Debes saber que si ofreces WIFI gratis, también te afecta la normativa de Protección de Datos. Y debes adaptarte a la misma.
Aquí te cuento cómo.
¿Como me adapto al RGPD?
El 25 de mayo del 2018 comenzó a aplicarse de forma efectiva, el Reglamento Europeo de Protección de Datos (RGPD). A partir de esa fecha ya no pueden existir redes WiFi abiertas.
Según el RGPD, toda red WiFi deberá tener un sistema de identificación, y los usuarios que se identifiquen en ella, deberán aceptar las condiciones de uso, cumpliendo el proveedor (el negocio) con el RGPD.
La puesta a disposición de clientes, empleados o visitantes el acceso a una red WIFI conlleva una serie de responsabilidades legales para el establecimiento prestador del servicio.
En particular es aplicable la normativa de protección de datos, ya que para facilitar el acceso a una red WIFI es necesario tratar datos de carácter personal de los usuarios.
Obligaciones en materia de Protección de Datos
Teniendo claro que si es de aplicación la normativa de protección de datos la pregunta siguiente es la más clara.
¿Qué tengo que hacer?
Bueno, varias cosas, tantas como son necesarias para cualquier otro tratamiento de datos.
A modo de resumen, las obligaciones principales para cumplir el RGPD son las siguientes:
1. Identificar el tratamiento de datos y elaborar un registro del mismo
Según lo exigido en el artículo 30 del RGPD.
El registro no es obligatorio en todos los casos ya que existen una serie de excepciones.
Pero es recomendable elaborarlo para poder identificar:
- la capacidad de recogida, almacenamiento y gestión de datos del sistema,
- la tipología de datos recogidos,
- las conexiones con otros sistemas,
- los prestadores de servicio, y
- las posibles cesiones de datos afectas.
2. Cumplir con el principio de transparencia
Establecido en el artículo 5.1.a. RGPD, y asociado directamente con el derecho de información del artículo 13 RGPD.
¿Cómo?
Facilitando a los interesados información sobre:
- El tratamiento (finalidades, legitimación, plazos de conservación)
- Responsable y encargado si fuera necesario, así como de los destinatarios, si los hubiera;
- Derechos de los usuarios, medios para ejercerlos y cualquier otra información útil para su ejercicio.
Normalmente esta información se facilita a través de la página de acceso a la red WIFI, mediante la política de privacidad incluida en las condiciones de uso de la red WIFI.
3. Realizar un análisis de riesgos y poner las medidas de seguridad correspondientes
Se trata de una acción de identificación, evaluación y tratamiento de los riesgos asociados al tratamiento de los datos personales, y por tanto para los derechos y libertades de los interesados.
El análisis de riesgos permite identificar aquellas medidas de seguridad necesarias para la protección de los datos personales y los derechos de sus titulares.
La evaluación debe abarcar tanto la parte técnica como la administrativa. Desde la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, los plazos de realización de las copias de seguridad, el lugar de almacenamiento de los datos, o incluso la elección de prestadores de servicio que tengan acceso directo o indirecto a los datos.
4. Formalizar el contrato de encargo de tratamiento de datos con los prestadores de servicios
Con aquellos prestadores que accedan de forma directa o indirecta a los datos personales de los usuarios de la red WIFI.
Es necesario identificar qué prestadores de servicio acceden a los datos personales y formalizar con ellos el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD.
En relación al sistema de red WIFI empresarial es habitual que exista una empresa de servicio de mantenimiento del sistema, almacenamiento de los datos, e incluso de control y revisión del tráfico de la red.
Controles y accesos
Tras la entrada en vigor del RGPD se exige la instalación de un sistema de identificación (HotSpot) que proponga aceptar las condiciones de acceso al usuario final, como marca el nuevo reglamento. Y a su vez gestione la seguridad del sistema.
HotSpot es un gestor de usuarios que permite al establecimiento recabar la información necesaria para cumplir con la ley y crear big data para su departamento de marketing en futuras campañas comerciales.
El RGPD obliga al responsable del tratamiento a informar a los usuarios de la red WIFI de cuestiones como:
- Identidad y datos de contacto del responsable del tratamiento.
- Finalidad para la que se destinan los datos, su categoría y base jurídica del tratamiento.
- Tiempo de conservación de los datos.
- Existencia del derecho de rectificación, oposición y anulación.
- Derecho de presentar reclamación.
Características del software de gestión
La solución para cumplir con los requisitos exigidos en el RGPD estaría en la instalación de un software de gestión de los servicios WIFI del establecimiento.
Ese software debe permitir la identificación de los usuarios, asociando a su cliente con su nombre y DNI. Y la identificación de los dispositivos través de una dirección MAC única, permitiendo exportar un informe de sesiones en caso de ser requerido.
El software utilizado debe tener las siguientes características:
- Recoger consentimiento del usuario sobre el tratamiento de sus datos y las condiciones de uso de la red WIFI, antes de permitir acceso.
- Instaurar un entorno de navegación seguro.
- Registrar y administrar a los usuarios.
- Notificar incidentes de seguridad en un plazo máximo de 72 horas.
- Anotar los datos de las conexiones.
¿Qué datos debo presentar en caso de que un usuario cometa un delito?
Debemos identificar a un usuario que ha cometido un delito en Internet a través de la red WIFI.
Para ello debemos presentar datos de conexión de la MAC concreta:
- Sesiones de conexión
- Páginas visitadas
- Tipo de dispositivo
- Sistema operativo del terminal
- Navegador utilizado
- Idioma
¿Puedo utilizar los datos de los usuarios para enviarles publicidad
Si quieres utilizar los datos para otros fines es obligatorio informar al usuario de ello. Y debes facilitar toda la información asociada a dicha finalidad, conforme exige el artículo 13 RGPD.
Cuando la finalidad del tratamiento de datos es el envío de publicidad, la base jurídica del tratamiento suele ser de forma típica el consentimiento del interesado.
El responsable debe solicitarlo adecuadamente.
En caso de que el envío de la publicidad se realice con la base jurídica del interés legítimo, será necesario realizar el juicio de ponderación e informar de todos los pormenores del mismo.
El consentimiento para el envío de publicidad puede obtenerse en el momento de facilitar al usuario la clave de acceso a la red WIFI, o de una casilla de verificación en la página de acceso a la red WIFI.
Debes informar sobre la posibilidad de retirar el consentimiento en cualquier momento.
Sanciones
Negocios como bares, restaurantes, hoteles o Centros Comerciales, han realizado importantes inversiones instalando redes WIFI para ofrecer un servicio muy demandado por sus clientes. Y ya sean pagando o gratuitas, estas redes deben adaptarse al RGPD.
En caso de incumplimiento puede imponerles una multa del 4% de la facturación general de la compañía, o hasta 600.000 €.
Al ofrecer wifi en tu negocio, te conviertes en un “prestador de servicio”, pero no es necesario inscribirse en el registro de operadores. Pero sí debes cumplir la ley general de telecomunicaciones como si lo fueras.
Como usuario de una red WIFI, ¿qué tengo que hacer?
Cuando vayas a usar una red WIFI pública debes tener en cuenta que al acceder tenga una política de privacidad donde te informe de cómo y para qué van a usar tus datos personales. Y unas condiciones de uso del servicio que debes leer.
Y te debe dar la opción a prestar tu consentimiento para que puedan tratar tus datos personales.
El RGPD exige la identificación del usuario para acceder a la red WIFI y que esta red sea segura y esté encriptada. Esto impide a otros usuarios de la misma red, captar información de los terminales conectados.
Por eso, es importante que verifiques si esa red WIFI es segura.
Una de las mejores formas para identificar la seguridad de una red WiFi es observar su nombre. Lo lógico es que reciba el nombre del establecimiento o lugar donde te encuentres.
Si tiene un nombre como Free WiFi, Internet Gratis o Red Gratis, seguramente sea fraudulento. En estos casos, se recomienda siempre preguntar al dueño o encargado del local.
Para finalizar, debes tener en cuenta que si eres un usuario que va a conectarse a una red WIFI pública, debes exigir que te informen claramente sobre cómo se va a gestionar tu información personal. Y te den la opción de dar tu consentimiento de forma expresa así como revocarlo posteriormente.
Y esto es todo lo que debes saber para cumplir el RGPD, si ofreces servicios WIFI. Y para proteger tus datos, si te conectas a una red WIFI.