Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Avv. Pier Paolo Muià – Martina Rodovero

Garante per la protezione dei dati personali: Parere sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” predisposto da AgID. Provvedimento n. 201 del 29 ottobre 2020

La proposta normativa dell’AgID

Il garante per la protezione dei dati personali è stato richiesto dall’AgID  di esprimere un parere sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free”, già sottoposto a consultazione pubblica, rubricato “Connettività alla rete Internet negli uffici e luoghi pubblici”, grazie al quale tutte le amministrazioni (le amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico) consentono ai cittadini di connettersi alla rete Internet presso tutti i luoghi pubblici, utilizzando, inoltre, quella porzione di banda trasmissiva non utilizzata dagli stessi uffici.

In particolare, il provvedimento in esame ha come scopo quello di creare un quadro di riferimento “normativo e tecnologico entro il quale armonizzare le iniziative in essere, con le strategie governative nazionali ed europee”, al quale dovranno poi attenersi tutte quelle amministrazioni che vorranno concedere ai cittadini servizi di access point, grazie ai quali, appunto, i cittadini potranno avere accesso a internet gratuitamente.

Le linee guida, inoltre, intendono anche enunciare i criteri di sicurezza che devono essere adottati, in termini di: configurazione della rete interna e modalità di trasporto sulla rete geografica; sicurezza delle comunicazioni; identificazione degli utenti del servizio; prevenzione di potenziali attacchi e monitoraggio del servizio.

Gli obblighi che le amministrazioni dovranno rispettare previsti dallo schema di linee guide sono principalmente due:

  • Garantire la segregazione degli Access point rispetto alla rete interna (o attraverso la segregazione fisica delle reti o tramite la creazione di più sottoreti);
  • dedicare al servizio Wi-Fi free la sola banda non utilizzata, al fine di non compromettere la disponibilità di banda per il funzionamento dei servizi propri dell’amministrazione.

In ultimo, è prevista la raccomandazione di identificare i soggetti che si collegano alla rete internet dalla Access point, al fine di:

  • poter rintracciare eventuali comportamenti malevoli da parte degli utenti;
  • valutare la possibilità di permettere ai turisti di potersi collegare agli Access point tramite le strutture alberghiere, al fine di potergli offrire il servizio.

 

Il parere del Garante

Dopo aver esaminato la proposta, l’Autorità garante ha deciso di apporvi delle modifiche e delle integrazioni, al fine renderlo conforme ai principi e alle garanzie in materia di protezione dei dati personali.

In primo luogo, il Garante, partendo dalle modalità di progettazione del servizio Wi-fi Free, ha sottolineato come sia necessario che le amministrazioni siano in grado di distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente stesso e anche di comprendere i rischi che il trattamento dei dati personali comporta a chi accede agli Access point.

Pertanto, è necessario nell’ambito del capitolo intitolato “freamwork normativo”, che vengano richiamati tutti gli obblighi che gravano in capo al titolare ai sensi dell’art. 25 del Regolamento.

Inoltre, per rendere effettiva la protezione dei dati personali degli utenti, il Garante ritiene che l’amministrazione pubblica, sin dall’eventuale bando di gara e in tutte le varie fasi del procedimento, è tenuta a rispettare i principi di liceità, correttezza e trasparenza del trattamento; limitazione della finalità e minimizzazione dei dati utilizzati; limitazione della conservazione; integrità e riservatezza dei dati, adottando misure tecniche ed organizzative per garantire un livello di sicurezza adeguato.

In secondo luogo, l’Autorità si occupa del trattamento dei dati personali degli utenti sia con riguardo alla loro identificazione e alla conservazione dei dati, sia alla predetta interoperabilità con le strutture alberghiere.

Per quanto riguarda il primo punto, il Garante effettua preliminarmente una distinzione tra gli obblighi che gravano in capo alle amministrazioni e quelli che, invece, gravano in capo ai fornitori di servizi elettronici. Infatti, solo per questi ultimi vi è l’obbligo di identificazione degli utenti e di conservazione dei dati di traffico telematico, secondo la normativa di riferimento.

Per tale motivo, posto che sulle amministrazioni non grava questo obbligo, né tantomeno queste ultime sono legittimate a farlo, la scelta di identificare gli utenti che accedono agli Access point deve essere ben ponderata. Nel caso in esame, la proposta di utilizzo dei dati personali al fine di rilevare qualche azione malevola commessa dagli utenti tramite la rete internet delle strutture pubbliche non sembra rispettare i principi di proporzionalità e minimizzazione.

Il Garante, pertanto, ritiene necessario individuare delle regole più stringenti, con particolare riferimento alla fase di identificazione degli utenti e alla conservazione dei dati, seguendo i principi enunciati dall’art. 5 del Regolamento. Pertanto, il Garante ritiene che lo schema esaminato dovrà essere integrato con:

  • l’individuazione dei dati personali degli utenti da raccogliere e conservare nel rispetto del principio di minimizzazione;
  • la minimizzazione dei dati di cui è consentita la conservazione al solo fine di individuare, a posteriori, i responsabili di eventuali condotte illecite, senza effettuare tracciamenti, non necessari, relativi al traffico telematico riferito agli utenti;
  • le modalità che, eventualmente, si intendono utilizzare per impedire l’accesso a determinate tipologie di siti o servizi in rete, evitando sempre di conservare i tracciamenti non necessari del traffico telematico;
  • la previsione di un tempo massimo di conservazione dei dati, in modo tale da rispettare il principio di limitazione alla conservazione;
  • la individuazione delle misure adottate per assicurare il rispetto del principio di trasparenza nei confronti degli interessati, con l’indicazione puntuale della finalità perseguita, delle tipologie di dati oggetto di trattamento e dei tempi di conservazione dei dati.

 

Per quanto riguarda il secondo punto, ovvero l’identificazione dei “turisti”, il Garante si è raccomandato che vengano specificati i diversi ruoli assunti dall’amministrazione e dagli alberghi nell’erogazione del servizio e le misure di sicurezza a garanzia degli interessati. Inoltre, si prevede che il turista debba poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera e che i dati degli utenti non vengano direttamente comunicati alle amministrazioni da parte delle strutture alberghiere aderenti all’iniziativa.

In terzo e ultimo luogo, il Garante ha ritenuto opportuno integrare lo schema con indicazioni più puntuali sui livelli di sicurezza della linea Wi-fi, affinché i trattamenti dei dati vengano posti in essere in modo conforme alle garanzie previste in materia di protezione dei dati personali e affinché si scongiuri il rischio che possa avvenire divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Nell’applicazione delle misure di sicurezza, peraltro, secondo il Garante è necessario che si tengano in considerazione i rischi che concretamente possano derivare e che si adottino, dunque, le misure di sicurezza più confacenti alla situazione concreta, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 Regolamento); è per questo, quindi, che il generale richiamo alle misure “minime di sicurezza” non è adeguato.

In particolare, il Garante fa riferimento alla necessità di:

– adottare misure di sicurezza volte ad impedire che tramite il Wi-Fi free, sia possibile accedere a risorse di rete interne o ad altre risorse esposte su rete SPC;

– individuare specifiche misure nel caso in cui il servizio pubblico Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che fornisce il servizio;

– prevedere il divieto esplicito di trattamento dei dati relativi ai dispositivi degli utenti, a fini di tracciamento dell’ubicazione o degli spostamenti, mediante tecniche di Wi-Fi location tracking.

In conclusione, alla luce dei punti sopra esaminati, il Garante ha ritenuto che lo schema posto alla sua attenzione vada integrato, al fine di renderlo più confacente ai principi in tema di trattamento dei dati personali, tenendo conto dei rilievi dallo stesso indicati.

Volume consigliato

Il nuovo regolamento privacy

Il nuovo regolamento privacy

Carlo Nocera, 2018, Maggioli Editore

Aggiornato con lo schema di decreto  per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018) La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!