Protege tu Empresa responde: dudas legales sobre las conexiones wifi

Fecha de publicación 11/06/2020
Autor
INCIBE (INCIBE)
PtE dudas legales wifi

En los últimos años, muchos negocios han decidido incluir entre los servicios que ofrecen a sus clientes la posibilidad de conectarse a un punto de acceso wifi gratuito mientras se encuentran en sus instalaciones. Es el caso de concesionarios, hoteles, restaurantes, cafeterías, locales de ocio, centros comerciales y algunos comercios, entre otros. Esta acción, aunque parezca trivial, entraña varios aspectos legales y técnicos que es conveniente revisar cuando nos planteamos ofrecer este servicio.

Conexión de acceso gratuita, ¿qué requisitos debe cumplir?

Antes de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), los negocios podían decidían dejar abierta la conexión wifi, utilizar cifrados débiles (WEP) o colocar un cartel con las credenciales de acceso en un punto visible. Pero con la entrada en vigor del nuevo reglamento, todas estas prácticas se revelaron como poco apropiadas o negligentes, al exponer datos personales y otra información de los usuarios. Entre las consecuencias de este tipo de comportamientos, está el riesgo para la seguridad de los usuarios, ya que un ciberdelincuente podría robar o manipular los datos que este transmitiera o llevar a cabo cualquier otro tipo de fraude. Además de la pérdida de reputación que esto podría ocasionarle por una gestión ineficaz de la red, el responsable de la línea se veía afectado con una sanción administrativa en el caso de que se hubiera producido un delito desde la red del negocio.

Tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2016 y su adaptación al derecho español en forma de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) en 2018, las empresas están obligadas a cumplir una serie de requisitos en materia de privacidad y protección de datos, y por ende, a ofrecer un acceso seguro a estos servicios.

Como paso inicial, el responsable del establecimiento debe realizar un análisis de riesgos y según los resultados adoptar todas las medidas de seguridad que se consideren oportunas para proteger a los usuarios de estas redes (cifrado, registro de acceso, etc.). Estas tareas se pueden delegar en empresas que presten este tipo de servicios o seguir las indicaciones de la guía Seguridad en redes wifi: una guía de aproximación para el empresario.

Una de las medidas a implantar consiste en que la wifi este gobernada por un portal cautivo. Se trata de una pantalla o portal de acceso, generalmente personalizado con el logotipo del establecimiento, que aparece al conectarse a la wifi y que obliga al usuario a hacer login. En ella se explica al usuario que desee conectarse a la red los términos y condiciones de uso. El propietario ya no tendrá que darle la contraseña al usuario y, además, así quedará registrado quién se ha conectado, en caso de que se realice algún acto ilícito.

Como desde este portal se va a realizar un registro de usuarios, según el art. 13 del RGPD, cualquier tratamiento que se efectúe con los datos recabados deberá explicarse de forma clara y concisa a los usuarios de la conexión. El mensaje debe incluir la información referente al apartado 1 del artículo 13 del RGPD, es decir quién es el responsable del tratamiento, por qué y para qué se toman los datos personales y cómo ejercer los derechos. Esta información debe incluir:

  • la identidad y datos de contacto del responsable, representante y delegado de protección de datos (DPD);
  • los destinatarios del tratamiento;
  • la finalidad del tratamiento de la información recopilada y si se va a ceder a terceros para la realización de estudios de marketing o el envío de publicidad;
  • el plazo de conservación de los datos;
  • la posibilidad de ejercicio de derechos y de presentar reclamación ante la autoridad de control competente.

Además, según recoge el art. 33 del RGPD, en el caso de que se haya detectado una brecha que ponga en peligro la información recopilada, el propietario del registro de usuarios deberá notificar en menos de 72 horas a las usuarios. En caso de no hacerlo en tiempo y forma, salvo por causas debidamente justificadas, el responsable del registro se enfrentará a las sanciones que determine la autoridad competente en materia de protección de datos, en el caso de España, la Agencia Española de Protección de Datos (AEPD).

Por ello debe incluirse un apartado en el que se recabe el consentimiento expreso del usuario para poder acceder a la red como, por ejemplo, una casilla de aceptación junto a la leyenda: «Sí, he leído y acepto la política de privacidad y las Condiciones y términos de uso». En ningún caso, esta casilla puede venir marcada por defecto, ya que la aceptación de los términos y condiciones por parte del usuario debe ser consentida.

Registro de actividad, ¿qué requisitos debe cumplir?

Es recomendable crear y mantener un registro de actividad de la red por parte de los usuarios que se conectan a la misma como salvaguarda, en el caso de que se realicen actividades ilícitas a través de ella. En los términos y condiciones debe incluirse, de forma clara, la motivación por la que se almacena esta información y recabar el consentimiento explícito y pleno del usuario. El tipo de información que se almacenará en dicho registro será, entre otros:

  • las páginas visitadas;
  • las sesiones de conexión;
  • el dispositivo utilizado para la conexión;
  • el idioma;
  • el sistema operativo;
  • el navegador que se utilizó.

En el caso de que el usuario no haya dado su consentimiento o no se le haya informado debidamente de dicho registro, no se podrá guardar dicha información ya que se estaría cometiendo un delito contra la intimidad del usuario.

Por otra parte, el art. 25.1 de la ley de Seguridad Ciudadana obliga a los establecimientos comerciales que cuenten entre sus servicios con una red wifi disponible para sus clientes a conservar el registro de conexiones a esa red. Este deberá estar a disposición de las FCSE durante los plazos que establezcan las disposiciones aplicables en cada caso para la persecución de las actividades ilícitas cometidas desde dicha conexión.

Por último, si los administradores o los propietarios de la conexión detectaran la comisión de un delito por parte de los usuarios de la red que atente contra la libertad de las personas (coacciones o amenazas), deberán notificar a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), ya que en caso de que no se hiciera, se incurriría en un delito de omisión del deber de impedir delitos o de promover su persecución.

Excepciones

En el caso de asociaciones u otro tipo de organizaciones sin ánimo de lucro, que no pudieran realizar los procesos anteriormente descritos debido a los costes asociados o a la imposibilidad técnica de implantarlos, podrán recoger en un documento colocado a la vista de todo el mundo las reglas de uso de la red wifi, así como indicar la no responsabilidad por el mal uso de la red por parte de los usuarios.

Medidas de seguridad de la red

Recuerda que la red ofrecida a los clientes y usuarios de tu negocio debe contar con una serie de medidas de seguridad como, entre ellas:

  • Mantener actualizado el firmware del router o del punto de acceso a la última versión disponible.
  • Cambiar las credenciales de acceso al panel de administración del router o punto de acceso que vienen por defecto por otras diferentes. Recuerda que la contraseña debe ser segura y robusta.
  • Usar como mínimo un cifrado WPA2-PSK para la transmisión de datos entre el router y el dispositivo del cliente. Con ello se evita que otros usuarios de la red vean lo que transmite el cliente.
  • Cambiar el nombre que viene por defecto de la red.
  • Establecer mecanismos de control parental para evitar el acceso a sitios web perjudiciales.

Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Etiquetas