Data protection

Come gestire la richiesta di installazione Internet in rete Wifi, presso una struttura aziendale

Può verificarsi il caso in cui pervenga all’ente/azienda una richiesta finalizzata alla installazione di una rete wifi all’intero di una struttura del titolare del trattamento.

Di seguito si riporta una disamina della fattispecie con indicazione delle scelte da compiere per essere conformi alla vigente normativa di settore.

Premesso che il CAD prevede che pubbliche amministrazioni, gestori di servizi pubblici, società a controllo pubblico indicati dall’articolo 2, comma 2:

  • favoriscono, in linea con gli obiettivi dell’Agenda digitale europea, la disponibilità di connettività alla rete Internet presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e di interesse turistico;
  • prevedendo che la porzione di banda non utilizzata dagli stessi uffici sia messa a disposizione degli utenti nel rispetto degli standard di sicurezza fissati dall’AgID;
  • mettono a disposizione degli utenti connettività a banda larga per l’accesso alla rete Internet nei limiti della banda disponibile e con le modalità determinate dall’AgID.

Lette le “Linee Guida per l’erogazione del servizio pubblico Wi-Fi free” adottate dal Garante per la protezione dei dati personali (1° dicembre 2020); in attuazione dell‘articolo 8-bis del D.lgs. 7.03.2005 n. 82 – Codice dell’Amministrazione Digitale (“CAD”) titolato “Connettività alla rete Internet negli uffici e luoghi pubblici”.

Lo schema di Linee guida si applica ai soggetti di cui all’art. 2, comma 2 del CAD[1] (quindi anche alle aziende sanitarie così come agli enti locali: regioni, province e comuni, oltre che ad amministrazioni statali) e fornisce indicazioni circa le modalità attraverso le quali può essere resa disponibile la banda destinata al wireless gratuito, anche attraverso il richiamo alla normativa tecnica di settore (famiglia di standard IEEE 802.11x), nonché i criteri di sicurezza che devono essere adottati, in termini di:

  • configurazione della rete interna e modalità di trasporto sulla rete geografica;
  • sicurezza delle comunicazioni;
  • identificazione degli utenti del servizio;
  • prevenzione di potenziali attacchi;
  • monitoraggio del servizio.

Lo schema richiama, tra gli obblighi per l’ente/azienda, quelli di:

• garantire la segregazione degli Access Point (AP) rispetto alla rete interna, attraverso la separazione fisica delle reti o attraverso una separazione logica basata sulla creazione di reti locali virtuali (VLAN) a “livello 2” o “livello 3” dell’architettura di riferimento ISO/OSI;

• dedicare al servizio Wi-Fi free la sola banda non utilizzata, al fine di non compromettere la disponibilità di banda per il funzionamento dei servizi propri dell’amministrazione.

E’, inoltre, raccomandato di provvedere all’identificazione degli utenti, al fine di poter rintracciare eventuali comportamenti malevoli perpetrati attraverso la propria rete di AP, valutando anche la possibilità di interoperare con le strutture alberghiere per offrire il servizio ai turisti. In capo al titolare del trattamento (i.e., l’ente/azienda) c’è l’obbligo di approfondire i seguenti aspetti legati al trattamento di dati personali degli utenti, che nel caso in questione avrebbe come base di liceità l’esecuzione di un compito di interesse pubblico debba essere integrato per fornire specifiche indicazioni per:

a) individuare i dati personali da raccogliere e conservare nell’ambito del predetto processo di identificazione nel rispetto del principio di minimizzazione;

b) minimizzare i dati conservati al fine di consentire la individuazione del responsabile solo in caso di condotte illecite senza quindi effettuare tracciamenti relativi al traffico;

c) individuare le modalità che devono implementare per impedire l’accesso a determinate tipologie di siti o servizi in rete (c.d. URL filtering);

d) individuare per ciascuna tipologia di dati adeguati tempi di conservazione;

e) adottare misure che assicurino il rispetto di principio di trasparenza nei confronti degli interessati con indicazione puntuale delle finalità perseguite, tipologie di dati trattati e tempi di conservazione

1. La progettazione del servizio Wi-Fi free

        In primo luogo, si rappresenta che l’attività di erogazione del servizio di Wi-Fi free comporta, da parte del titolare del trattamento, il trattamento dei dati personali degli utenti che intendono usufruire del predetto servizio, nell’ambito delle varie fasi dell’utilizzo dello stesso, che presentano differenti caratteristiche, anche in ragione dei diversi apparati e servizi di rete impiegati (es. firewall, proxy server, DNS server). In tal senso, occorre, infatti, distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente.

        Nel configurare il predetto servizio (a partire dall’eventuale bando di gara), il titolare deve integrare, in ciascuna fase del trattamento le garanzie volte ad attuare in modo efficace i principi di protezione dati, con particolare riferimento a:

        f)     liceità, correttezza e trasparenza del trattamento (art. 5, par. 1 lett. a));

        g)    limitazione della finalità e minimizzazione dei dati (artt. 5, par. 1, lett. b) e c));

        h)    limitazione della conservazione (art. 5, par. 1, lett. e));

        i)     integrità e riservatezza dei dati, adottando misure tecniche ed organizzative per garantire un livello di  

                sicurezza adeguato (artt. 5, par. 1, lett. f), e 32).

        2. Trattamento dei dati personali degli utenti

        2.1. Identificazione degli utenti e conservazione dei dati

        Preliminarmente, si ritiene necessario osservare che, al fine di rispettare il principio di liceità, correttezza e trasparenza nei confronti degli utenti, occorre precisare, che gli obblighi che gravano in capo alla ASL di Pescara (c.d. service provider) sono distinti da quelli che sono imposti dalla legge a carico dei fornitori di servizi di comunicazione elettronica (c.d. resource provider). Considerato che i soggetti che forniscono accesso ad Internet, tramite Wi-Fi free, non sono in ogni caso legittimati a implementare sistemi di tracciamento che comportano la conservazione dei dati relativi al traffico telematico. Al fine di disciplinare adeguatamente il trattamento dei dati personali degli utenti, che verrebbe posto in essere dalla ASL di Pescara (ai sensi dell’art. 2, comma 2, del CAD), per l’esecuzione del compito di interesse pubblico consistente nell’offerta del servizio Wi-Fi free, (ai sensi dell’art. 8-bis del CAD), con particolare riferimento alla fase di identificazione degli utenti e alla conservazione dei dati, vanno approfonditi i seguenti aspetti:

        • l’individuazione dei dati personali degli utenti da raccogliere e conservare nell’ambito del predetto processo di identificazione, nel rispetto del principio di minimizzazione (art. 5, par. 1 lett. c) del Regolamento);
        • se del caso, la minimizzazione dei dati di cui è consentita la conservazione al solo fine di individuare, a posteriori, i responsabili di eventuali condotte illecite, senza effettuare tracciamenti, non necessari, relativi al traffico telematico riferito agli utenti (art. 5, par. 1, lett. b) e c) del Regolamento);
        • le modalità che, eventualmente, si intendono utilizzare per impedire l’accesso a determinate tipologie di siti o servizi in rete, configurando i sistemi e gli apparati, a tal fine utilizzati, evitando di conservare i dati al traffico telematico effettuato dagli utenti (art. 5, par. 1, lett. c), del Regolamento);
        • l’individuazione, per ciascuna delle tipologie di dati trattati, di adeguati tempi di conservazione dei dati, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);
        • le misure adottate per assicurare il rispetto del principio di trasparenza nei confronti degli interessati, con l’indicazione puntuale della finalità perseguita, delle tipologie di dati oggetto di trattamento e dei tempi di conservazione dei dati (art. 5, par. 1, lett. a) del Regolamento).

         3. Sicurezza dei dati e dei sistemi

        Nell’ambito delle attività poste in essere per offrire il servizio di Wi-Fi free intervengono soggetti diversi che possono trattare i dati personali degli utenti quali, in particolare, il service provider, ossia l’ente/azienda, e il resource provider, ovvero il fornitore di servizi di comunicazione elettronica.

        Si rappresenta la necessità che siano configurati correttamente i ruoli e i compiti assunti nel trattamento dei dati personali dai diversi soggetti coinvolti nell’erogazione del predetto servizio, anche con specifico riferimento agli obblighi di sicurezza che ricadono in capo ai predetti soggetti (art. 32 del Regolamento e art. 132-ter del Codice), già nell’ambito delle clausole contrattuali del contratto di fornitura del servizio di comunicazione elettronica.

        Sul tema della sicurezza, in generale, occorre assicurare una corretta applicazione del GDPR, tenendo conto degli obblighi previsti in materia di sicurezza dei dati e dei sistemi dal Regolamento, in ragione dei rischi che possono derivare agli utenti connessi ad una rete Wi-Fi non adeguatamente protetta.

        Al fine di promuovere una corretta applicazione del Regolamento da parte dell’ente/azienda e del proprio fornitore, occorre valutare, in concreto, i rischi che possono derivare, in particolare, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Le misure tecniche ed organizzative che, infatti, il titolare e il responsabile del trattamento sono tenuti ad adottare, devono essere tali da garantire un livello di sicurezza adeguato al rischio, che presenta il trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

        Tra le misure di sicurezza che l’ente/azienda dovrebbe garantire, ci si riferisce, in prima battuta, alle seguenti:

            q)     adottare misure di sicurezza volte ad impedire che, tramite il servizio pubblico Wi-Fi free, sia possibile accedere a risorse di rete interne (es. postazioni di lavoro, portale intranet o altri servizi interni) o ad altre risorse esposte su rete SPC;

            r)     individuare specifiche cautele nel caso in cui il servizio pubblico Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che fornisce il servizio;

            s)     prevedere il divieto esplicito di trattamento dei dati relativi ai dispositivi degli utenti, a fini di tracciamento dell’ubicazione o degli spostamenti, mediante tecniche di Wi-Fi location tracking.

        Da ultimo, anche alla luce di quanto statuito dalla Corte di giustizia nella recente sentenza relativa al caso cd. Schrems II (16 luglio 2020, causa C-311/18), è opportuno evidenziare che con riferimento alla possibile migrazione del controller fisico in un’infrastruttura cloud l’eventuale scelta del fornitore, qualora esterno all’amministrazione, deve rispondere a tutte le garanzie previste dal Regolamento in relazione ai trattamenti effettuati al di fuori dell’Unione europea.

        Sulla scorta di tutto quanto sopra esposto ed argomentato si rilascia il seguente parere:

        1. Per gli aspetti di natura tecnico-informatica si suggerisce l’intervento dei Sistemi Informativi;

          2. non ci sono ostacoli di legge a suddetta installazione; anzi trattasi di fattispecie esplicitamente normata dal legislatore e sulla quale è intervenuta anche l’Autorità Garante per la Protezione dei Dati Personali;

          3. qualora il titolare intenda dare esecuzione alla richiesta di cui all’oggetto, l’Ufficio Privacy dovrà provvedere ad acquisire dai Sistemi Informativi, in dettaglio, tutte le informazioni sopra contrassegnate dalle seguenti lettere alfabetiche: c), m), n), o), p), q), r), s), al fine di potere espletare una analisi dei rischi (P.I.A.) con successiva valutazione dell’impatto (D.P.I.A.) che il trattamento avrebbe sui diritti e sulle libertà degli interessati;

          4. qualora a seguito di PIA/DPIA il titolare autorizzi suddetto trattamento l’Ufficio Privacy dovrà, di concerto con le competenti funzioni aziendali (in primis, Sistemi Informativi e gli Affari Legali), sottoporre al titolare una bozza di Regolamento aziendale in materia.

          [1] Art. 2. Finalità e ambito di applicazione

          1. Lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate e nel modo più adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell’informazione e della comunicazione.

          2. Le disposizioni del presente Codice si applicano:

          a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

          b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

          c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).

          2-bis. COMMA ABROGATO DAL D.LGS. 30 DICEMBRE 2010, N. 235.

          3. Le disposizioni del presente Codice e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all’articolo 3-bis e al Capo IV, l’identità digitale di cui agli articoli 3-bis e 64 si applicano anche ai privati, ove non diversamente previsto.

          4. Le disposizioni di cui al capo V, concernenti l’accesso ai documenti informatici e la fruibilità delle informazioni digitali, si applicano anche agli organismi di diritto pubblico.

          5. Le disposizioni del presente Codice si applicano nel rispetto della disciplina in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice in materia di protezione dei dati personali approvato con decreto legislativo 30 giugno 2003, n. 196;

          6. Le disposizioni del presente Codice non si applicano limitatamente all’esercizio delle attività e funzioni di ordine e sicurezza pubblica, difesa e sicurezza nazionale, polizia giudiziaria e polizia economico-finanziaria e consultazioni elettorali , nonché alle comunicazioni di emergenza e di allerta in ambito di protezione civile. Le disposizioni del presente Codice si applicano al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico.

          6-bis. Ferma restando l’applicabilità delle disposizioni del presente decreto agli atti di liquidazione, rettifica, accertamento e di irrogazione delle sanzioni di natura tributaria, con decreto del Presidente del Consiglio dei ministri o del Ministro delegato, adottato su proposta del Ministro dell’economia e delle finanze, sono stabiliti le modalità e i termini di applicazione delle disposizioni del presente Codice alle attività e funzioni ispettive e di controllo fiscale.-04/edpb_guidelines_202201_data_subject_rights_access_v2_it.pdf.

          About Author /

          Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

          trattamento dei dati personali
          AI

          Lascia un commento

          Your email address will not be published.

          Potrebbe piacerti

          governance-sicurezza-digitale
          Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.
          11 Febbraio 2025
          Medico Competente
          Il ruolo del Medico Competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori.
          19 Febbraio 2024
          Attacco Ransomware
          Attacco Ransomware – misure di mitigazione e obblighi in capo al Titolare del trattamento.
          5 Giugno 2024

          Start typing and press Enter to search