Aplicación del RGPD respecto a redes WIFI
El Nuevo Reglamento Europeo sobre Protección de Datos 679/2016 (RGPD), establece nuevas obligaciones para las empresas que pongan a disposición de sus clientes una Red Wifi gratuita o de pago. En la actualidad son muchas las empresas que han invertido en la instalación de estas redes para darles a sus clientes un servicio altamente demandado y un valor añadido al servicio que prestan.
Con la entrada en vigor del RGPD, dicha actividad se considera un tratamiento de datos personales, por lo que la normativa de protección de datos será exigible al titular de la red WIFI, quien deberá poner las medidas oportunas para el cumplimiento de la normativa.
A partir de ahora no será posible acceder a redes Wifi abiertas que no requieran la identificación previa del usuario; será necesario instalar un sistema de identificación (HotSpot) que les exija la aceptación de unas condiciones (Política de privacidad, aviso legal y condiciones de uso en su caso) antes de permitirles el acceso.
Un hotspot es un punto de acceso que ofrece conexión a Internet a través de una red inalámbrica y un enrutador, conectado a un proveedor de servicios de Internet. Debido a que la comunicación se establece mediante ondas, las posibilidades de que sea objeto de un ataque o que una persona ajena se apodere de la red son significativas, por lo que se impone la necesidad de que dicha conexión sea segura y cifrada.
Obligaciones con respecto a la normativa de protección de datos
Considerando que el reglamento es de aplicación, como hemos mencionado anteriormente, tendremos que cumplir los mismos requisitos y obligaciones establecidos para cualquier otro tratamiento de datos:
- Cumplir con los principios de transparencia del Artículo 5.1.a. del RGPD, y el derecho de información del artículo 13 RGPD (finalidades, legitimación, base jurídica del tratamiento, plazos de conservación, derechos del interesado, identificación del responsable y su dirección de contacto). Normalmente esta información se facilita a través de la página de acceso a la red WIFI (portal cautivo), mediante la política de privacidad incluida en las condiciones de uso de la red WIFI.
- Se deberá formalizar con los prestadores que accedan de forma directa o indirecta a los datos personales de los usuarios de la red WIFI, el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD.
Medidas de seguridad aplicables
Se deberán identificar y analizar los riesgos asociados al tratamiento de los datos personales, y por tanto para los derechos y libertades de los interesados. El análisis debe abarcar desde, la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, el lugar de almacenamiento de los datos, e incluso la elección de prestadores de servicio que tengan acceso de forma directa o indirecta. En definitiva se deberá crear un entorno de navegación seguro identificando y gestionando el registro de usuarios.
¿Puedo usar los datos de los usuarios WIFI para enviarles publicidad?
La finalidad de un punto de acceso Wifi es la de acceder a la red, y NO cualquier otra diferente a aquella.
Si se pretende utilizar los datos recabados a través de esta Wifi para otros fines, es obligatorio informar de dichas finalidades al usuario, y en el caso del envío de publicidad o comunicaciones comerciales, es imprescindible contar con el consentimiento del destinatario como así lo indica el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
El Responsable debe recabar tal consentimiento adecuadamente y ser capaz de demostrarlo en caso de ser necesario. El consentimiento para el envío de publicidad puede obtenerse en el momento de facilitar al usuario la clave de acceso a la red WIFI, o de una casilla de verificación en la página de acceso a la red WIFI. Eso sí, el consentimiento deberá ser expreso en todo momento, independientemente del método utilizado para lograrlo y se deberá informar sobre la posibilidad de retirarlo en cualquier momento así como del procedimiento para hacerlo.
