Acceso a la red WIFI y RGPD, una combinación explosiva que trae de cabeza a hoteles, restaurantes, bares, y todo tipo de negocio que da el acceso a su red WIFI de forma gratuita con la única intención de fidelizar y atraer clientes.
La puesta a disposición de clientes, empleados, o visitantes el acceso a una red WIFI conlleva una serie de responsabilidades legales para el establecimiento prestador del servicio. En particular es aplicable la normativa de protección de datos, ya que para facilitar el acceso a una red WIFI es necesario tratar datos de carácter personal de los usuarios.
Desde el pasado 25 de mayo es directamente aplicable el Reglamento UE 679/2016, General de Protección de Datos -en adelante RGPD– que establece una serie de obligaciones para los responsables y encargados del tratamiento de datos personales.
Por si hubiera duda, es recomendable que la red WIFI sea profesional que tenga hotspot con controlador, o un controlador más hotspot. No se deben usar conexiones wifi domésticas por razones de seguridad y de gestión, por ejemplo para limitar quién accede, por cuánto tiempo, capacidad de descarga, o incluso la zona geográfica de la prestación del servicio. El acceso a la red WIFI se debe gestionar de forma activa para evitar responsabilidades mayores en el ámbito de las telecomunicaciones o de responsabilidad penal de las personas jurídicas.
Preguntas frecuentes sobre WIFI y RGPD
Para facilitar el entendimiento hemos desarrollado este contenido en relación a las preguntas frecuentes que recibimos sobre esta materia. En orden de prioridad estas son las que más nos realizan sobre la puesta a disposición de una red wifi para clientes o visitantes de un determinado negocio:
1. ¿Me aplica la normativa de protección de datos si instalo una red WIFI para clientes, huéspedes o empleados?
Sí. Cuando se instala un sistema de red WIFI para empresas, negocios o pymes se incluye una serie de aparatos y componentes que recogen datos personales que bien identifican al usuario, o bien le pertenecen al mismo. Esta recogida y tratamiento hacen que la normativa de protección de datos sea exigible al titular de la red WIFI, quien deberá poner las garantías oportunas para proteger el derecho a protección de datos de los usuarios de su red.
2. ¿Qué obligaciones de la normativa de protección de datos me son aplicables cuando instalo una red WIFI?
Teniendo claro que si es de aplicación la normativa de protección de datos la pregunta siguiente es la más clara, pero ¿Y qué me toca hacer?, bueno, varias cosas, tantas como son necesarias para cualquier otro tratamiento de datos.
A modo de resumen, las obligaciones principales para cumplir el RGPD son las siguientes:
1. Identificar el tratamiento de datos y elaborar un registro del mismo
De conformidad con lo exigido en el artículo 30 del RGPD. Si bien el registro no es obligatorio en todos los casos ya que existen una serie de excepciones, es recomendable elaborarlo para poder identificar la capacidad de recogida, almacenamiento y gestión de datos del sistema, la tipología de datos recogidos, las conexiones con otros sistemas, los prestadores de servicio, así como las posibles cesiones de datos afectas.
2. Cumplir con el principio de transparencia
Establecido en el artículo 5.1.a. RGPD, y asociado directamente con el derecho de información del artículo 13 RGPD.
¿Cómo? Facilitando a los interesados toda aquella información relativa al tratamiento (finalidades, legitimación, plazos de conservación); la información del responsable y del encargado si fuera necesario, así como de los destinatarios, si los hubiera; también es necesario informar a los interesados sobre sus derechos, de los medios y cualquier otra información útil para su ejercicio.Normalmente esta información se facilita a través de la página de acceso a la red WIFI (portal cautivo), mediante la política de privacidad incluida en las condiciones de uso de la red WIFI.
3. Realizar un análisis de riesgos y poner las medidas de seguridad correspondientes
Se trata de una acción de identificación, evaluación y tratamiento de los riesgos asociados al tratamiento de los datos personales, y por tanto para los derechos y libertades de los interesados. El análisis de riesgos permite identificar aquellas medidas de seguridad necesarias para la protección de los datos personales y los derechos de sus titulares.
La evaluación debe abarcar tanto la parte técnica como la administrativa, desde la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, los plazos de realización de las copias de seguridad, el lugar de almacenamiento de los datos, o incluso la elección de prestadores de servicio que tengan acceso directo o indirecto a los datos.
4. Formalizar el contrato de encargo de tratamiento de datos con los prestadores de servicios
Con aquellos prestadores que accedan de forma directa o indirecta a los datos personales de los usuarios de la red WIFI. Es necesario identificar qué prestadores de servicio acceden a los datos personales y formalizar con ellos el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD.
En relación al sistema de red WIFI empresarial es habitual que exista una empresa de servicio de mantenimiento del sistema, almacenamiento de los datos, e incluso de control y revisión del tráfico de la red.
3. ¿Debo tener unas condiciones de uso de la red WIFI?
En principio no hay una norma que lo exija de forma literal. Es recomendable contar con ellas para facilitar de forma ordenada toda la información que estamos obligados a dar a los usuarios.
En las condiciones de uso también es posible incluir nuestras propias normas de uso del servicio; cualquier información obligatoria, e información general relacionada.
4. ¿Debo tener una política de privacidad asociada al uso del sistema WIFI?
Los sistemas de puesta a disposición del acceso a una red WIFI recaban datos personales de los usuarios, a los que es necesario facilitar toda la información asociada al tratamiento de sus datos y las acciones de defensa de su derecho de conformidad con el RGPD. La forma de facilitar esta información es a través de una cláusula informativa llamada habitualmente “Política de privacidad”.
El contenido mínimo de una política de privacidad es el exigido en el artículo 13 RGPD. Datos principales:
- a) La identidad y los datos de contacto del responsable.
- b) Los datos de contacto del delegado de protección de datos, si lo tuviera.
- c) Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- d) El plazo de conservación de los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- e) Los destinatarios o las categorías de destinatarios de los datos personales.
- f) En su caso, la intención del responsable de realizar una transferencia internacional de datos.
- g) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- h) El derecho a presentar una reclamación ante una autoridad de control.
- i) La existencia de decisiones automatizas, incluida la elaboración de perfiles; información básica exigida art. 13.
5. ¿Puedo usar los datos de los usuarios WIFI para mandarles publicidad?
La finalidad de un punto de acceso WIFI, es esa, ni más, ni menos. Si se quiere utilizar los datos para otros fines es obligatorio informar al usuario de ello; se debe facilitar toda la información asociada a dicha finalidad, conforme exige el artículo 13 RGPD.
Cuando la finalidad del tratamiento de datos es el envío de publicidad, la base jurídica del tratamiento suele ser de forma típica el consentimiento del interesado. El responsable debe recabarlo adecuadamente. En caso de que el envío de la publicidad se realice con la base jurídica del interés legítimo, será necesario realizar el juicio de ponderación e informar de todos los pormenores del mismo.
El consentimiento para el envío de publicidad puede obtenerse en el momento de facilitar el usuario la clave de acceso a la red WIFI, o de una casilla de verificación en la página de acceso a la red WIFI. Se debe informar sobre la posibilidad de retirar el consentimiento en cualquier momento.
6. ¿Durante cuánto tiempo tengo que almacenar los datos?
El tiempo del almacenamiento de los datos asociados a la puesta de disposición del acceso a una red WIFI establecido en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones NO aplica a las empresas que no están obligadas a registrarse en el Registro de Operadores de la CNMV.
¿Quiénes no están obligados al registro en la CNMV?
Los hoteles, cafeterías, bares, centros comerciales y otros que ofrezcan el servicio de acceso a red WIFI:
- Dentro de sus instalaciones
- Solo para sus clientes y visitantes
- De forma gratuita y accesoria a su actividad principal
Para estas empresas o negocios el tiempo de conservación de los datos será el que les corresponda como resultado al juicio de ponderación sobre el tratamiento realizado, los fines, y los derechos y libertades de los interesados.
El plazo de un año es solo exigible a las empresas obligadas a realizar el registro ante la CNMV.
Conclusiones
Al prestar el servicio de acceso a una red WIFI, se recogen y tratan datos personales que en muchas ocasiones se usan con fines de marketing y publicidad; Es necesario dar cumplimiento a la normativa de protección de datos sin dilación.
Es importante realizar una evaluación sobre el cumplimiento del Reglamento General de Protección de Datos; a partir de ahí, establecer todas las medidas de seguridad, técnicas, administrativas y de gestión, necesarias para garantizar el derecho a la protección de datos de los interesados.
cookies
acceso
Hola! En mi empresa los trabajadores utilizan el wifi de la misma. Eso debe ser gestionado también o no?
Gracias
Buenas tardes, Ana.
Si se realiza un seguimiento del tráfico de la red, debe informarse de dicha medida y del tiempo de retención de los datos. Según el tamaño de la empresa puede que esta medida de control y seguimiento se realice o no.
Esperamos haber sido de ayuda.
Buenas tardes, en mi restaurante tenemos contratado un servicio de wifi para clientes con un proveedor que, una vez los clientes registran sus datos, dispone de una herramienta de fidelización que envía newsleters y promos a los clientes relativas a nuestra actividad. ¿En el formulario de registro debería aparecer un checkbox de aceptación de política de privacidad y otro de aceptación de envío de newsletters (teniendo en cuenta que los emailings salen desde un correo electronico del proveedor pero en nombre de mi restaurante)? ¿Es necesario que firmemos con el proveedor un contrato en el que se especifiquen las clausulas de uso de lo datos?
Buenos días. Lo has entendido perfectamente. Si vas a utilizar los datos con fines de marketing, ha de ser necesario solicitar el consentimiento previo de los interesados. Sin ese consentimiento no puedes remitir publicidad. Por otro lado, si la empresa que gestiona el servicio gestiona esos datos, y los usa para remitir en vuestro nombre, publicidad a los clientes, se debe formalizar el correspondiente contrato de encargo de tratamiento de datos (Aquí hablamos de lo que es, y lo que debe contener https://dataseg.es/proteccion-de-datos/el-contrato-de-proteccion-de-datos-rgpd-lopd/). Gracias por escribirnos.
Buenas tardes, en el caso de administraciones públicas que ofrecen servicios de acceso a Internet en el interior de sus recinto a los usuarios que los visitan, ¿quién debería hacerse cargo de gestionar los datos de registro de usuarios? ¿El operador que provea los servicios de acceso a internet o el organismo que dote de infraestructura WiFi sus recintos?
Gracias.
Buenas tardes,
El responsable siempre es el que decide sobre el tratamiento, en este caso es la AAPP en cuestión (decide prestar el servicio, decide contratar una empresa que lo instale y lo mantenga). La gestión de los datos puede ser realizada por el responsable o por un encargado de tratamiento. Lo importante aquí es la definición de las responsabilidades de parte y parte y la formalización del acuerdo de prestación de servicios conforme el artículo 28 RGPD, más la información a los usuarios que debe facilitar el Responsable.
Esperamos haber sido de ayuda.
Muchas gracias por su respuesta. En cuanto al registro de datos, ¿podrían indicarme qué datos de los usuarios son de obligatorio almacenaje?
Gracias de antemano,
Agradecería que me pudieran aclarar también lo siguiente: ¿quién debe facilitar el SAU (Servicio de Atención al Usuario)? Debe ser el operador que provea los servicios de acceso a internet o el organismo que dote de la infraestructura Wifi?
Gracias de nuevo,
María, depende de cada organización. Como el caso anterior, será cuestión de que lo decidáis en función de quién es el responsable, sus encargados de tratamiento, y las capacidades de gestión que tengan unos y otros. Saludos
Hola, María.
Según la normativa vigente aplicable, y lo que nos comentas sobre tu caso, es posible que no debáis almacenar (de forma obligatoria) ningún tipo de información. Aún así, y para tu información, los hotspot de los sistemas de red wifi almacenan información más que sobre el usuario, sobre el dispositivo que este utiliza. En algunos casos es imposible limitar que determinados datos se almacenen, y en otros se busca acceder a más información. Deberías comentar con el departamento técnico que gestiona vuestro sistema para saber qué datos recoges, y con otros departamentos, para saber qué,cómo y durante cuánto deberíais almacenarlos.
(perdón por el retraso, nos despistamos unos meses…. :))
Hola.
Acabo de instalar un sistema de WiFi controlado por un HotSpot para los usuarios de un edificio perteneciente al Cabildo de la isla en la que resido. En este sistema, los unicos datos que se almacenan son la dirección MAC del dispositivo y la IP que se le asigna (durante 7 días). El portal solo tiene un botón que dice «Acceder Como Invitado» y un par de normas (no ver porno, actividades delictivas, etc.), pero no se recoge ningún dato personal del usuario ni hace falta registrarse.
¿Es correcta esta práctica?¿Es obligatorio implementar un sistema de registro de usuarios?
No usaremos esos datos para nada más que para conceder el acceso a internet. No estamos obligados a darnos de alta como operadores.
Un saludo, espero vuestra respuesta.
Es esta una práctica correcta?
Hola, E.
Perdona el retraso en contestar. Pues mira, dados los datos que nos das, no es obligatorio tener un registro de usuarios. Eso sí, habrá que limitar el alcance de la estructura y el servicio para evitar que podáis ser considerados operadores por dar servicio a terceros. Entre menos datos tratéis, mejor. En todo caso siempre es bueno tener unaa política de uso, y sobre todo limitar el uso de metadatos y otros datos recogidos en hotspot.
Gracias por escribirnos.