Impacto de la nueva Regulación Europea sobre privacidad en RFID en las tiendas de retail

En los últimos días y semanas, la mitad de mis correos electrónicos percibidos tenían * GDPR * en la línea de asunto. ¿De dónde viene esa explosión y qué significa GDPR para las implementaciones de RFID en las tiendas minoristas? En resumen, hoy, 25 de mayo, entrará en vigor el nuevo Reglamento general de protección de datos (GDPR) y sustituirá a los actos de protección de datos anteriores en Europa. Ya vemos que esto podría cambiar ciertas reglas del juego para tratar con datos personales.

Es por eso que hoy, me gustaría echar un vistazo más de cerca a si y cómo esto puede afectar las implementaciones de RFID en el comercio minorista. Si bien el uso de RFID en las tiendas minoristas y en la cadena de suministro está principalmente orientado a aumentar la precisión de las existencias y mejorar los procesos logísticos, esto no excluye un elemento de privacidad para los consumidores que compran productos etiquetados con RFID.

La incertidumbre entre los minoristas es grande, ya que se pueden imponer multas enormes de hasta el dos por ciento de las ventas anuales consolidadas o de hasta diez millones de euros. Para violaciones graves, estas pueden duplicarse. Por lo tanto, es importante que las empresas minoristas que utilizan la tecnología RFID cumplan con esta regulación. Porque al mismo tiempo, ser obediente a GDPR también es una oportunidad para ganar confianza.

Aplicación del GDPR para RFID a nivel de artículo

Uno de los elementos centrales de la privacidad es la protección de los datos personales. El GDPR define que los datos personales son cualquier información relacionada con una “persona física identificada o identificable”. Sin embargo, los datos en la etiqueta RFID se relacionan con un identificador de producto serializado (que establece que es una cierta “camiseta azul en talla M” o “vestido rojo en talla XL”) que es única en todo el mundo, por lo que diga la tarjeta de identificación de un determinado producto.

No hay datos personales en la etiqueta RFID de un artículo al por menor, pero la identificación del artículo podría combinarse con datos personales

Entonces, ¿el número de serie (EPC) en los datos personales del chip RFID?  Bueno, eso depende. Mientras no esté relacionado con un solo individuo, no lo es. Por lo tanto, si el EPC se trata exclusivamente como un elemento de la cadena de suministro, no serán datos personales. Sin embargo, si se agrega un caso de uso donde se registran los datos del cliente, puede convertirse rápidamente en datos personales. Este es especialmente el caso cuando se trata de procesos de pago; no importa si se realiza a través del dispositivo privado de un cliente (el llamado“pago móvil”) o en el mostrador de caja donde un cliente usa una tarjeta de fidelidad o de pago con identificación personal. En esos casos, el EPC podría estar relacionado con datos personales, y se debe tener mucho más cuidado.

Necesidades para la agenda de implementación de privacidad en RFID en retail

El GDPR en sí mismo no está específicamente dirigido a los usos de RFID. Sin embargo, existe una recomendación europea existente “sobre la implementación de principios de privacidad y protección de datos en aplicaciones respaldadas por la identificación por radiofrecuencia” que se centra en RFID. Esta recomendación de 2009 se puede aplicar directamente, ya que brinda algunas ideas interesantes sobre cómo implementar RFID de una manera consciente de la privacidad.

1. Transparencia de uso

Básicamente, la recomendación para los minoristas es que sea lo más transparente posible para los clientes sobre la aplicación de RFID. Estas dos medidas se han demostrado como las mejores prácticas: 

  • Informar a los clientes de la presencia de etiquetas RFID. Esto se puede hacer fácilmente incluyendo el logotipo de RFID estandarizado ISO en un producto (por ejemplo, en el ticket de precio) y colocando el logotipo en el escaparate de la tienda.
  • Los clientes deberían poder eliminar o desactivar fácilmente la etiqueta RFID . Esto es bastante sencillo cuando la etiqueta RFID está en un ticket oscilante (que el cliente debe asumir con seguridad después de la compra), pero es más difícil cuando la etiqueta RFID está en una etiqueta de cuidado o está incrustada en el producto. En este último caso, tiene sentido ofrecer un servicio de “desactivación” a los clientes.

2. Privacidad por diseño técnico
Además, las características de privacidad y seguridad de la información deberían integrarse en las aplicaciones de RFID antes de su uso generalizado (principio de “seguridad y privacidad por diseño”). La industria de RFID en realidad está adoptando esto. Un ejemplo es la funcionalidad ‘imposible de rastrear’ que está presente en la versión más reciente del estándar de RFID. La característica ‘no rastreable’ ofrece la siguiente funcionalidad :

  • Reduce el rango de lectura de la etiqueta de largo alcance (2-5 metros) a solo corto alcance (pocos centímetros). Esto se puede hacer en el punto de venta y revertir a la vuelta.
  • Ocultar parte del EPC. Esto permite ocultar el número de serie, lo que hace que el EPC sea único. También tiene la capacidad de ocultar el identificador de producción no modificable de la etiqueta.

3. Evaluación de Impacto de Privacidad (PIA)
Se realizó un seguimiento de la recomendación de la UE con la evaluación de impacto de la privacidad RFID (PIA). Con esta evaluación, un retailer que está a punto de implementar la tecnología RFID puede evaluar el impacto de esa implementación en la privacidad de los consumidores y puede tomar medidas de precaución para minimizar el impacto.

La organización de estándares internacionales GS1 ha transformado esto en una herramienta basada en Excel que se puede encontrar en https://www.gs1.org/pia; otra herramienta fue creada por el Centro Nacional Francés de RFID (CNRFID) en http://rfid-pia-en16571.eu.

Conclusión

Existe un vínculo innegable entre GDPR y RFID ya que la tecnología tiene el potencial de vincular un artículo comprado específico a una persona individual. Sin embargo, los retailers no deben temer regulaciones excesivas o conflictos potenciales con los consumidores. La buena noticia es que los retailers pueden tomar medidas muy sencillas para cumplir con GDPR y asegurarse de que sus clientes no tengan que preocuparse por su trazabilidad a través de los artículos que hayan comprado.

Comenta, dale "like" o comparte en LinkedIn

Acerca del autor: Tom Vieweger

Copyright © 2017 Nedap - Technology that matters - All rights reserved | Disclaimer