La proposta normativa dell’AgID
Il garante per la protezione dei dati personali è stato richiesto dall’AgID di esprimere un parere sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free”, già sottoposto a consultazione pubblica, rubricato “Connettività alla rete Internet negli uffici e luoghi pubblici”, grazie al quale tutte le amministrazioni (le amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico) consentono ai cittadini di connettersi alla rete Internet presso tutti i luoghi pubblici, utilizzando, inoltre, quella porzione di banda trasmissiva non utilizzata dagli stessi uffici.
In particolare, il provvedimento in esame ha come scopo quello di creare un quadro di riferimento “normativo e tecnologico entro il quale armonizzare le iniziative in essere, con le strategie governative nazionali ed europee”, al quale dovranno poi attenersi tutte quelle amministrazioni che vorranno concedere ai cittadini servizi di access point, grazie ai quali, appunto, i cittadini potranno avere accesso a internet gratuitamente.
Le linee guida, inoltre, intendono anche enunciare i criteri di sicurezza che devono essere adottati, in termini di: configurazione della rete interna e modalità di trasporto sulla rete geografica; sicurezza delle comunicazioni; identificazione degli utenti del servizio; prevenzione di potenziali attacchi e monitoraggio del servizio.
Gli obblighi che le amministrazioni dovranno rispettare previsti dallo schema di linee guide sono principalmente due:
- Garantire la segregazione degli Access point rispetto alla rete interna (o attraverso la segregazione fisica delle reti o tramite la creazione di più sottoreti);
- dedicare al servizio Wi-Fi free la sola banda non utilizzata, al fine di non compromettere la disponibilità di banda per il funzionamento dei servizi propri dell’amministrazione.
In ultimo, è prevista la raccomandazione di identificare i soggetti che si collegano alla rete internet dalla Access point, al fine di:
- poter rintracciare eventuali comportamenti malevoli da parte degli utenti;
- valutare la possibilità di permettere ai turisti di potersi collegare agli Access point tramite le strutture alberghiere, al fine di potergli offrire il servizio.
Il parere del Garante
Dopo aver esaminato la proposta, l’Autorità garante ha deciso di apporvi delle modifiche e delle integrazioni, al fine renderlo conforme ai principi e alle garanzie in materia di protezione dei dati personali.
In primo luogo, il Garante, partendo dalle modalità di progettazione del servizio Wi-fi Free, ha sottolineato come sia necessario che le amministrazioni siano in grado di distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente stesso e anche di comprendere i rischi che il trattamento dei dati personali comporta a chi accede agli Access point.
Pertanto, è necessario nell’ambito del capitolo intitolato “freamwork normativo”, che vengano richiamati tutti gli obblighi che gravano in capo al titolare ai sensi dell’art. 25 del Regolamento.
Inoltre, per rendere effettiva la protezione dei dati personali degli utenti, il Garante ritiene che l’amministrazione pubblica, sin dall’eventuale bando di gara e in tutte le varie fasi del procedimento, è tenuta a rispettare i principi di liceità, correttezza e trasparenza del trattamento; limitazione della finalità e minimizzazione dei dati utilizzati; limitazione della conservazione; integrità e riservatezza dei dati, adottando misure tecniche ed organizzative per garantire un livello di sicurezza adeguato.
In secondo luogo, l’Autorità si occupa del trattamento dei dati personali degli utenti sia con riguardo alla loro identificazione e alla conservazione dei dati, sia alla predetta interoperabilità con le strutture alberghiere.
Per quanto riguarda il primo punto, il Garante effettua preliminarmente una distinzione tra gli obblighi che gravano in capo alle amministrazioni e quelli che, invece, gravano in capo ai fornitori di servizi elettronici. Infatti, solo per questi ultimi vi è l’obbligo di identificazione degli utenti e di conservazione dei dati di traffico telematico, secondo la normativa di riferimento.
Per tale motivo, posto che sulle amministrazioni non grava questo obbligo, né tantomeno queste ultime sono legittimate a farlo, la scelta di identificare gli utenti che accedono agli Access point deve essere ben ponderata. Nel caso in esame, la proposta di utilizzo dei dati personali al fine di rilevare qualche azione malevola commessa dagli utenti tramite la rete internet delle strutture pubbliche non sembra rispettare i principi di proporzionalità e minimizzazione.
Il Garante, pertanto, ritiene necessario individuare delle regole più stringenti, con particolare riferimento alla fase di identificazione degli utenti e alla conservazione dei dati, seguendo i principi enunciati dall’art. 5 del Regolamento. Pertanto, il Garante ritiene che lo schema esaminato dovrà essere integrato con:
- l’individuazione dei dati personali degli utenti da raccogliere e conservare nel rispetto del principio di minimizzazione;
- la minimizzazione dei dati di cui è consentita la conservazione al solo fine di individuare, a posteriori, i responsabili di eventuali condotte illecite, senza effettuare tracciamenti, non necessari, relativi al traffico telematico riferito agli utenti;
- le modalità che, eventualmente, si intendono utilizzare per impedire l’accesso a determinate tipologie di siti o servizi in rete, evitando sempre di conservare i tracciamenti non necessari del traffico telematico;
- la previsione di un tempo massimo di conservazione dei dati, in modo tale da rispettare il principio di limitazione alla conservazione;
- la individuazione delle misure adottate per assicurare il rispetto del principio di trasparenza nei confronti degli interessati, con l’indicazione puntuale della finalità perseguita, delle tipologie di dati oggetto di trattamento e dei tempi di conservazione dei dati.
Per quanto riguarda il secondo punto, ovvero l’identificazione dei “turisti”, il Garante si è raccomandato che vengano specificati i diversi ruoli assunti dall’amministrazione e dagli alberghi nell’erogazione del servizio e le misure di sicurezza a garanzia degli interessati. Inoltre, si prevede che il turista debba poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera e che i dati degli utenti non vengano direttamente comunicati alle amministrazioni da parte delle strutture alberghiere aderenti all’iniziativa.
In terzo e ultimo luogo, il Garante ha ritenuto opportuno integrare lo schema con indicazioni più puntuali sui livelli di sicurezza della linea Wi-fi, affinché i trattamenti dei dati vengano posti in essere in modo conforme alle garanzie previste in materia di protezione dei dati personali e affinché si scongiuri il rischio che possa avvenire divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Nell’applicazione delle misure di sicurezza, peraltro, secondo il Garante è necessario che si tengano in considerazione i rischi che concretamente possano derivare e che si adottino, dunque, le misure di sicurezza più confacenti alla situazione concreta, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 Regolamento); è per questo, quindi, che il generale richiamo alle misure “minime di sicurezza” non è adeguato.
In particolare, il Garante fa riferimento alla necessità di:
– adottare misure di sicurezza volte ad impedire che tramite il Wi-Fi free, sia possibile accedere a risorse di rete interne o ad altre risorse esposte su rete SPC;
– individuare specifiche misure nel caso in cui il servizio pubblico Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che fornisce il servizio;
– prevedere il divieto esplicito di trattamento dei dati relativi ai dispositivi degli utenti, a fini di tracciamento dell’ubicazione o degli spostamenti, mediante tecniche di Wi-Fi location tracking.
In conclusione, alla luce dei punti sopra esaminati, il Garante ha ritenuto che lo schema posto alla sua attenzione vada integrato, al fine di renderlo più confacente ai principi in tema di trattamento dei dati personali, tenendo conto dei rilievi dallo stesso indicati.
Volume consigliato
Il nuovo regolamento privacy
Aggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018)La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina. Strutturato in forma di quesiti, il testo, in oltre 200 domande e risposte, esplica termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento.CARLO NOCERAAvvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali.
Carlo Nocera | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento