Celia Fdez Aller RFID

Celia Fernández Aller. “La tecnología RFID y susimplicaciones jurídicas”

LA TECNOLOGÍA RFID Y SUS IMPLICACIONES JURÍDICAS

INDICE

1. Antecedentes: Avances de las Tecnologías de la Información y las Comunicaciones (TIC) y los derechos de las personas.............................................2

2. Contexto: La seguridad y la privacidad en la sociedad dela información...........................................3

3. Concepto de protección de datos.......................5

4. El caso del RFID (Identificación por radiofrecuencia). 74.1 Características técnicas............................74.2 Utilidades..........................................94.3 Principales riesgos del RFID para la privacidad....11

5. Normativa aplicable..................................195.1 Normativa Internacional............................195.2 Normativa nacional.................................20

6. Principios de la protección de datos aplicables......21

7. Sujetos de la protección de datos....................24

8. ¿Es suficiente la regulación existente para solucionar los problemas que surgen de la utilización del RFID?. . .25

9. Conclusiones.........................................29

La tecnología RFID y sus implicaciones jurídicas Autores: Celia Fernández-Aller

http://dialnet.unirioja.es/servlet/autor?codigo=569516

RFID

Localización: Datospersonales.org: La revista de la Agencia de Protección de Datos de la Comunidad de Madrid, ISSN-e 1988-1797, Nº. 38, 2009

Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

2

http://dialnet.unirioja.es/servlet/ejemplar?codigo=219329

http://dialnet.unirioja.es/servlet/revista?codigo=2880



RFID

1. Antecedentes: Avances de las Tecnologías de laInformación y las Comunicaciones (TIC) y los derechosde las personas

Las TIC (e internet de forma especial) implican unefecto multiplicador de los atentados contra losderechos , bienes e intereses jurídicos: intimidad, imagen, dignidad, honor de las personas, libertadsexual, propiedad intelectual e industrial, mercado yconsumidores, seguridad nacional, orden público. Eneste documento nos centraremos en los posiblesatentados contra la intimidad, y más en concreto,contra la protección de datos. Como se sabe, laprotección de datos protege al individuo en lo querespecta a cualquier información personal que leconcierna, sea de carácter íntimo o no. Supone unaesfera de protección más amplia que la de la intimidad.

En este momento, existen muchas y muy variadaspreocupaciones en torno a la protección de datos enEspaña. Tanto la Agencia de Protección de datos como elgrupo de trabajo del artículo 29 sobre protección dedatos en el ámbito europeo han señalado las siguientes:

Documento Nacional de Identidad Electrónico. Uso de RFID por administraciones y empresas, recursos

informáticos ubícuos e inteligencia ambiental. Video - Vigilancia. Transferencia internacional de datos. Cesión de datos de carácter personal de los viajeros a

los EEUU. Retención de Datos de Carácter Personal. Historia Clínica Digital. Receta Electrónica. Protección de Datos de Carácter Personal en el entorno

laboral (propuestas CLI):Fomentar la inclusión en la negociación colectiva

intersectorial y sectorial, de cláusulas específicassobre la protección de los datos de carácter personal enlas empresas y en las administraciones.


3

RFID

Promover la figura del Delegado de Protección deDatos.

Uso de las Tecnologías de la Información y de lasComunicaciones por parte de menores y adolescentes

Almacenamiento de datos por parte de buscadores deinternet

Comprobación de la identidad, en especial en laadministración electrónica (E-government), incluyendolos códigos PIN y la biometría como forma deidentificación

Dentro del amplio abanico posible de TIC, nosdetendremos en los sistemas de identificación porradiofrecuencia (RFID), que están desarrollándose en laindustria sin que exista, al menos en España, el másmínimo debate y cuestionamiento en lo que respecta alas implicaciones jurídicas, fundamentalmente en laprivacidad.

Hay que tener en cuenta que, en internet, el carácterinternacional e ilimitado de las conductas hacen másdifícil su descubrimiento, prevención y castigo (seplantean a menudo conflictos de jurisdicción). En elcaso del RFID no es el carácter internacional, pero síla forma subrepticia de utilización y eldesconocimiento por parte del ciudadano, lo que hacenque el posible seguimiento de las conductas contrariasa los derechos se lleve a cabo de forma efectiva.

Se plantean varios problemas esenciales 1 en relación ala protección de datos y el RFID: en primer lugar, hayque aclarar si las etiquetas contienen o no datospersonales; además, es necesario determinar si elartículo 9 de la Directiva 2002/58 de protección dedatos en el ámbito de las comunicaciones electrónicases aplicable; otra cuestión pendiente es la de lasobligaciones del responsable del tratamiento, y el deidentificación de este responsable en el caso del RFID;habrá que clarificar las medidas de seguridad que será

1 Algunas de estas cuestiones han sido abordadas en profundidad por el proyecto europeo Legal IST, Legal Issues for the advancement of information Society Technologies. Online: <http://www.ve-forum.org/apps/comm.asp?Q=381 >[15 octubre 2008]Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

4

http://www.ve-forum.org/apps/comm.asp?Q=381

RFID

necesario implementar para proteger adecuadamente a losciudadanos de los usos ilícitos o abusivos de estastecnologías. En resumen, será necesario argumentaracerca de la pertinencia de una regulación específicaque complemente la existente sobre protección de datos.

2. Contexto: La seguridad y la privacidad en la sociedad dela información

La seguridad es un medio para conseguir la privacidad.Consta de cuatro grandes ejes: a) Disponibilidad: losdatos son accesibles; b) Autenticación: Confirmación dela identidad declarada de usuarios; c) Integridad:Confirmación de que los datos son completos y no hansido modificados; d) Confidencialidad: Protección delos datos contra la interceptación: Privacidad.

Para conseguir que las tecnologías nuevas sean seguras(en concreto, el RFID), existen soluciones técnicas(cifrado y autenticación), pero no jurídicas.

Pese a los esfuerzos desplegados a nivel internacional,europeo y nacional, la seguridad2 sigue planteandodifíciles problemas. En primer lugar, los ataques a lossistemas de información están motivados cada vez enmayor medida por el afán de lucro, más que por el merodeseo de sembrar el caos. Se extraen datos ilegalmente,cada vez más a menudo sin conocimiento del usuario, yel número de variantes (y el ritmo de evolución) delsoftware malicioso aumenta con rapidez. El SPAMconstituye un buen ejemplo de esta evolución, pues estáconvirtiéndose en vehículo de virus y de actividadesfraudulentas y delictivas, como los programas espía, elphishing y otras formas de software malicioso. Su difusiónse apoya cada vez más en las botnets, es decir, redes de

2

? Este tema se aborda en profundidad en la COMUNICACIÓN DE LA COMISIÓNAL CONSEJO, AL PARLAMENTO EUROPEO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES. Una estrategia para una sociedad de la información segura – «Diálogo, asociación y potenciación» Bruselas, 31.5.2006 COM(2006) 251 final.


5

RFID

servidores y PC afectados que actúan de distribuidoressin conocimiento de sus propietarios.

Con motivo de la difusión creciente de los dispositivosmóviles (incluidos los teléfonos móviles de 3G, lasconsolas de videojuegos portátiles, etc.) y de losservicios basados en las redes móviles apareceránnuevos retos, al desarrollarse rápidamente losservicios basados en el IP. Con el tiempo, podríanllegar a ser una vía más corriente para efectuarataques que el ordenador personal, pues este disfrutaya de un nivel importante de seguridad. En realidad,cualquier nuevo tipo de plataforma de comunicación ysistema de información representa de modo inevitableuna nueva oportunidad para posibles ataques maliciosos.

Hay que señalar también el advenimiento de los«entornos inteligentes», en los que los dispositivosinteligentes apoyados en la tecnología de lacomputación y las redes estarán por todas partes (p.ej., a través de la RFID, el IPv6 y las redes desensores). Una vida cotidiana totalmente interconectaday puesta en red podría ofrecer interesantesoportunidades, pero crearía al mismo tiempo nuevosriesgos para la seguridad y la privacidad.

A pesar de que las plataformas y aplicaciones comunescontribuyan positivamente a la interoperabilidad y a laexpansión de las tecnologías de la información y lacomunicación (TIC), también pueden acrecentar losriesgos. Por ejemplo, cuanto más se utilice el softwarecomercial, más repercusión tendrá el descubrimiento deun punto vulnerable o la existencia de un fallo. Ladiversidad, la apertura y la interoperabilidad sonparte integrante de la seguridad y convienepromoverlas.

La importancia del sector de las TIC para la economíaeuropea, así como para la sociedad europea en suconjunto, es innegable. Las TIC constituyen uncomponente esencial de la innovación, responsable decasi el 40 % del crecimiento de la productividad.


6

RFID

Además, este sector tan innovador realiza más de lacuarta parte del esfuerzo europeo de I+D total ydesempeña un papel esencial en el crecimiento económicoy la creación de puestos de trabajo en toda laeconomía. Cada vez son más los europeos que viven enuna auténtica sociedad basada en la información en laque el uso de las TIC se ha acelerado rápidamente entanto que función básica de la interacción humana,tanto social como económica. Según Eurostat, el 89 % delas empresas de la UE utilizaban activamente Interneten 2004 y alrededor del 50 % de los consumidores la hautilizado recientemente Una violación de la seguridad de las redes y de lainformación puede tener repercusiones que vayan másallá de la dimensión económica. Preocupa, incluso, elhecho de que los problemas de seguridad puedandesalentar a los usuarios y dificultar la adopción delas TIC, ya que la disponibilidad, la fiabilidad y laseguridad son requisitos previos para garantizar losderechos fundamentales en línea.

Además, dada la creciente conectividad entre las redes,otras infraestructuras críticas (como las detransporte, energía, etc.) cada vez dependen más de laintegridad de sus respectivos sistemas de información.

Las empresas y ciudadanos en Europa siguen sin serconscientes de los riesgos. Esto se debe a variasrazones, entre las que la más importante parece ser laescasa visibilidad de la rentabilidad de lasinversiones en seguridad en el caso de las empresas, yel desconocimiento de su responsabilidad en la cadenade la seguridad global en el de los ciudadanos.

Pero lo cierto es que la seguridad de las redes y de lainformación representa un reto para todos: para lasadministraciones públicas, que deben afrontar laseguridad de sus sistemas, no sólo para proteger lainformación del sector público, sino también para darejemplo de buenas prácticas al resto de los agentes;para las empresas, que necesitan abordar la seguridad


7

RFID

de las redes y la información como un activo y unelemento de ventaja competitiva, no ya como un «costenegativo»; para los particulares, que deben entenderque sus sistemas domésticos resultan críticos para elconjunto de la «cadena de la seguridad».

Todas las partes interesadas necesitan datos fiablessobre los incidentes y tendencias en materia deseguridad de la información. Sin embargo, no es fácilobtener datos fiables y completos sobre estosincidentes, por razones diversas que van de la rapidezcon que se producen los eventos relacionados con laseguridad a la escasa disposición de algunasorganizaciones para revelar y hacer públicas lasviolaciones de la seguridad. Pese a ello, una de lasclaves para el desarrollo de una cultura de laseguridad es un mejor conocimiento del problemaplanteado.

Es importante que los programas de sensibilización,pensados para resaltar las amenazas a la seguridad, nominen la confianza de los consumidores y usuarios porcentrarse exclusivamente en los aspectos negativos dela seguridad. Siempre que sea posible, debe presentarsela seguridad de las redes y la información como unaventaja y una oportunidad, no como un lastre y uncoste. Es necesario considerarla un activo para ganarla confianza del consumidor, una ventaja competitivapara las empresas que explotan sistemas de informacióny un elemento de la calidad del servicio para losprestadores de servicios tanto del sector público comodel privado.

El reto más importante para los responsables deformular las políticas es el de reconocer los papelesrespectivos de las distintas partes interesadas ygarantizar una coordinación adecuada de las diversasdisposiciones reguladoras y de política pública queafectan directa o indirectamente a la seguridad de lasredes y la información. Los procesos de liberalización,desregulación y convergencia han creado unamultiplicidad de agentes entre los distintos grupos de


8

RFID

partes interesadas que no facilita precisamente estatarea.

3. Concepto de protección de datos

Muchos autores3 reconocen la protección de datos,libertad informática o derecho a la autodeterminacióninformativa como un derecho fundamental autónomo,consistente en la potestad para controlar el uso delos datos personales por parte de los individuostitulares de los mismos. Así lo ha consagrado, siendoprecursora, la jurisprudencia alemana en su conocidasentencia de 1993: "facultad del individuo de decidirpor si mismo cuando y dentro de qué límites procederevelar situaciones referentes a la vida propia". Deeste modo lo ha entendido también el TC español alreconocer el habeas data, o recurso encaminado a hacervaler dicho derecho. Como precisa el TC en STC 143/94,“un sistema normativo que, autorizando la recogida dedatos, incluso con fines legítimos, y de contenidoaparentemente neutro, no incluyese garantías adecuadasfrente a su uso potencialmente invasor de la vidaprivada del ciudadano, a través de su tratamientotécnico, vulneraría el derecho a la intimidad de lamisma manera en que lo harían las intromisionesdirectas en el contenido nuclear de ésta”. Un argumento a favor de este concepto es el artículo10 de la CS, que establece que las normas relativas aderechos fundamentales se interpretan a la luz de lostratados y acuerdos internacionales sobre la materia.Según esto, la normativa de protección de datosdebería tener como referente el Convenio 108 del

3 LUCAS MURILLO DE LA CUEVA, El derecho a la autodeterminación informactiva. La protección de datos personales frente al uso de la informática. Tecnos, 1990; DAVARA RODRÍGUEZ, Drecho Informático, Pamplona, 2004; PÉREZ LUÑO, Nuevas Tecnologías, Informática y Derechos. Los Desafíos de los Derechos Humanos Hoy. Madrid. Dykinson. 2007.

4 Decisión de la Comisión Europea 2006/804/CE, de 23 de noviembre de 2006, sobre la armonización del espectro radioeléctrico para los dispositivos de identificación por radiofrecuencia (RFID) que utilizanla banda de frecuencia ultra alta (UHF). Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

9

RFID

Consejo de Europa del año 1981, en el que se reconoceeste derecho. Una definición del derecho a la autodeterminacióninformativa podría ser el "control que a cada individuocorresponde sobre la información que personalmente leconcierne, sea íntima o no, para impedir que otrospuedan conocerla y/o utilizarla de forma que lesperjudique".

El derecho a la autodeterminación informativaencuentra limitaciones, como cualquier otro derecho,en el ejercicio que de otros derechos hagan laspersonas. Así, es llamativo el caso de la colisiónentre el derecho a la libertad informática y elderecho a la libertad de expresión. A este respecto,es ilustrativa la sentencia del Tribunal Supremo de 18de febrero de 1999 (sala 2), en la que se estudia eluso de datos personales insertos en un programainformático: el Tribunal entiende que es clara en elcaso la existencia de delito contra la libertadinformática, puesto que el acusado accedió por unmedio desconocido, pero en todo caso sin autorizaciónde quien podía concederla, a datos reservados decarácter personal que se hallaban registrados en unfichero informático, para su posterior publicación conel consiguiente perjuicio. A esta colisión de derechosse alude en el artículo 9, D de la Directiva 95/46/CEdel Parlamento Europeo y del Consejo de 24 de octubrede 1995, relativa a la protección de las personasfísicas en lo que respecta al tratamiento de datospersonales y a la libre circulación de estos datos,cuando prevé que los Estados establecerán exenciones yexcepciones sólo en la medida en que resultennecesarias para conciliar el derecho a la intimidadcon las normas que rigen la libertad de expresión.

Prueba de la sensibilidad que en toda Europa existe eneste tema, es el hecho de que en la Carta de Derechosde Europa aprobada en 2001, el artículo 8 hace unareferencia a la protección de datos de carácterpersonal en los siguientes términos: "Toda personatiene derecho a la protección de los datos de carácter


10

RFID

personal que la conciernan. Estos datos se tratarán demodo leal, para fines determinados, y sobre la basedel consentimiento de la persona afectada o en virtudde otro fundamento legítimo previsto por la ley. Todapersona tiene derecho a acceder a los datos recogidosque la conciernan y a su rectificación. El respeto deestas normas quedará sujeto al control de unaautoridad independiente". Además, tal y como seanalizará más adelante, existen dos directivas deprotección de datos que son aplicables al tema queestudiamos, y que habrán de interpretarse conjunta ycomplementariamente (Directivas 95/46/CE y2002/58/CE).

4. El caso del RFID (Identificación por radiofrecuencia)

4.1 Características técnicas4

La identificación por radiofrecuencia (RFID) es unatecnología que permite la identificación y la capturade datos automáticos mediante la utilización deradiofrecuencias. La característica más destacada deesta tecnología es la posibilidad de asociar unidentificador único junto con otra información (en unmicrochip) a cualquier objeto, animal o persona, y leeresta información a través de un dispositivoinalámbrico. Se considera que los dispositivos RFIDconstituyen la puerta de acceso a una nueva fase de lasociedad de la información, denominada “Internet de losobjetos” en la que la Red conecta no sólo ordenadores yterminales de comunicaciones, sino cualquier objetocotidiano: ropa, bienes de consumo, etc.

4 La mayor parte de la información que se recoge aquí sobre características técnicas, utilidades y seguridad está extraído del informe elaborado por el CITIC (CÍRCULO DE INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES TECNOLOGÍAS). RFID: APLICACIONES EN EL ÁMBITO DE LA SALUD. Informe elaborado por el Centro de Difusión de Tecnologías (CEDITEC), Universidad Politécnica de Madrid. Autores: JavierI. Portillo (CEDITEC – UPM) Ana Belén Bermejo (CITIC – UPM) Ana Bernardos (CEDITEC – UPM) Con la colaboración de: José R. Casar (CEDITEC – UPM) Iván Martínez (CITIC-UPM). Diciembre 2007. Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

11

RFID

RFID (Identificación por Radiofrecuencia) es un métodode almacenamiento y recuperación remota de datos,basado en el empleo de etiquetas o “tags” en las quereside la información. RFID se basa en un conceptosimilar al del sistema de código de barras; laprincipal diferencia entre ambos reside en que elsegundo utiliza señales ópticas para transmitir losdatos entre la etiqueta y el lector, y RFID, en cambio,emplea señales deradiofrecuencia (en diferentes bandasdependiendo del tipo de sistema, típicamente 125KHz,13,56MHz, 433-860-960MHz y 2,45GHz).

Todo sistema RFID se compone principalmente de cuatroelementos:

• Una etiqueta RFID, también llamada tag otranspondedor (transmisor y receptor). La etiqueta seinserta o adhiere en un objeto, animal o personaportando información sobre el mismo. En este contexto,la palabra “objeto” se utiliza en su más ampliosentido: puede ser un vehículo, una tarjeta, una llave,un paquete, un producto, una planta, etc.Consta de unmicrochip que almacena los datos y una pequeña antenaque habilita la comunicación por radiofrecuencia conel lector.• Un lector o interrogador, encargado de transmitir laenergía suficiente a laetiqueta y de leer los datos queésta le envíe. Consta de un módulo de radiofrecuencia(transmisor y receptor), una unidad de control y unaantena para interrogar los tags vía radiofrecuencia.Los lectores están equipados con interfaces estándar decomunicación que permiten enviar los datos recibidos dela etiqueta a un subsistema de procesamiento de datos,como puede ser un ordenador personal o una base dedatos.Algunos lectores llevan integrado un programador queañade a su capacidad de lectura, la habilidad paraescribir información en las etiquetas.A lo largo del presente estudio, cuando hablemos delector, se considerará que es un dispositivo capaz deleer la etiqueta, independientemente de si puede sóloleer, o leer y escribir.


12

RFID

• Un ordenador, host o controlador, que desarrolla laaplicación RFID. Recibe lainformación de uno o varios lectores y se la comunicaal sistema de información.También es capaz de transmitir órdenes al lector.• Adicionalmente, un middleware y en backend un sistemaERP de gestión desistemas IT son necesarios para recoger, filtrar ymanejar los datos.

La RFID reforzará el papel de las tecnologías de lainformación y las comunicaciones como motores de lainformación y el crecimiento económico. La RFID estápreparada desde un punto de vista tecnológico ycomercial, pero precisa abordar varios problemasinterrelacionados referentes a la seguridad y laprivacidad, la gobernanza, el espectro radioeléctrico ylas normas. También necesita investigación paraconseguir una mayor miniaturización, aplicar nuevosmateriales y reducir costes. Sus aplicaciones abarcancampos como la atención sanitaria, los sistemas demovilidad y vehículos inteligentes, los nanosistemas,la electrónica y las redes.

Las características principales del RFID son:

• Posibilidad de modificar los datos. Depende del estándar quese utilice, aunque sí es posible. Por ejemplo,utilizando el estándar EPC, existen básicamente variasclases de etiquetas: de sólo lectura, de una escrituray múltiples lecturas o de lecturaescritura.• Seguridad de los datos. En las últimas generaciones dedispositivos RFID es posible cifrar los datos, de formaque no puedan ser leídos con lectores RFID estándar.• Cantidad de datos almacenados. Hasta 1 MB de informaciónen los últimos prototipos.• Costes. En descenso a medida que se aplican losúltimos avances tecnológicos. El objetivo de hace unosaños de alcanzar los 0,05 € por etiqueta parece cadavez más cercano, aunque lógicamente depende del tipo deetiqueta.


13

RFID

• Estándares. Existen diferentes estándaresuniversalmente aceptados, y relacionados con la bandade frecuencia utilizada, que como ya hemos visto,determina el tipo de sistema RFID. Los dos estándaresprincipales son el estándar EPC y el estándar ISO.• Vida útil. Al no haber necesidad de contacto físico nide baterías, la vida útil de las etiquetas pasivas esmuy grande. Las etiquetas activas tienen limitada suvida útil a la duración de su batería.• Tamaño. En general, desde el tamaño de un botón o uncaramelo hasta el tamañode un paquete de tabaco. No obstante, Hitachi haanunciado recientemente su muchip, un chip RFID contecnología de 2,4 GHz y un tamaño de 0,4 x 0,4 mm, conun espesor de 0,06 mm.Distancia de lectura. Las etiquetas pasivas tienen unalcance del orden del metro, y las activas pueden tenerun alcance de decenas de metros. Además, para realizarla lectura o escritura no se necesita línea de visióndirecta.• Número de elementos que se pueden leer simultáneamente. Unlector puede leercientos de etiquetas de forma casi simultánea.• Posibilidad de interferencias. En función de la frecuencia,los líquidos, madera ometales puede impedir la propagación de la señales. Un asunto de especial importancia es la disponibilidadde espectro radioeléctrico es algo esencial para todoslos dispositivos inalámbricos, y en consecuencia paralas aplicaciones RFID. La armonización de lascondiciones de uso del espectro, en particular, esimportante para facilitar la movilidad y abaratar loscostes. Actualmente se dispone de varias bandas defrecuencias para los sistemas RFID sin necesidad delicencia, y tal ha sido la situación durante muchosaños en la mayor parte de los países de la UE.Recientemente, a fin de liberar más espectro para lacreciente demanda asociada al uso de la RFID, laComisión adoptó una Decisión5 que pretende conseguirfrecuencias en la banda UHF para la RFID. Esta Decisiónestablecerá una base europea armonizada para las5


14

RFID

aplicaciones RFID en el mercado único europeo. Sinembargo, será necesario efectuar un seguimiento de lademanda a medida que se incremente la utilización de laRFID

4.2 Utilidades

La principal característica de la tecnología RFID es lacapacidad de identificar, localizar, seguir omonitorizar personas u objetos sin necesidad de queexista una línea de visión directa entre la etiqueta yel lector (al menos en algunas de las frecuencias detrabajo. Alrededor de esta funcionalidad han surgidouna gran variedad de aplicaciones perfectamenteadaptables a una gran diversidad de sectoresindustriales.

Las aplicaciones del RFID en el ámbito comercial sonmuy variadas: En el transporte y distribución(Seguimiento de activos; aeronaves, vehículos,ferrocarriles, contenedores, sistemas de localizaciónen tiempo real); en el empaquetado de artículos(Gestión de la cadena de suministro; seguimiento decajas y palés; seguimiento de elementos, industriafarmacéutica, inventario y stocks); en industria yfabricación (Estampación, flujo de trabajo); enseguridad y control de accesos (Gestión de pasaportes yvisados, seguimiento de niños, seguimiento de animales,seguimiento de equipajes, prevención defalsificaciones, acceso a ordenadores, identificaciónde empleados, acceso a aparcamientos, acceso alaboratorios, recintos, peajes, pagos automáticos,reconocimiento de clientes; en el ámbito demonitorización y sensado (presión, temperatura, volumeny peso, aplicaciones de localización; en los sistemasde biblioteca (acceso y gestión de libros, acceso ygestión de todo tipo de objetos).

Algunos de los usos actuales de RFID, según el informede CITIC6 son los siguientes:

6


15

RFID

• Puntos de venta.• Sistemas de identificación automática de vehículos.• Control de acceso a edificios o recintos en elinterior de edificios.• Identificación de animales de granja y ganado.• Seguimiento de activos.• Identificación de mascotas.• Logística y gestión en almacenes mayoristas (Ejemplo,Kimberly Clark).• Seguimiento de productos en cadena de suministro (porejemplo, seguimientos de palés, Walmart, DoD, Target,Tesco, Metro Group).• Seguridad de productos.• Seguimiento de materiales para movimiento en fábrica.• Aplicaciones de trazabilidad.• Sistemas de pago de peajes.• Entrada y salida de libros en bibliotecas (BibliotecaVaticana, Berkeley, Universidad de Connecticut).• Seguimiento de equipajes en aeropuertos (por ejemplo,en el Aeropuerto de Hong Kong, o Delta Airlines, oGlobalbagtag).• Arranque de automóviles (Toyota, Renault, Lexus yAudi).• Deportes (aplicación en el seguimiento de deportistasen la Maratón).• Entradas (por ejemplo, uso en la Master Cup de Tenisen 2005 o en la 2005 Canon Expo en París).• Seguimiento de personas (en aplicaciones médicas ocomo medida de seguridad,por ejemplo, para identificación de recién nacidos enhospitales).• Aplicaciones farmacéuticas.

Además de estas aplicaciones industriales mencionadas,existen otros ámbitos en los que los dispositivos RFIDaparecen como una opción con mucho potencial. Uno deellos es el de los sistemas de seguridad fronteriza. Eneste ámbito, la función de los sistemas de

? CÍRCULO DE INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES TECNOLOGÍAS. Op.cit, p. 67.


16

RFID

identificación biométrica con las capacidades delocalización e identificación de los dispositivos RFIDestá teniendo resultados muy positivos. Puedenaplicarse a: Identificación de vehículos, conductores,pasajeros y personal en puestos fronterizos, sistemasde registro de vehículos, control de acceso devehículos en recintos protegidos, trazabilidad debienes importados, y seguridad en las importaciones,seguimiento e identificación de contenedores, controlde pasajeros, equipajes y carga en transportes aéreos.

Otro de los aspectos en los que la RFID puede resultarde utilidad es el de la mejora en la eficacia policialy judicial. Los aspectos donde la tecnología RFID puedecontribuir son:

• Mejora de la eficacia policial. En este ámbito podemosdestacar:o Gestión y seguridad en el almacenamiento de pruebaspoliciales.o Localización policial en comisarías.• Mejora de la seguridad policial. En este ámbito podemosdestacar:o Protección de armas de fuego.o Monitorización de patrullas.• Lucha contra el crimen. En este ámbito podemos destacar:o Protección de bienes.o Placas de matrículas de automóviles. o Carnés y permisos de conducción. En el ámbito de la atención sanitaria encontramos lossiguientes usos: Localización y seguimiento depersonal, pacientes y visitas, identificación depersonal, pacientes y visitas; Pacientes:almacenamiento de su historia médica, control de sutratamiento; Visitas: control de las visitas; Personal:identificación del profesional que trata a cadapaciente, periodicidad y tiempo dedicado a cada visita,cuánto tiempo está con él; Etiquetado de productosfarmacéuticos, trazabilidad y localización de losmedicamentos, etiquetado de material sanitario,seguimiento y localización del material.


17

RFID

Las actuales líneas de desarrollo en los transponedoresestán encaminadas a reducir el tamaño del transponedoral mismo tiempo que se incrementa la sensibilidad delmismo y se aumenta la distancia de lectura y elrendimiento energético.

4.3 Principales riesgos del RFID para la privacidad

Los principales retos de esta tecnología son lapreocupación por la privacidad; los retos tecnológicosy los costes de implementación7.

Aspectos en torno a la privacidad8

La Organización para la Cooperación y el DesarrolloEconómico (OCDE), la Unión Europea (UE), la Comisiónde Libertades e Informática en Francia (CNIL) y muchasorganizaciones9 (CASPIAN; EFF; CLI, ACLU, FOEBUD) hacenespecial hincapié en que la seguridad y privacidad sonaspectos dominantes en el éxito de la implantaciónfutura de estos sistemas. A pesar de los potencialesbeneficios que conlleva la implantación de sistemasRFID, no hay que desatender la corriente en contra deesta tecnología, debido a que cualquier persona, con unlector apropiado, puede leer la información que llevanlas etiquetas. La asociación estadounidense CASPIAN(Consumers Againts Supermarket Privacy Invasión and Numbering) loconsidera un nuevo medio de intrusión y vigilancia dela vida privada de las personas. Asimismo, en Francia,la CNIL (Comission Nationale de l’Informatique et des Libertés) ha

7 OECD. Directorate for Science, Technology and Industry. Committee for Information, Computer and Communications Policy. RADIO-FREQUENCY IDENTIFICATION: DRIVERS, CAHLLENGES AND PUBLIC POLICY CONSIDERATIONS. 27 febero 2006, p.12.

8 Vid. a este respecto Garfinkel, Juels, Pappu: “RFID privacy, an overview of problemsand proponed solutions”. IEEE Security &Privacy Magazine, vol. 3,pp.34-43, 2005.9

? Consumer Against Privacy Invasión; Electronic Frontiers Foundation; Comisión de Libertades e Informática, American Civil Liberties Union; German Association for the promotion of the public and not-public datatraffic).Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

18

RFID

calificado la tecnología RFID como de riesgo para laslibertades individuales.

Algunos de los riesgos en torno a este tema son lossiguientes:

El seguimiento de personas y elaboración de perfiles Su tamaño pequeño facilita obtención datos sin

información y consentimiento El robo identidad Las lecturas/escrituras indeseadas, con objeto de

obtener información o modificar datos de formafraudulenta.

La existencia de etiquetas falsas dentro de una zonarestringida, que tratan de burlar la seguridad delsistema accediendo a lugares no autorizados orecibiendo determinados servicios sin previo pago

Las escuchas ilegales con objeto de copiar los datosy falsificar etiquetas

No se ha habilitado un sistema que desactive el chipuna vez cumplida su función (identificar a unproducto). La etiqueta continuará emitiendo suinformación y cualquiera dotado de un receptor serálibre de localizar los productos.

Según un estudio del Parlamento Europeo10, dado elrápido desarrollo de los sistemas de RFIDpaulatinamente resultará más sencillo reunir datossobre los usuarios y analizarlos. Además, una vez seconecten entre sí diferentes sistemas de RFID u otrastecnologías como GSM, GPS, CCTV e Internet, seráposible formarse una imagen mucho más detallada de losusuarios. Esto permitiría a los propietarios desistemas de RFID entregar datos personales obtenidoscon RFID para investigaciones policiales.

Paralelamente, para los usuarios resultará mucho más10 Comité de Evaluación de Opciones Científicas y Tecnológicas del Parlamento Europeo. On line: <http://cordis.europa.eu > [16 octubre 2008]

11 CÍRCULO DE INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES TECNOLOGÍAS. Op cit, p.63Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

19

http://cordis.europa.eu/

RFID

turbio quién tiene en su poder sus datos personales yen qué sistemas, cosa que trastoca el balance de poderen el espacio público digital. No sólo está la cuestiónde proteger la privacidad o los datos personales, sinotambién la de garantizar la libertad individuallogrando el equilibrio adecuado entre libertad deelección, comodidad y control, se argumenta en elestudio.

El estudio concluye ofreciendo las siguientesrecomendaciones:

- los usuarios de RFID deben saber qué son capaces dehacer con sus datos los propietarios de sistemas deRFID, y qué les está permitido hacer;

- los usuarios de RFID deberían participar en eldesarrollo de nuevos entornos de RFID;

- si llegaran a fundirse los datos personales obtenidosmediante sistemas de RFID distintos, debería quedarclaro quién será el responsable de manejar dichosdatos;

- ante un entorno cada vez más interactivo, debenreplantearse las directrices que regulan la privacidady los conceptos de la información personal y laautodeterminación informativa;

- los gobiernos deberían adoptar una postura inequívocacon respecto a si se usarán sistemáticamente datos deRFID a efectos de investigaciones.

Por otro lado, según un estudio realizado por Capgeminien 200511 sobre los aspectos de privacidad se revelaronresultados muy interesantes. Así, por ejemplo esinteresante notar cómo el RFID se percibe como causantede un mayor impacto en la privacidad, incluso encomparación con aplicaciones que pueden utilizar RFID,como el control de equipajes o las tarjetasinteligentes, lo que infiere que en realidad se tratade una desinformación o falta de conocimiento de la

11


20

RFID

tecnología RFID. En todos los casos, la apreciación deque RFID tenía menor impacto sobre la privacidad quelas tecnologías de comparación fue inferior al 10%.Este resultado muestra la preocupación que puedesuscitar en el público el aspecto de la privacidad delos dispositivos RFID, lo cual puede suponer unproblema si no se trata con la adecuada prudencia.

Aunque es cierto que la tecnología RFID puede atentarcontra la privacidad y confidencialidad de laspersonas, existen soluciones técnicas para controlarlas utilizaciones indeseadas de los sistemas RFID, comoson los procedimientos de cifrado y autenticación. Elcifrado se utiliza para asegurar que la informaciónsólo pueda ser entendida por los usuarios de laaplicación y evitar de ese modo lecturas indeseadas. Laautenticación se utiliza para que únicamente personalautorizado pueda acceder a dicha información, tantopara leer como para escribir.

En todo caso, el debate que ha surgido es importante.A principios de 2003, Walmart, Procter & Gamble,Gillette y la cadena de supermercados Tesco realizaronpruebas piloto sobre un sistema de “estanteríasinteligentes”, donde se dotaba a los productos de lasestanterías del supermercado con una etiqueta RFID, loque permitía a los empleados del supermercado realizarun seguimiento inteligente del consumo y el stock.Inmediatamente surgió la pregunta de si esa informaciónse podía utilizar para llevar cuenta de las comprasrealizadas por los clientes del supermercado.Finalmente, WalMart decidió retrasar las pruebas delsistema.

Una conclusión que puede extraerse es que cuanto másse acerca la tecnología RFID al consumidor final, másproblemas potenciales surgen relacionados con laprivacidad. En muchos casos, la reticencia la provocala falta de conocimiento y desinformación. Porque apesar del creciente alarmismo, sólo el 30% de losconsumidores estadounidenses y el 18% de los


21

RFID

consumidores europeos afirman conocer la existencia yaplicaciones de la tecnología RFID.

De todo lo dicho hasta aquí hay que concluir que losaspectos relacionados con la privacidad han de sertenidos en cuenta a la hora de desarrollar latecnología RFID, en concreto, cuando se recogen datosde personas identificadas o identificables.

La potencial invasión a la privacidad a través del usodel RFID es proporcional a: a) la capacidad de laetiqueta de ser leída a distancia sin participación delindividuo; b) la posibilidad de revelar informaciónsensible a través de interferencias o elaboración deperfiles; c) el grado de interoperabilidad (quién puedeleer las etiquetas, quién tiene acceso a la informaciónsobre el producto); d) la capacidad del RFID para hacerseguimiento de las personas.

a) La invisibilidad de la recogida de datos

Una característica importante del RFID es que larecogida de datos sucede sin el conocimiento delindividuo. Esto genera falta de certeza, y constituyeun obstáculo a la aceptación de la tecnología. Sinembargo, lo que por un lado puede suponer riesgo, porotro añade facilidad: piénsese, por ejemplo, en queesta característica del RFID es lo que añade comodidadal consumidor mientras hace la compra.

b) Elaboración de perfiles

La etiqueta almacena un código EPC, que identifica alfabricante del producto y al producto en sí (no a unaserie de productos iguales, como en el caso del códigode barras). El que la etiqueta revele información sobrela marca de jabón que usamos no tiene por qué serrelevante desde el punto de vista de la privacidad. Sinembargo, un pasaporte puede almacenar datosbiométricos o de nacionalidad, que son sensibles. La elaboración de perfiles no es nueva: sin embargo, elRFID modifica las tecnologías para hacerlo en cuanto


22

RFID

que es invisible y, de extenderse, podría volverlasmucho más eficientes.

c) Interoperabilidad

El contexto en el que se recojan los datos personalespor parte del sistema RFID es importante. Cuando sepuede acceder a los datos por parte de muchos actoresdebido a la interoperabilidad, los problemas con laprivacidad aparecen.

d) Seguimiento de las personas

La tecnología RFID lo permite, y se utiliza encárceles, hospitales, o parques recreativos para quelos padres encuentren a sus hijos.

Como hemos visto, son muchos los asuntos pendientes enrelación a la posible colisión entre privacidad y usodel RFID. Un criterio que nunca debemos olvidar es elestablecido en el considerando segundo de la Directiva95/46/CE del parlamento europeo y del consejo de 24 deoctubre de 1995 relativa a la protección de laspersonas físicas en lo que respecta al tratamiento dedatos personales y a la libre circulación de esosdatos: “Considerando que los sistemas de tratamiento dedatos están al servicio del hombre; que deben,cualquiera que sea la nacionalidad o la residencia delas personas físicas, respetar las libertades yderechos fundamentales de las personas físicas y, enparticular, la intimidad, y contribuir al progresoeconómico y social, al desarrollo de los intercambios,así como al bienestar de los individuos”. Será tareade toda la comunidad científica y académica hacer queeste considerando se respete siempre, con independenciadel avance tecnológico.

Aspectos de seguridad

La seguridad es un aspecto especialmente importante queha de tenerse en cuenta al analizar nuevastecnologías. Podemos pensar en los ordenadores (con la


23

RFID

aparición de los virus) o en Internet (con la apariciónde diversos tipos de ataques a los ordenadoresconectados a la red). RFID es una tecnología dereciente aparición y muchos usos, y si no se dota de ladebida seguridad, aparecerán sin duda problemas a lahora de prestar servicio, robo de datos personales yconfidenciales, etc. De hecho, RFID se está empezando autilizar en muchísimas aplicaciones sin demasiadaspreocupaciones en los aspectos de seguridad.

Existen algunos casos relacionados con la seguridad ensistemas RFID. Por ejemplo, en enero de 2005 un grupode estudiantes consiguió romper el cifrado del sistemade puntos de venta RFID de ExxonMobil.

Otras formas de ataque más sofisticadas tienen comoblanco las comunicaciones en radiofrecuencia. Las másimportantes se pueden clasificar en cuatro tipos:

• SpoofingEste tipo de ataque consiste en suministrar informaciónfalsa que parece ser válida y que es aceptada por elsistema. Por ejemplo, se podría enviar un códigoelectrónico de producto (EPC) falso, cuando el sistemaespera uno correcto.• InserciónEste tipo de ataque inserta comandos del sistema dondehabitualmente se esperan datos. Por ejemplo, inserciónde comandos SQL en una base de datos o inserción decomandos donde deberían ir, por ejemplo, códigos EPC. • ReplayEn este tipo de ataque, se intercepta una señal RFID yse graban los datos. Posteriormente se retransmiten alsistema, que los acepta como válidos.• Denegación de servicio (DOS)En este tipo de ataques, se colapsa al sistemaalimentándole con más datos que los que puede manejar.Hay una variante conocida como RF jamming en el que seanula la comunicación RF emitiendo ruidosuficientemente potente. Por supuesto, es tambiénposible atacar la información contenida en la etiqueta.Si esta información fuera, por ejemplo, un precio, el


24

RFID

atacante podría obtener una rebaja sustanciosa. Porejemplo, ya en 2004, existía un programa denominado RFDump, escrito en Java, y que podía correr en Linux y enWindows XP. Este programa, utilizando un lector RFIDconectado al puerto serie del ordenador, leía los datosde la etiqueta y los presentaba en una hoja de cálculo.El usuario podía cambiar datos y volver a escribirlosen la etiqueta. Otro programa, denominado RF Dump-PDAestá escrito en Perl, y corre en PDAs. Asimismo, sontambién posibles los ataques al middleware, o inclusoal sistema de aplicación, en este caso ataques de tipo“tradicional”, como virus, malware, etc. Otros tipos deataque son:• Ataques Man in the Middle (MIM)Este tipo de ataque se aprovecha de la confianza mutuaen el proceso de comunicación suplantando una de lasentidades. RFID es particularmente vulnerable a estetipo de ataque, debido a la interoperabilidad de muchoslectores y etiquetas, y a la automatización del procesode lectura y escritura.• Fraudes por modificación de chipsEn la Black Hat Conference de Las Vegas, Lukas Grenwaldexplicó un tipo de ataque realizado sobre una tiendapiloto que empleaba etiquetas RFID para marcarcuatro tipos de productos. Utilizando una PDA con unlector RFID pudo leer la información de las etiquetas.Para cerciorarse de que se podían escribir fue al sitiodonde se borraba la información de las etiquetas pararespetar los aspectos de privacidad y pudo ver que loque se hacía en ese sitio era reescribir las etiquetascon ceros. Eso le indicó que realmente se podíaescribir nueva información en las etiquetas. El pasosiguiente fue reescribir la información del tipo yprecio de un producto por el tipo y precio de otromucho más barato, utilizando para ello una PDA, ysoftware estándar de fácil consecución.• Inutilización de etiquetasConsiste en inutilizar la etiqueta RFID sometiéndola aun fuerte campo electromagnético. Esto se realiza deforma legal cuando compramos un producto y lo acercan aun sistema que desactiva el código de seguridad. Lo quehace este sistema es introducir un pulso


25

RFID

electromagnético que inutiliza una sección más débil dela antena, con lo que el sistema queda inoperativo. Sise dispone de la tecnología necesaria, entre otrascosas una antena altamente direccional, se puedeninutilizar las etiquetas de protección de losproductos, favoreciéndose así su sustracción.

Existen soluciones que permiten robustecer la seguridadde estos sistemas: Medidas de seguridad para las etiquetas Una forma obvia de evitar la modificación de lainformación en las etiquetas es utilizar etiquetas desólo lectura, o no escribir los datos directamente enlas etiquetas, sino incluir en dichas etiquetasúnicamente un código, y desplazar todo el resto de lainformación a una base de datos en el sistema backend,cuyas medidas de seguridad pueden ser muy superiores alas de la etiqueta.Para evitar los borrados y desactivaciones noautorizadas de las etiquetas se pueden utilizar métodosde autentificación previos.Adicionalmente, el uso de cifrado puede serrecomendable cuando las etiquetas porten informaciónsensible o privada.

Medidas de seguridad para la comunicación radio

El desplazamiento de la información a la base de datosdel backend resulta también de utilidad en este punto.El cifrado de los datos puede evitar la obtención deinformación monitorizando el enlace radio.

Medidas de seguridad para el lector

Para evitar la falsificación de identificadores delector, obteniéndose así acceso a las etiquetas, sepueden utilizar métodos de autentificación para validarla comunicación entre lector y etiqueta.


26

RFID

En resumen, las soluciones, en general, no son muydiferentes de las utilizadas en los sistemascomputadores tradicionales:• Uso de esquemas de cifrado y protocolos seguros,fundamentalmente a nivel de middleware, con sistemas decifrado tradicionales, como DES (Data Encryption Standard).• Uso de buffers para evitar ataques de denegación deservicio.• Realización de análisis de patrones de eventos, a finde detectar eventos espurios.• Uso de procedimientos de autentificación de fuente,para evitar ataques de sustitución de dirección TCP/IP.• Uso de extensiones de seguridad para el DNS.

En este tema de la seguridad, hay que recordar que lanormativa española, vigente desde el año pasado, enrelación a la seguridad de ficheros de datos seríaplenamente aplicable a los responsables de los datosincluidos en etiquetas RFID. Dicha normativareglamentaria12 es de las más exigentes de Europa, ycontiene medidas de nivel básico, medio y alto. Elcuadro que se ofrece a continuación está extraído de lapágina de la Agencia de Protección de Datos, que hallevado a cabo una importante labor de difusión delReglamento de Protección de Datos.

12 RD 1720/2007 de 19 de enero, Reglamento de Protección de datos de carácter personal.Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

27

RFID


28

RFID

5. Normativa aplicable

5.1 Normativa Internacional

El Consejo Europeo de diciembre de 2006 solicitó a laComisión Europea que pasara revista a los desafíos dela nueva generación de Internet y de las redes decomunicaciones en el Consejo de primavera de 2008.

La Comisión ha abierto un debate con las partesinteresadas en la RFID para abordar los problemas einquietudes existentes. La Comisión va a publicar unaRecomendación con los principios que deben aplicar lasautoridades públicas y otras partes interesadas con eluso de la RFID.

Sobre la evolución hacia la “Internet de los objetos”,uno de cuyos elementos es la RFID, la Comisión hapublicado una comunicación en 2007. En la misma seevaluarán las opciones políticas, y la necesidad deproponer medidas legislativas para salvaguardar laprivacidad y la protección de datos.

En este momento, existe un documento de trabajo delGrupo del artículo 29. EJEMPLOS DE PAÍSES QUE HAN REGULADO EL RFID

En Italia, existe una disposición del 9 de marzo de2005 que regula la aplicación de las etiquetas RFID. Seestipula el cumplimiento de los principios deprotección de datos para responsables públicos yprivados. En Japón se aprobó una disposición el 30 de marzo de2004. “Research and Study Group on the Advanced Use andApplication of Electronic Tags in the UbiquitousNetwork Era” of the Japanese MIC (previously MPHPT)compiló el documento “Guideline structure for the


29

RFID

protection of privacy in the use of RFID tags” in the“Efforts towards the Advanced Use and Application ofRFID” (informe final). El 16 de marzo de 2004, elMinistro de Economía desarrolló la “Guía para laprotección de la privacidad en lo que respecta alRFID”.

China tiene solamente regulación sobre frecuencia.

The European Telecommunications Standards Institute(ETSI) publicó una norma técnica para equipos RFID (EN302 208) ETSI 300 328 Radio Frequency IdentificationEquipment operating in the band 865 MHz to 868 MHz withemitted radio power (by readers) of up to 2 Watt. En Gran Bretaña se publicó un borrador de regulación el9 de agosto de 2005 (referente al espacioradioeléctrico).

En EEUU, The Federal Communications Commission (FCC)autorizó 902-928 MHz bandas de frecuencia para usosindustriales, científicos y médicos

DOCUMENTOS REFERENTES A RFID EN EL ÁMBITO DE LA UNIÓNEUROPEA

Directiva 95/46 de 24 de octubre de 1995, relativa ala protección de las personas físicas en los querespecta al tratamiento de datos personales y a lalibre circulación de estos datos. Directiva 2002/58/CE, de 12 de julio de 2002 delParlamento Europeo y Consejo relativa al tratamiento delos datos personales y a la protección de la intimidaden el sector de las comunicaciones electrónicas.

Directiva 2002/20/EC del Parlamento Europeo y elConsejo de 7 Marzo 2002 sobre autorización de redes decomunicación electrónicas y servicios.

Directiva 2002/21/EC del Parlamento Europeo y elConsejo de 7 de marzo de 2002 sobre un marco regulador


30

http://www.iot-visitthefuture.eu/index.php?id=36



RFID

común de redes de comunicación electrónicas yservicios.

Regulación (EC) No 45/2001 del Parlamento Europeo yel Consejo de 18 de diciembre de 2000 sobre protecciónde los individuos en lo que respecta al proceso dedatos personales por las instituciones comunitarias ysobre la libre circulación de esos datos.

Grupo de trabajo del artículo 29. Opinión 4/2007 sobreel concepto de dato personal. Junio 2008. 01248/07/ENWP 136

Directiva 2002/95/EC del Parlamento Europeo y elConsejo de 27 enero 2003 sobre restricción del uso deciertas sustancias en equipos eléctricos yelectrónicos. Directiva 2002/96/EC del Parlamento Europeo y elConsejo de 27 enero de 2003 sobre el gasto delequipamiento eléctrico y electrónico.

Decisión de la Comisión Europea de 23 noviembre 2006sobre armonización del espectro radioeléctrico paralos dispositivos de identificación por radiofrecuencia(RFID) que utilizan la banda de frecuencia ultra alta(UHF).

Recomendación del Consejo Europeo de 12 julio 1999sobre la limitación de la exposición del público acampos electromagnéticos (0 Hz to 300 GHz)(1999/519/EC)

Decisón del Parlamento Europeo y el Consejo nº676/2002/EC de 7 de marzo de 2002 sobre el marcoregulador de la política de radio espectro en laComunidad europea.

5.2 Normativa nacional


31

RFID

La normativa nacional se refiere, en el caso español,tanto a los datos manejados por particulares como porla Administración. Se refiere a los tres niveles siguientes: Europeo/Estatal/ Autonómico

Las dos normas más importantes en este sentido son laley orgánica LO 15/1999 de 13 de diciembre, LeyOrgánica de Protección de Datos de carácter personal(LOPD) y el RD 1720/2007 de 19 de enero, Reglamento deProtección de datos de carácter personal.

6. Principios de la protección de datos aplicables

PRINCIPIO DE LEALTAD

La lealtad ha de entenderse en su sentido más amplio,como opuesto a engaño, fraude o ilícíto. Se recoge enel artículo 4.1 de la ley de protección de datosespañola (LOPD).

La recogida y posterior tratamiento no deben realizarseabusando de la buena fe del individuo. Y para aseguraresto, nada mejor que exigir el consentimiento en elmomento de la recogida, pero para prestar unconsentimiento consciente se requiere informacióncompleta sobre el alcance y las consecuencias de sudecisión.

El grupo de trabajo del artículo 2913 entiende que elconsentimiento se necesita siempre, a no ser que elRFID se autorice por ley o se requiera para el interésvital del interesado, como es el caso de ciertasaplicaciones relacionadas con la salud. Sin consentimiento, no hay legitimidad para eltratamiento de datos por parte del responsable.

13 ARTICLE 29 DATA PROTECTION WORKING PARTY. Working document on data protection issues related to RFID technology. Junio 2005, p. 10. On line: <http://europa.eui.int/comm/internal_market/privacy/laww_fr.htm> [1 junio 2008]Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

32

http://europa.eui.int/comm/internal_market/privacy/laww_fr.htm%3E%20%5B1

RFID

Sin embargo, hay que tener en cuenta que en ocasionesla alternativa a la prestación de consentimiento es muycostosa para el individuo (por ejemplo, no puedesacceder al transporte público, que utiliza RFID). Eneste sentido, el consentimiento informado no es lapanacea para la protección de datos. Hay quien defiendeque no puede considerarse válido el consentimientoque, de no prestarse, discrimine al individuo14.

En cuanto al deber de información, el responsable debeinformar de la identidad del responsable, de si unproducto contiene etiqueta, si es activa o pasiva,quién va a acceder a su contenido, de si se va aextraer contenido sin que el sujeto se entere, quéinformación se procesará, para qué propósitos, si setransfiere a terceros, los derechos que le asisten, yel derecho a desactivar la etiqueta.

Estos principios de lealtad en el uso de los datos,solicitud de consentimiento consciente e información alinteresado son esenciales para el respeto a laprotección de datos15. Los sistemas RFID ponen enpeligro el cumplimiento de estos principios, puesto queno es frecuente que se solicite el consentimiento delinteresado para incluir sus datos en la etiqueta, nique se le informe de los usos que se le van a dar a lainformación.

PRINCIPIO DE EXACTITUD

De los datos se obtiene información sobre las personas.En este sentido, es importante que esos datos seanciertos, se correspondan con la realidad, para que esainformación no sea errónea. La exactitud debe exigirse

14

? En este sentido, resulta muy interesante el trabajo llevado a cabo por la organización alemana FOEBUD: German Association for the promotion of the public and not-public data traffic. On line: <http://www.foebud.org/rfid/positionspapier.pdf> [junio 2008]15

? Vid. Directiva 95/46/CETabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

33

http://www.foebud.org/rfid/positionspapier.pdf

RFID

no sólo en el momento inicial, sino a lo largo de todala vida del fichero. Vid. artículo 4.3, 4.4 LOPD.

En el caso del RFID, la posibilidad de modificación delos datos que están en las etiquetas hace que esteprincipio no esté garantizado.

PRINCIPIO FINALISTA

La información sobre mi persona se entrega para que seutilice de un modo determinado. Este dato debeprecisarse y darse a conocer antes de que comience lautilización. En el caso del RFID, aparecen nuevos actoresdesconocidos para el titular de los datos, como puedeser una tienda en la que entra el consumidor conproductos que contienen etiqueta RFID procedentes deotra tienda diferente. Si estos acceden a lainformación personal, el principio de finalidad no secumpliría, puesto que el afectado pierde el controlsobre lo que sucederá con sus datos.

PRINCIPIO DE PUBLICIDAD

Para favorecer el conocimiento de la existencia de lostratamientos debe mantenerse un registro público deficheros, es decir, bases de datos en las que sealmacena información sobre las personas. Vid.Artículo39 LOPD.

Este principio de publicidad habría de redefinirse enel caso de las etiquetas RFID con datos personales.¿Será necesario crear un fichero de responsables detratamientos RFID?

PRINCIPIO DE DEFENSA DE DATOS SENSIBLES

Debe regularse de forma especial el tratamiento dedatos personales cuando se refieren a aspectos de laintimidad por su mayor riesgo. Véase en este sentido elartículo 7 LOPD.


34

RFID

Los sistemas RFID se están utilizando en implanteshumanos. Dichos tratamientos están siendo muycuestionados16.

PRINCIPIO DE SEGURIDAD

El artículo 17 de la Directiva 95/46/CE establece laobligación del responsable de los datos de llevar acabo medidas técnicas y organizativas necesarias paragarantizar la seguridad de los datos. La existencia enEspaña de un Reglamento de Protección de datos, queentró en vigor en abril de 2008, y que contiene undetalle amplio de las medidas de seguridad exigibles enfunción del tipo de datos que se utilicen, es un buenpunto de partida. Sin embargo, habría que estudiar enprofundidad si dichas medidas resultan suficientes parala tecnología RFID.

Existe un documento elaborado por la Center forDemocracy and Technology (CDT) y varias empresasimportantes del sector RFID17 en el que se alude a lascuestiones de seguridad, que junto a las de privacidadhan de ser tenidas en cuenta en el momento de diseño delas tecnologías, y no a posteriori. Esta parece unabuena línea de trabajo.

16

? Fabienne NSANZE “ICT implants in the human body : a review”, p. 59. 21 December 2004The ethical aspects of ICT implants in the human body. Proceedings of the Roundtable DebateAmsterdam, 21 December 2004. Secretariat of the EGE(European Group on Ethics in Science and New Technologies to the European Commission) [on line) Available: http://ec.europa.eu/european_group_ethics/publications/docs/tb21dec_ict_en.pdfTal y como expone esta autora, algunas de las aplicaciones del RFID enel área de salud están relacionadas con los implantes humanos, por ahora voluntarios, en los que se recogen historiales médicos (tipo de sangre, alergias), información personal referente a la identidad de las personas, etc.

17 CDT Working Group on RFID: Privacy Best Practices for Deployment of RFID Technology. Interim Draft. May, 2006.


35

http://ec.europa.eu/european_group_ethics/publications/docs/tb21dec_ict_en.pdf

http://ec.europa.eu/european_group_ethics/publications/docs/tb21dec_ict_en.pdf

RFID

Sin embargo, en el mismo documento aparecen otrasexpresiones amplias y vagas como las siguientes: “lasempresas deberán hacer un esfuerzo razonable yapropiado para diseñar tecnologías RFID seguras”. Senecesitan, sin duda, compromisos mucho más concretos,en línea con lo que propone la Comisión de Libertades eInformática en España18: que la información que sealmacene en un RFID sea codificada para permitir que elportador evite accesos no consentidos; que siempre quesea técnicamente posible se proceda a la disociación delos datos, siendo una clave lo que se almacene en losRFID; que el portador de un RFID conozca en todomomento cuándo está activado y cómo desactivarlo; quela generalización del uso en determinados sectores comola distribución se haga a través de dispositivospasivos, que sólo emitan la información almacenada perono recojan nueva.

Existe una necesidad de un estándar técnico común enEuropa para asegurar que los sistemas RFID trabajancoordinados. Estándares adecuados son cruciales parauna introducción exitosa de esta tecnología. Losorganismos que hasta ahora han sido los responsables deestablecer estándares tecnológicos en Europa (CEPT,ETSI, CEN, ISO) son quienes están en mejorescondiciones para asumir el mismo liderazgo ahora. Elresto de los obstáculos tendrían que solucionarse conacuerdos sectoriales dentro de la industria.

Como principales medidas de seguridad debieran tenerseen cuenta, al menos, la posibilidad de desactivar lasetiquetas después de la compra y la existencia deetiquetas que informen de que el sistema RFID estásiendo utilizado. Finalmente, nunca debe dejarse estetema de la seguridad, ni ningún otro relacionado con laprivacidad, al libre pacto entre vendedor y comprador,usuario y suministrador. En el libre mercado, ambaspartes no están en igualdad de condiciones, y habrá que

18 Comentarios al documento de trabajo sobre protección de datos de carácter personal en relación con la tecnología RFID de 19 de enero de 2005(WP 105). On line: <http://ec.europa.eu/justice_home/fsj/privacy/docs/rfid/cflcs_es.pdf >[31 octubre 2008]


36

http://ec.europa.eu/justice_home/fsj/privacy/docs/rfid/cflcs_es.pdf%20

RFID

priorizar la protección de datos personales comoderecho fundamental por encima de cualquier otraconsideración, como puede ser el interés comercial.

7. Sujetos de la protección de datos

El titular de los datos es la persona física cuyosdatos son objeto de tratamiento.

Hasta este momento, se han llevado a cabo algunosestudios para analizar cómo percibe el titular de losdatos los posibles riesgos del RFID.

La Unión Europea ha llevado a cabo una consulta públicay ha publicado los resultados en un documento: “Laseguridad, la protección de datos y la privacidad enlos sistemas RFID”. Una de las conclusiones fue lanecesidad de una mayor campaña de información para dara conocer a los ciudadanos el potencial de los sistemasRFID, tanto positivos como negativos.

Empresas del sector también han publicado estudios,como el de ID Track. Estado actual de la RFID en España. 2007,p19. Una de las conclusiones que se señalan es que lasprincipales limitaciones son los elevados costes deinversión y de operación. Resulta extraño que no secite la privacidad como una limitación.

Algunos autores también han publicado sus estudios.Roussos and Moussouri19 concluyen que, sin dotar a losconsumidores de cierto grado de control sobre elsistema, no se persuadirán de utilizarlo.

19 “La percepción de los consumidores en torno a la privacidad, la seguridad y la confianza en el comercio ubicuo”. Computación Ubicua, vol. 8, pp.416-429, 2004. Citado por RENEGAR y MICHAEL, “The RFID Value Proposition”, congreso Collecter Iberoamérica, Madrid, 2008.Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

37

RFID

El responsable es la persona física o jurídica querecoge datos de carácter personal y que decide sobre lafinalidad, contenido y uso de esos datos.Está obligado a velar por la veracidad y autenticidadde los datos, garantizar su seguridad y notransmitirlos a otra persona física o jurídica sinautorización.El Responsable en España debe notificar a la AgenciaEspañola de Protección de Datos (AEPD) la existencia decada uno de sus Ficheros . Además, deberá crear unDocumento de Seguridad . Uno de los asuntos que más dificultad ocasionan es elde determinar quién es el responsable en caso deutilización de RFID. La eficacia de los marcosreguladores de la privacidad reside en gran medida enla capacidad de asignar responsabilidad a una entidaddel hecho de cumplir con las reglas de protección dedatos y estar accesible al ejercicio de derechos yreclamaciones. La noción de responsable del fichero sedefinió con esto en mente y en particular, para evitarresponsabilidad de entidades e individuos quetrabajasen para otros. Es por ello de gran importanciaaclarar quién es el responsable en el caso del RFID20.

Tal y como dispone la Directiva 95/46 en su artículo 2,d): el responsable del tratamiento es “la personafísica o jurídica, autoridad pública, servicio ocualquier otro organismo que sólo o conjuntamente conotros determine los fines y los medios del tratamientode datos personales”. El hecho de que el dato delRFID se refiera a una persona física identificada oidentificable depende del contexto: en el caso de unnúmero de identificación de una medicina, no puededecirse que sea un dato personal. Sin embargo, seconvertirá en dato personal en el momento de surecogida con el propósito de asociarlo con otrainformación que esté relacionada con una persona físicaidentificada o identificable.

20

? OECD, Directorate for Science, Technology an industry. Radio Frequency Identification (RFID): A focus on information security and privacy. 2008, p. 43. On line: <www.oecd.org/sti/security-privacy> [25 octubre 2008]Tabla: extraída del documento: Guía de Seguridad, disponibleon line: www.agpd.es

38

http://www.oecd.org/sti/security-privacy%3E%20

RFID

Como resultado de todo ello, cuando alguien lee unaetiqueta RFID y asocia el dato con un individuo quelleva la etiqueta, entonces puede entenderse que esapersona es responsable del fichero, por lo que tendrátodas las responsabilidades derivadas de las normas deprotección de datos. Pero cuando alguien provee a unindividuo de una etiqueta activada pero no recoge nialmacena datos asociados con ese individuo, entonces nopude entenderse que sea responsable ni que tenganinguna responsabilidad legal. Y ello, a pesar de quese dejaría abierta la posibilidad de que un tercerohiciese seguimiento de la persona o elaborase un perfilde forma ilegal. En este caso, habría que determinarsi esta parte que provee de una etiqueta tiene laobligación de informar de ello al titular de losdatos.

El Comisionario de Privacidad de Ontario ha establecidoque “las organizaciones que tienen el mayor contacto yla primera relación con el individuo deberían tener lamayor responsabilidad en cuanto a asegurar laprivacidad y la seguridad”.

El encargado del tratamiento es la persona que tratalos datos por cuenta del responsable (por ejemplo, unaempresa a la que se le subcontrata un tratamiento dedatos). Al igual que sucede con los tratamientos dedatos personales llevados a cabo hasta ahora, el casode las subcontratas utilizando RFID complica aún más lacadena de responsabilidades por las infracciones.

8. ¿Es suficiente la regulación existente para solucionarlos problemas que surgen de la utilización del RFID?

Este es uno de los temas que hay que resolver paragarantizar óptimamente el derecho a la protección dedatos. Ninguna autoridad se ha pronunciado, pero existeuna preocupación evidente, tal y como demuestran losdocumentos de la Unión Europea. Tal y como se establece


39

RFID

en la Opinión 4/200721 del grupo del artículo 29, “Elgrupo de trabajo del artículo 29 intenta aplicar lodispuesto en esta opinión donde resulte apropiado ytenerla en cuenta en su trabajo futuro,particularmente cuando se traten tópicos como lagestión de la identidad en el contexto del gobierno ysalud electrónicos, así como en el caso del RFID. Enlo que se refiere a esto último, el grupo de trabajointenta contribuir a un análisis futuro acerca del modoen que las reglas de protección de datos podríanaplicarse al RFID y la posible necesidad de medidasadicionales que sería necesario aprobar para asegurarun respeto apropiado a los derechos e intereses deltitular de los datos”.

En el caso español, serían aplicables las siguientesdisposiciones de la Ley de Protección de datos, aunquecreemos que esta regulación es manifiestamenteinsuficiente para proteger al titular de los riesgosque introduce la tecnología RFID:

El Artículo 4 de LOPD 15/99 establece que ’’los datos decarácter personal objeto de tratamiento no podrán usarse parafinalidades incompatibles con aquellas para las que los datos hubieransido recogidos’’; de este modo, si una etiqueta RFID esinstalada en un producto para su trazabilidad en lacadena de desarrollo hasta su venta, no cabe quealguien recoja esos datos una vez vendido el producto.Un ejemplo sería el de las empresas de estudios demercado. En el mismo artículo se dispone: “se prohíbe larecogida de datos por medios fraudulentos, desleales o ilícitos’’; seconstata la ilegalidad de lecturas no deseadas niconocidas por el titular de los datos.

El Articulo 5 indica que ’’los interesados a los que se les solicitendatos personales deberán ser previamente informados de modo expreso,

21

? ARTICLE 29 DATA PROTECTION WORKING PARTYWP 136. Opinion 4/2007 on the concept of personal data. 01248/07/EN Adopted on 20th June. On line: <ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf [28 octubre 2008]


40

RFID

preciso e inequívoco’’; en este sentido, o bien se les tieneque indicar que su producto tiene una etiqueta RFID obien se tienen que neutralizar cuando salgan de latienda.

El Artículo 6 exige el consentimiento del afectadopara leer sus datos: “el tratamiento de los datos de carácterpersonal requerirá el consentimiento inequívoco del afecto, salvo que laley disponga otra cosa’’; de esta forma, cuando alguien leeuna etiqueta RFID de un producto que ya ha salido de latienda sin el consentimiento del afectado, estaríacontraviniendo la ley.

El Artículo 7 de la LOPD recoge los datosespecialmente protegidos, llamados sensibles. Seríanlos relativos a ideología, religión, afiliaciónsindical, creencias, origen racial, salud o vidasexual. El uso de la tecnología en los centroshospitalarios para seguir el tratamiento de lospacientes puede provocar que alguien ajeno al centrohospitalario o centro de salud recoja estos datos.También se puede recoger datos especialmente protegidosleyendo un pasaporte, ya que aportaría datos de origenracial.

En el Artículo 9 relativo a la seguridad de los datosse dispone que “el responsable del fichero, y en su caso, el encargadodel tratamiento, deberán adoptar las medidas de índole técnica yorganizativas necesarias que garanticen la seguridad de los datos decarácter personal y eviten su alteración perdida, tratamiento o acceso noautorizado’’; así, por ejemplo, al comprar en unsupermercado, los productos quedan almacenados comotales, pero al pagar con tarjeta de crédito se puedenasociar esos productos al titular. Por ello, deberáprotegerse el fichero donde se recojan estos datospara que no puedan ser alterados, perdidos, tratadosmalintencionadamente o accedidos por personas noautorizadas.

También se ha de tener en cuenta el artículo 10referente al deber de secreto de los datos recogidos.Esta obligación afectará especialmente a los


41

RFID

profesionales de la salud en contacto con pacientes alos que se les implanten sistemas RFID.

El Artículo 11 establece que ’’los datos de carácter personalobjeto del tratamiento solo podrán ser comunicados a un tercero para elcumplimiento de fines directamente relacionados con las funcioneslegitimas del cedente y el cesionario con el previo consentimiento de losinteresados’; de esta forma, si se recogen datos para hacerun cierto estudio de mercado, y posteriormente se cedena otra empresa para hacer otro estudio diferente, seestaría incumpliendo este artículo. Igualmente en elcaso de transmisión a un tercero con ánimo de lucro.

El Artículo 12 de LOPD recoge una obligación delencargado del tratamiento: ’’Una vez cumplida la prestacióncontractual, los datos de carácter personal deberán ser destruidos odevueltos al responsable del tratamiento, al igual que cualquier soporte odocumentos en el que conste algún dato de carácter personal objeto deltratamiento’’; de esto se deduce la obligación de destruirla etiqueta RFID una vez cumplido el encargo.

Existen aún varios asuntos pendientes de resolver anivel europeo:

- Concepto de dato personal:

En la opinión del grupo de trabajo del artículo 29 yamencionada, se recogen algunos elementos quenecesariamente ha de tener un dato personal:

El primer componente - «toda información» - sugiere unainterpretación lata delconcepto, independientemente de la naturaleza o delcontenido de la información ydel soporte técnico en el que se presente. Estosignifica que tanto la informaciónobjetiva como la subjetiva sobre una persona,cualquiera que sea su amplitud, y con independencia delsoporte técnico que la contenga, puede considerarsecomo «datos personales».


42

RFID

El segundo componente - «sobre» - no ha suscitado hastaahora mucho interés, pero es crucial en ladeterminación del alcance sustantivo del concepto,especialmente en relación con objetos y nuevastecnologías. El dictamen proporciona tres elementosalternativos - «contenido», «finalidad» o «resultado» -para determinar si la información versa «sobre» unapersona física. Este componente abarca asimismo lainformación que puede tener claras repercusiones sobrela manera en que se trata o se valora a una persona.

El tercer componente - «identificada o identificable» -se centra en las condiciones que deben darse parapoder considerar a una persona como «identificable», yespecialmente en «los medios que puedan serrazonablemente utilizados» por el responsable deltratamiento o por cualquier otra persona paraidentificar a dicha persona. El contexto y lascircunstancias particulares de cada caso concretotienen un papel importante en este análisis.

El cuarto componente - «persona física» – se centra enel requisito de que los «datos personales» se refierana «seres vivos».

Por último, el dictamen se ocupa de lo que sucede silos datos no encajan en la definición de «datospersonales». Para tratar de solucionar los posiblesproblemas que suscitan estos casos existen diferentesvías, incluido el recurso a la legislación nacionalfuera del ámbito de aplicación de la Directiva, siempreque ninguna otra norma de Derecho comunitario se opongaa ello. - Posible aplicación del artículo 9 de la directiva2002/58/EC

Este artículo se refiere a los datos de localizacióndistintos de los datos de tráfico (datos que podríanextraerse con facilidad utilizando RFID). Tal y comoexpone este artículo, “en caso de que puedan tratarsedatos de localización, distintos de los datos de


43

RFID

tráfico, relativos a los usuarios o abonados de redespúblicas de comunicaciones o de servicios decomunicaciones electrónicas disponibles al público,sólo podrán tratarse estos datos si se hacen anónimos,o previo consentimiento de los usuarios o abonados, enla medida y por el tiempo necesarios para la prestaciónde un servicio con valor añadido”. La cuestión pendiente de resolución es la siguiente:¿es necesario consentimiento o transformar los datos enanónimos para tratar datos procedentes de RFID encualquier caso? ¿No podríamos excluir el supuestoteniendo en cuenta que la directiva se refiere a redespúblicas de comunicaciones o servicios decomunicaciones electrónicas disponibles al público?

- Concepto de responsable

Las dificultades en este punto ya se han señalado conanterioridad en el apartado de los sujetos.

- La seguridad

No queda claro, como se ha dicho también, qué medidasde seguridad garantizarían la confidencialidad de lostratamientos llevados a cabo con RFID.

- Qué información ha de facilitarse a los titulares

Este punto es importante, y sí parece claro que lainformación debe ser más amplia de lo que disponen lasdirectivas y normas de protección de datos personales.

9. Conclusiones

La tecnología RFID se presenta a menudo como una granrevolución. Indudablemente, los beneficios de su uso


44

RFID

son muchos, pero también los riesgos. Por este motivo,es importante que algunos temas se aborden de formainterrelacionada: difusión, estándares, costes,privacidad, seguridad.

En el caso de la privacidad, un enfoque de “privacidaden el diseño” puede ser más eficiente en el largoplazo. De esta forma, la privacidad no se considerará aposteriori, sino en el momento de desarrollo de latecnología. Hay que recordar que la privacidad es underecho humano, y como tal, no puede hacerse dependerde otros intereses –en especial, los de caráctercomercial.

Muy relacionadas con lo anterior están las asesorías deimpacto en la privacidad (privacy impact assessment), que sellevan a cabo en el momento del diseño, permitiendoidentificar los riesgos e implementar las mejoresestrategias para mitigarlos. Es importante señalar queesta tarea ha de llevarse a cabo durante todo el ciclode vida de la etiqueta, para prevenir posibles riesgosque conlleve la utilización del RFID.

En la legislación actual, y especialmente en el ámbitode la Unión Europea, existe una regulación bienestructurada en torno a la protección de datos. En estesentido, las Privacy Guidelines de la OCDE, la comunicaciónde la Comisión Europea de 2007 y las Directivas deProtección de datos ofrecen un marco en el que ha dedesarrollarse la tecnología RFID para ser compatiblecon la privacidad de las personas. Sin embargo, algunosasuntos están pendientes de resolver, tal y como se hamencionado anteriormente: a) el concepto de datopersonal y de responsable del fichero; b) la naturalezade la información que habrá que facilitar a lostitulares de datos para asegurar la transparencia; c)los casos en los que el consentimiento puedeexceptuarse; d) la posible aplicación del artículo 9 dela Directiva 2002/58/EC, entre otros. Un argumento posible es el de la “irreversibilidad” ovelocidad de la tecnología. Es cierto que las


45

RFID

tecnologías RFID evolucionan con gran rapidez. Seránecesario estar atentos para detectar nuevastendencias. Por este motivo, las regulaciones debieranser suficientemente amplias como para prever futurosusos.

Debemos concluir que el uso del RFID debe ser social ypolíticamente aceptable, éticamente admisible yjurídicamente razonable. Y además, para que fueraacorde con los principios de protección de datosdebería integrar un dispositivo que apague el sistemaRFID; un sistema de visualización para saber si un chipesta activado o no; desarrollar medidas de seguridadque se implanten en el mismo diseño, y no a posterioriy desarrollar con claridad las obligaciones delresponsable del fichero de datos personales


46

RFID

BIBLIOGRAFÍA

Agencia de Protección de Datos. Memorias 1994-2007.Madrid.

APARICIO SOLÓN, J.: Estudio sobre la Ley Orgánica de Protección deDatos. Ed. Aranzadi, Navarra, 2002.

ARTICLE 29 Data Protection Working Party. 10107/05/ENWP105

BARRIUSO, C. La contratación electrónica. Dykinson, Madrid,1998.

BIELSA, A. ALTAMARK, R. Informática y Derecho. Aportes de DerechoInternacional. Depalma, Buenos Aires, 1991.CAMPUZANO TOMÉ, Herminia. Vida privada y datos personales. Ed.Tecnos, 2000.

CDT Working Group on RFID: Privacy Best Practices for Deployment of RFIDTechnology. Interim Draft. May, 2006. CÍRCULO DE INNOVACIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN YLAS COMUNICACIONES TECNOLOGÍAS. RFID: APLICACIONES EN ELÁMBITO DE LA SALUD. INFORME ELABORADO POR EL CENTRO DEDIFUSIÓN DE TECNOLOGÍAS (CEDITEC) UNIVERSIDADPOLITÉCNICA DE MADRID. Autores: Javier I. Portillo (CEDITEC – UPM)Ana Belén Bermejo (CITIC – UPM) Ana Bernardos (CEDITEC – UPM) Con lacolaboración de: José R. Casar (CEDITEC – UPM) Iván Martínez (CITIC-UPM) Fecha:Diciembre - 2007

Comentarios a la Ley de Protección de Datos. Ed.CIVITAS. Madrid, 2004.

COMISIÓN DE LAS COMUNIDADES EUROPEAS. Bruselas,15.3.2007. COM(2007) 96 final. COMUNICACIÓN DE LACOMISIÓN AL CONSEJO, AL PARLAMENTO EUROPEO, AL COMITÉECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONESLa identificación por radiofrecuencia (RFID) en Europa: pasos hacia unmarco político {SEC(2007) 312}


47

RFID

COMISIÓN DE LIBERTADES E INFORMÁTICA (CLI). Comentarios aldocumento de trabajo sobre protección de datos de carácter personal enrelación con la tecnología RFID de 19 de enero de 2005 (wp 105).

CORRIPIO GIL-DELGADO, R. Regulación jurídica de los tratamientos dedatos personales realizados por el sector privado en Internet, PremioProtección de Datos Personales. Agencia de Protección deDatos, IV Edición, Madrid, 2000.

CORRIPIO GIL-DELGADO, R., FERNÁNDEZ ALLER, C."Protección de datos personales y telecomunicaciones:análisis de los conceptos básicos". Encuentros Informática yDerecho 1998, Ed. Aranzadi, Universidad PontificiaComillas, Madrid .

DAVARA RODRÍGUEZ, M.A. Manual de Derecho Informático. Ed.Aranzadi, Pamplona, 2008.DEL PESO NAVARRO, E. Confidencialidad y Seguridad de laInformación. Madrid, Díaz de Santos,1994.

Dictamen del Comité Económico y Social Europeo sobre eltema «Identificación por radiofrecuencia (RFID)»(2007/C256/13)

Factbook protección de datos personales. Thomson Aranzadi. EcijaAbogados. Navarra, 2003.

FREIXAS GUTIÉRREZ, G. La protección de datos de carácter personalen el derecho español. Ed. Bosch, Barcelona, 2001.

GARCÍA-BERRÍO HERNÁNDEZ, T. Informática y Libertades. Laprotección de datos personales y su regulación en Francia y España.Colección Estudios de Derecho. Universidad de Murcia,2003.

GARFINKEL, JUELS, PAPPU: “RFID privacy, an overview ofproblems and proponed solutions”. IEEE Security &PrivacyMagazine, vol. 3.

GARRIGA DOMÍNGUEZ, A. Tratamiento de datos personales y derechosfundamentales. Ed. Dykinson, Madrid, 2004.


48

RFID

GILS CARBÓ, Alejandra. Régimen Legal de las bases de datos yhábeas data. La Ley, Buenos Aires, Argentina, 2001.

GOZAÍNI, Osvaldo Alfredo. Hábeas data. Protección de datospersonales. Rubinzal-Culzoni Editores, Buenos Aires,Argentina, 2001.

GULLÓN BALLESTEROS y otros. Protección de datos de carácterpersonal. Legislación y Jurisprudencia. Ed. Práctica del Derecho,Madrid, 2001.

HEREDERO HIGUERAS, M. La Ley Orgánica 5/1992 de regulación deltratamiento automatizado de datos de carácter personal. Madrid, 1996.HERNANDO COLLAZOS, I. Derecho Informático. Legislación y Práctica,Librería Carmelo, San Sebastián, 1995.

HERRÁN ORTIZ, A.I. El derecho a la protección de datos personales enla sociedad de la información. Bilbao, Universidad de Deusto,2004.

Legal IST, Legal Issues for the advancement of information SocietyTechnologies. Proyecto europeo. Online: <http://www.ve-forum.org/apps/comm.asp?Q=381 >[15 octubre 2008]

LLANEZA GONZÁLEZ, P. Internet y comunicaciones digitales. Bosch,Barcelona, 2000.LUCAS MURILLO DE LA CUEVA, P. "La protección de losdatos personales ante el uso de la Informática en elDerecho español". Estudios de jurisprudencia COLEX, nº4, enero-febrero 1993.

LUCAS MURILLO DE LA CUEVA, P. Informática y protección de datospersonales. Estudio sobre la Ley Orgánica 5/1992, de regulación deltratamiento automatizado de los datos de carácter personal. CEC,Madrid, 1993.

LUCAS MURILLO DE LA CUEVA, P.. El derecho a la autodeterminacióninformativa. Tecnos, Madrid, 1990.

MESÍA DE LA CERDA BALLESTEROS, J.A. La cesión de datos decarácter personal. Ed. Thomson Civitas. Madrid, 2003.


49



RFID

OCDE. DIRECTORATE FOR SCIENCE, TECHNOLOGY AND INDUSTRY.COMMITTEE FOR INFORMATION, COMPUTER AND COMMUNICATIONSPOLICY RADIO-FREQUENCY IDENTIFICATION (RFID): DRIVERS, CHALLENGESAND PUBLIC POLICY CONSIDERATIONS, 27 febrero 2006.

OECD, Directorate for Science, Technology and Industry.Radio Frequency Identification (RFID): a focus on information security andprivacy. 15 junio 2008. www.oecd.org/sti/security-privacy

ORTI VALLEJO, A. Derecho a la intimidad e Informática. Comares,Granada, 1994.

PÉREZ LUÑO, A.E. Manual de Informática y Derecho. Ariel,Barcelona, 1996.

PICCINELLI, Óscar. El habeas data en Latinoamérica. Temis, SantaFe de Bogotá. Colombia, 1999.

PIERLINI-LORENCES TORNABENE. Hábeas data. Derecho a la intimidad.Editorial Universidad. Buenos Aires, Argentina. 1999.

Quirchmayr, Gerald; Wills, Christopher. Data protection andprivacy laws in the light of RFID and emerging technologies Germany.Editor(s): Lambrinoudakis C, Pernul G, Tjoa AM . BookSeries: LECTURE NOTES IN COMPUTER SCIENCE Volume:4657 Pages: 155-164 Published: 2007

Revista Aranzadi de Derecho y Nuevas Tecnologías. Laprotección de datos en la gestión de empresas. Thomson-Aranzadi,Navarra, 2004.

RUÍZ MIGUEL, C. La configuración constitucional del derecho a laintimidad. Tecnos, 1995.

SANTOS GARCÍA, Daniel. Nociones generales de la Ley de Protecciónde Datos de carácter personal. Ed. Tecnos, Madrid, 2005.

SMEDINGHOFf, T.J, Right to privacy. Vol On Line Law. Ed.Software Publishers Association, Massachussets, 1996.


50

RFID


51

Celia Fdez Aller RFID

Documents

Transcript of Celia Fdez Aller RFID