Guest Wi-Fi e GDPR: check list degli obblighi per il fornitore del servizio

Il regolamento generale sulla protezione dei dati (GDPR) riguarda le imprese europee e non europee i cui servizi sono rivolti agli utenti nello spazio economico europeo.
Le nuove regole entreranno in vigore il 25 maggio 2018, quindi è importante essere pronti per quella data, onde evitare di incorrere in reclami e sanzioni importanti.

 

Quali sono le azioni principali che il gestore del servizio deve compiere?

  • Rivedere e aggiornare le policy relative alla gestione della privacy e al trattamento dei dati personali
  • Aggiornare e pubblicare  i contatti aziendali di chi si occupa del trattamento dei dati personali, così da essere certi che l’end user sappia chi controlla i suoi dati e possa mettervisi in contatto, se necessario
  • Assicurarsi che le opzioni di registrazione e login siano compliant con la nuova normativa

Le azioni da compiere in quest’ottica sono differenti a seconda che operiate come Data Controller e/o come Data Processor ed è fondamentale che l’utente riconosca e, nel caso, distingua le due figure:

Data Controller

E’ il responsabile del trattamento dei dati ed è la persona fisica, la società, l’associazione o altra entità che ha il controllo effettivo del trattamento dei dati personali ed è autorizzata a prendere le decisioni essenziali sulle finalità e i meccanismi di tale trattamento, comprese le misure di sicurezza applicabili.

Se i dati personali vengono elaborati da una società o da un ente amministrativo pubblico, è l’entità nel suo complesso che funge da controllore dei dati e non l’individuo o il dipartimento che gestisce o rappresenta tale entità (ad esempio Presidente, CEO, revisore dei conti, Ministro , Direttore generale, ecc.). I casi in cui una persona particolare sia il responsabile del trattamento dei dati sono limitati e riguardano principalmente le operazioni di trattamento eseguite da professionisti autonomi o da società individuali.

Data Processor

E’ la persona fisica, la società, l’associazione o l’organizzazione a cui il responsabile del trattamento ha affidato compiti specifici di gestione e controllo dell’elaborazione dei dati in base alla particolare competenza e/o specifica abilità.

Se rappresentate la figura di Data Controller è fondamentale che nelle policy relative alla privacy del servizio erogato questo sia esplicitamente indicato.

E’ inoltre, buona norma indicare esplicitamente il produttore del servizio (soprattutto se utilizzate un servizio in public cloud), così come eventuali piattaforme marketing, CRM, e qualunque altra entità che entri in contatto con il dato e in qualche modalità lo maneggi. Tutte queste figure, infatti, operano come Data Processor, mentre voi operate come Data Controller.

Nell’eventualità desideriate non menzionare esplicitamente queste figure, è sufficiente, ma necessaria, una formula che informi l’utente dell’esistenza di alcuni Processor coinvolti nell’erogazione del servizio.

Se operate il servizio per conto del vostro cliente e quest’ultimo ha la piena responsabilità della gestione del dato, operate come Data Processor. E’ quindi necessario che stabiliate un accordo tra le parti che definisca chiaramente il vostro ruolo e le vostre responsabilità come Data Processor nel trattamento dei dati.

IL CONSENSO INFORMATO

Alla base della raccolta e dell’elaborazione dei dati personali degli utenti vi è il consenso informato, ma è responsabilità del gestore assicurarsi di configurare il servizio in conformità con GDPR e di esplicarne in modo chiaro ed inequivocabile le finalità. Gli utenti devono essere informati in merito a quali dati vengono raccolti e utilizzati; in caso di mancato consenso al trattamento, è possibile negare all’utente la fruizione del servizio.

È necessario, inoltre, essere in grado di verificare l’identità dell’utente, eventualmente anche ponendo diverse domande al momento della registrazione al servizio, atte a raccogliere e verificare i dati immessi.

I responsabili del trattamento dei dati sono tenuti a rispondere a una richiesta di accesso (DSAR) di un soggetto fornendo, in forma intelligibile, copie dei dati personali e qualsiasi informazione sulle fonti dei dati entro 30 giorni dalla raccolta.

Gli utenti possono esercitare il diritto alla cancellazione e richiedere di essere eliminati dal database, forzando la rimozione di tutti i dati posseduti; è importante assicurarsi , in tal caso, che ogni dato personale venga effettivamente eliminato.

Per quanto tempo il dato viene mantenuto?

La durata di vita del dato viene definita dal Data Controller e non ci sono specifiche legate al GDPR riguardanti questo aspetto.

  1. Antonio Aprea 18 Mag 2018 alle 21:13

    buonasera, se uso un sistema con autenticazione social?

    "Mi piace"

    Rispondi

    1. alicemasini 21 Mag 2018 alle 9:51

      Buongiorno Antonio,

      se il sistema trattiene i dati raccolti attraverso l’autenticazione social, avete l’onere del rispetto della normativa. Se, invece, il sistema da voi utilizzato utilizza il processo di autenticazione proprio del social network senza raccoglierne alcuna informazione sensibile, non avete alcun dato da gestire.

      Attenzione: un sistema di questo tipo non vi permette però di identificare gli utenti che sono collegati all’infrastruttura wifi, rendendovi in difetto dal punto di vista della sicurezza. E’ quindi buona norma utilizzare soluzioni che trattengono dati sensibili, per essere in grado di identificare gli utenti in caso di uso improprio della connessione.

      "Mi piace"

      Rispondi

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: