecção de Dados (6) fornece orientações sobre a utilização de produtos com etiquetas que são fornecidos a pessoas e recomenda a realização de avaliações do impacto na privacidade e na segurança, para que sejam identificadas e desenvolvidas as «melhores técnicas disponíveis» de salvaguarda da privacidade e da segurança no contexto dos sistemas RFID.

(13)

Os operadores de aplicações RFID devem tomar todas as medidas razoáveis para assegurar que os dados não se refiram a uma pessoa singular identificada ou identificável por quaisquer meios que possam ser utilizados pelo operador de aplicações RFID ou por qualquer outra pessoa, a menos que tais dados sejam tratados em conformidade com os princípios e normas jurídicas aplicáveis no domínio da protecção dos dados.

(14)

A comunicação da Comissão de 2 de Maio de 2007 intitulada «Promoção da protecção de dados através de tecnologias de protecção da privacidade (TPP)» (7) define acções claras para a realização do objectivo de reduzir ao mínimo o tratamento de dados pessoais e promover a utilização, na medida do possível, de dados anónimos ou de pseudónimos mediante o apoio ao desenvolvimento de TPP e à sua utilização pelos responsáveis pelo tratamento dos dados e pelos cidadãos.

(15)

Na sua Comunicação de 31 de Maio de 2006 intitulada «Estratégia para uma sociedade da informação segura – Diálogo, parcerias e maior poder de intervenção» (8), a Comissão reconhece que a diversidade, a abertura, a interoperabilidade, a facilidade de utilização e a concorrência são factores essenciais para uma sociedade da informação segura, destaca o papel dos Estados-Membros e das administrações públicas na sensibilização e na promoção de boas práticas de segurança e convida as partes interessadas do sector privado a lançarem iniciativas com vista ao estabelecimento de sistemas económicos de certificação da segurança de produtos, processos e serviços que respondam às necessidades específicas da UE, em especial no que respeita à privacidade.

(16)

A Resolução do Conselho de 22 de Março de 2007 sobre a estratégia para uma sociedade da informação segura na Europa (9) convida os Estados-Membros a prestarem a devida atenção à necessidade de prevenir e combater as ameaças novas ou já existentes que põem em causa a segurança das redes de comunicações electrónicas.

(17)

A criação de um quadro a nível comunitário para a realização de avaliações do impacto na protecção da privacidade e dos dados assegurará que as disposições da presente recomendação sejam seguidas de modo coerente em todos os Estados-Membros. O desenvolvimento desse quadro deve basear-se nas práticas actuais e na experiência adquirida nos Estados-Membros, em países terceiros e nos trabalhos conduzidos pela Agência Europeia para a Segurança das Redes e da Informação (ENISA) (10).

(18)

A Comissão assegurará a elaboração de orientações a nível comunitário sobre a gestão da segurança da informação no contexto das aplicações RFID, tomando como base as práticas actuais e a experiência adquirida nos Estados-Membros e em países terceiros. Os Estados-Membros devem contribuir para esse processo e incentivar a participação de entidades privadas e autoridades públicas.

(19)

A realização, pelo operador, de uma avaliação do impacto na protecção da privacidade e dos dados, antes da utilização de uma aplicação RFID, fornecerá as informações necessárias para a adopção de medidas de protecção adequadas. Tais medidas deverão ser monitorizadas e revistas ao longo do ciclo de vida da aplicação RFID.

(20)

No sector do comércio a retalho, a realização de uma avaliação do impacto na protecção da privacidade e dos dados de produtos com etiquetas vendidos a consumidores deve fornecer as informações necessárias para determinar a probabilidade de ameaças à privacidade ou à protecção dos dados pessoais.

(21)

A utilização de normas internacionais, como as elaboradas pela Organização Internacional de Normalização (ISO), de códigos de conduta e das melhores práticas, conformes com o quadro regulamentar comunitário, pode ajudar a gerir as medidas que se adoptem no domínio da segurança da informação e da protecção da privacidade durante todo o processo de desenvolvimento de actividades assentes na RFID.

(22)

As aplicações RFID com implicações para os cidadãos em geral, como a bilhética electrónica nos transportes públicos, exigem medidas de protecção adequadas. As aplicações RFID que afectam pessoas devido ao tratamento, por exemplo, de dados biométricos de identificação ou de dados de saúde, são especialmente críticas no que se refere à segurança da informação e à protecção da privacidade, pelo que exigem uma atenção específica.

(23)

A sociedade, no seu todo, deve estar ciente das obrigações e dos direitos aplicáveis no contexto da utilização de aplicações RFID. As entidades que implantam esta tecnologia têm, por conseguinte, a obrigação de fornecer aos cidadãos informações sobre a utilização dessas aplicações.

(24)

A sensibilização dos cidadãos e das PME para as características e as capacidades da RFID contribuirá para que esta tecnologia possa cumprir a sua promessa económica, reduzindo simultaneamente os riscos de uma utilização contrária ao interesse público, o que faz aumentar a sua aceitabilidade.

(25)

A Comissão contribuirá directa e indirectamente para a aplicação da presente recomendação, facilitando o diálogo e a cooperação entre as partes interessadas, nomeadamente através do programa-quadro para a competitividade e a inovação (PCI), instituído pela Decisão n.o 1639/2006/CE do Parlamento Europeu e do Conselho (11), e do sétimo programa-quadro de investigação (7.o PQ), instituído pela Decisão n.o 1982/2006/CE do Parlamento Europeu e do Conselho (12).

(26)

A investigação e o desenvolvimento de tecnologias de protecção da privacidade e de tecnologias de segurança da informação económicas são essenciais a nível comunitário para promover uma maior implantação destas tecnologias em condições aceitáveis.

(27)

A presente recomendação respeita os direitos fundamentais e observa os princípios reconhecidos, nomeadamente, na Carta dos Direitos Fundamentais da União Europeia. Em especial, a presente recomendação procura assegurar o pleno respeito da vida privada e familiar e a protecção dos dados pessoais,

1.

A presente recomendação fornece orientações aos Estados-Membros para a concepção e o funcionamento das aplicações RFID no pleno respeito da lei e do direito à privacidade, em condições ética, social e politicamente aceitáveis e assegurando a protecção dos dados pessoais.

2.

A presente recomendação fornece orientações sobre as medidas a adoptar para a implantação das aplicações RFID, a fim de assegurar, quando adequado, o respeito da legislação nacional que transpõe as Directivas 95/46/CE, 1999/5/CE e 2002/58/CE quando da implantação dessas aplicações.

3.

Para efeitos da presente recomendação, são aplicáveis as definições constantes da Directiva 95/46/CE. São também aplicáveis as seguintes definições:

4.

Os Estados-Membros devem assegurar que as empresas do sector, em colaboração com as partes interessadas da sociedade civil, estabeleçam um quadro para as avaliações do impacto na protecção da privacidade e dos dados. Este quadro deve ser apresentado para aprovação ao grupo de trabalho para a protecção de dados, criado nos termos do artigo 29.o, no prazo de 12 meses a contar da publicação da presente recomendação no Jornal Oficial da União Europeia.

5.

Os Estados-Membros devem assegurar que os operadores, não obstante as suas outras obrigações nos termos da Directiva 95/46/CE:

6.

Os Estados-Membros devem apoiar a Comissão na identificação das aplicações que possam constituir ameaças para a segurança da informação com implicações para os cidadãos em geral. Para essas aplicações, os Estados-Membros devem assegurar que os operadores, juntamente com as autoridades nacionais competentes e as organizações da sociedade civil, criem novos mecanismos, ou apliquem os mecanismos existentes, como a certificação ou a auto-avaliação dos operadores, para demonstrarem que é garantido um nível adequado de segurança da informação e de protecção da privacidade, face aos riscos identificados nas avaliações.

7.

Sem prejuízo das obrigações dos responsáveis pelo tratamento dos dados, conforme previsto nas Directivas 95/46/CE e 2002/58/CE, os Estados-Membros devem assegurar que os operadores elaborem e publiquem uma política de informação concisa, precisa e fácil de entender para cada uma das suas aplicações. A política deve incluir, no mínimo:

8.

Os Estados-Membros devem assegurar que os operadores tomem medidas para informar as pessoas da presença de leitores através de um sinal comum europeu, elaborado pelas organizações de normalização europeias, com o apoio das partes interessadas. O sinal deve incluir a identidade do operador e um ponto de contacto para a obtenção de informações sobre a política de informação relativa à aplicação em causa.

9.

Utilizando um sinal comum europeu, elaborado pelas organizações de normalização europeias com o apoio das partes interessadas, os operadores devem informar as pessoas da presença de etiquetas colocadas ou incorporadas nos produtos.

10.

Ao efectuar a avaliação do impacto na protecção da privacidade e dos dados a que se referem os pontos 4 e 5, o operador de uma aplicação deve determinar especificamente se as etiquetas colocadas ou incorporadas nos produtos vendidos aos consumidores através de retalhistas que não são operadores dessa aplicação poderão constituir uma ameaça à privacidade ou à protecção dos dados pessoais.

11.

Os retalhistas devem desactivar ou retirar, no ponto de venda, as etiquetas utilizadas na sua aplicação, a menos que os consumidores, após terem sido informados da política a que se refere o ponto 7, consintam em manter as etiquetas operacionais. A desactivação das etiquetas deve ser entendida como um processo que põe fim às interacções de uma etiqueta com o seu meio envolvente que não exigem a participação activa do consumidor. A desactivação ou retirada das etiquetas pelo retalhista deve ser feita imediatamente e sem custos para o consumidor. Os consumidores devem poder verificar se a desactivação ou retirada produz os efeitos previstos.

12.

O ponto 11 não é aplicável caso a avaliação do impacto na protecção da privacidade e dos dados conclua ser improvável que as etiquetas utilizadas numa aplicação retalhista, ainda que permaneçam operacionais depois de saírem do ponto de venda, constituam uma ameaça à privacidade ou à protecção dos dados pessoais. No entanto, os retalhistas devem disponibilizar gratuitamente um meio fácil para, imediata ou ulteriormente, desactivar ou retirar essas etiquetas.

13.

A desactivação ou retirada das etiquetas não deve implicar a redução ou cessação das obrigações jurídicas do retalhista ou do fabricante para com o consumidor.

14.

Os pontos 11 e 12 devem aplicar-se apenas a retalhistas que são operadores.

15.

Os Estados-Membros, em colaboração com as empresas do sector, a Comissão e outras partes interessadas, devem adoptar medidas adequadas para informar as entidades públicas e as empresas, em especial as PME, e sensibilizá-las para os potenciais benefícios e riscos associados à utilização da tecnologia RFID. Deve ser dada especial atenção à segurança da informação e à privacidade.

16.

Os Estados-Membros, em colaboração com as empresas do sector, as associações da sociedade civil, a Comissão e outras partes interessadas, devem identificar e dar exemplos de boas práticas na implantação de aplicações RFID, para informação e sensibilização dos cidadãos em geral. Devem igualmente adoptar medidas adequadas, como projectos-piloto em grande escala, de sensibilização pública para a tecnologia RFID e os benefícios, os riscos e as implicações da sua utilização, como pré-requisito para uma adopção generalizada desta tecnologia.

17.

Os Estados-Membros devem cooperar com as empresas do sector, as partes interessadas da sociedade civil e a Comissão para estimular e apoiar a introdução do princípio da «segurança e privacidade asseguradas de raiz» desde a fase inicial do desenvolvimento de aplicações RFID.

18.

Os Estados-Membros devem adoptar todas as medidas necessárias para dar a conhecer a presente recomendação a todas as partes interessadas que estão envolvidas na concepção e no funcionamento de aplicações RFID na Comunidade.

19.

Os Estados-Membros devem informar a Comissão, o mais tardar 24 meses após a publicação da presente recomendação no Jornal Oficial da União Europeia, das medidas tomadas para lhe dar seguimento.

20.

No prazo de três anos após a publicação da presente recomendação no Jornal Oficial da União Europeia, a Comissão apresentará um relatório sobre a sua aplicação, a sua eficácia e o seu impacto nos operadores e nos consumidores, em especial no que respeita às medidas recomendadas nos pontos 9 a 14.

21.

Os Estados-Membros são os destinatários da presente recomendação.