Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free
Herr. Pier Paolo Muià – Martina Rodovero
Garant für den Schutz personenbezogener Daten: Parere sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” predisposto da AgID. Provvedimento n. 201 die 29 Oktober 2020
La proposta normativa dell’AgID
Il garante per la protezione dei dati personali è stato richiesto dall’AgID di esprimere un parere sullo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free”, già sottoposto a consultazione pubblica, rubricato “Connettività alla rete Internet negli uffici e luoghi pubblici”, grazie al quale tutte le amministrazioni (le amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico) consentono ai cittadini di connettersi alla rete Internet presso tutti i luoghi pubblici, utilizzando, auch, quella porzione di banda trasmissiva non utilizzata dagli stessi uffici.
insbesondere, il provvedimento in esame ha come scopo quello di creare un quadro di riferimento “normativo e tecnologico entro il quale armonizzare le iniziative in essere, con le strategie governative nazionali ed europee”, al quale dovranno poi attenersi tutte quelle amministrazioni che vorranno concedere ai cittadini servizi di access point, grazie ai quali, nur, i cittadini potranno avere accesso a internet gratuitamente.
Le linee guida, auch, intendono anche enunciare i criteri di sicurezza che devono essere adottati, in termini di: configurazione della rete interna e modalità di trasporto sulla rete geografica; sicurezza delle comunicazioni; identificazione degli utenti del servizio; prevenzione di potenziali attacchi e monitoraggio del servizio.
Gli obblighi che le amministrazioni dovranno rispettare previsti dallo schema di linee guide sono principalmente due:
Garantire la segregazione degli Access point rispetto alla rete interna (o attraverso la segregazione fisica delle reti o tramite la creazione di più sottoreti);
dedicare al servizio Wi-Fi free la sola banda non utilizzata, al fine di non compromettere la disponibilità di banda per il funzionamento dei servizi propri dell’amministrazione.
In ultimo, è prevista la raccomandazione di identificare i soggetti che si collegano alla rete internet dalla Access point, al fine di:
poter rintracciare eventuali comportamenti malevoli da parte degli utenti;
valutare la possibilità di permettere ai turisti di potersi collegare agli Access point tramite le strutture alberghiere, al fine di potergli offrire il servizio.
Il parere del Garante
Dopo aver esaminato la proposta, l’Autorità garante ha deciso di apporvi delle modifiche e delle integrazioni, al fine renderlo conforme ai principi e alle garanzie in materia di protezione dei dati personali.
In primo luogo, il Garante, partendo dalle modalità di progettazione del servizio Wi-fi Free, ha sottolineato come sia necessario che le amministrazioni siano in grado di distinguere i trattamenti di dati personali relativi alla preliminare attività di identificazione degli utenti, in fase di autenticazione all’atto dell’accesso al servizio, da quelli relativi alla successiva fase di utilizzo della rete da parte dell’utente stesso e anche di comprendere i rischi che il trattamento dei dati personali comporta a chi accede agli Access point.
deshalb, è necessario nell’ambito del capitolo intitolato “freamwork normativo”, che vengano richiamati tutti gli obblighi che gravano in capo al titolare ai sensi dell’art. 25 der Verordnung.
Außerdem, per rendere effettiva la protezione dei dati personali degli utenti, il Garante ritiene che l’amministrazione pubblica, sin dall’eventuale bando di gara e in tutte le varie fasi del procedimento, è tenuta a rispettare i principi di liceità, correttezza e trasparenza del trattamento; limitazione della finalità e minimizzazione dei dati utilizzati; limitazione della conservazione; integrità e riservatezza dei dati, adottando misure tecniche ed organizzative per garantire un livello di sicurezza adeguato.
In secondo luogo, l’Autorità si occupa del trattamento dei dati personali degli utenti sia con riguardo alla loro identificazione e alla conservazione dei dati, sia alla predetta interoperabilità con le strutture alberghiere.
Per quanto riguarda il primo punto, il Garante effettua preliminarmente una distinzione tra gli obblighi che gravano in capo alle amministrazioni e quelli che, stattdessen, gravano in capo ai fornitori di servizi elettronici. Tatsächlich, solo per questi ultimi vi è l’obbligo di identificazione degli utenti e di conservazione dei dati di traffico telematico, secondo la normativa di riferimento.
Per tale motivo, posto che sulle amministrazioni non grava questo obbligo, né tantomeno queste ultime sono legittimate a farlo, la scelta di identificare gli utenti che accedono agli Access point deve essere ben ponderata. Nel caso in esame, la proposta di utilizzo dei dati personali al fine di rilevare qualche azione malevola commessa dagli utenti tramite la rete internet delle strutture pubbliche non sembra rispettare i principi di proporzionalità e minimizzazione.
Il Garante, deshalb, ritiene necessario individuare delle regole più stringenti, con particolare riferimento alla fase di identificazione degli utenti e alla conservazione dei dati, seguendo i principi enunciati dall’art. 5 der Verordnung. deshalb, il Garante ritiene che lo schema esaminato dovrà essere integrato con:
l’individuazione dei dati personali degli utenti da raccogliere e conservare nel rispetto del principio di minimizzazione;
la minimizzazione dei dati di cui è consentita la conservazione al solo fine di individuare, a posteriori, i responsabili di eventuali condotte illecite, senza effettuare tracciamenti, non necessari, relativi al traffico telematico riferito agli utenti;
le modalità che, eventualmente, si intendono utilizzare per impedire l’accesso a determinate tipologie di siti o servizi in rete, evitando sempre di conservare i tracciamenti non necessari del traffico telematico;
la previsione di un tempo massimo di conservazione dei dati, in modo tale da rispettare il principio di limitazione alla conservazione;
la individuazione delle misure adottate per assicurare il rispetto del principio di trasparenza nei confronti degli interessati, con l’indicazione puntuale della finalità perseguita, delle tipologie di dati oggetto di trattamento e dei tempi di conservazione dei dati.
Per quanto riguarda il secondo punto, ovvero l’identificazione dei “turisti”, il Garante si è raccomandato che vengano specificati i diversi ruoli assunti dall’amministrazione e dagli alberghi nell’erogazione del servizio e le misure di sicurezza a garanzia degli interessati. Außerdem, si prevede che il turista debba poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera e che i dati degli utenti non vengano direttamente comunicati alle amministrazioni da parte delle strutture alberghiere aderenti all’iniziativa.
In terzo e ultimo luogo, il Garante ha ritenuto opportuno integrare lo schema con indicazioni più puntuali sui livelli di sicurezza della linea Wi-fi, affinché i trattamenti dei dati vengano posti in essere in modo conforme alle garanzie previste in materia di protezione dei dati personali e affinché si scongiuri il rischio che possa avvenire divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Nell’applicazione delle misure di sicurezza, peraltro, secondo il Garante è necessario che si tengano in considerazione i rischi che concretamente possano derivare e che si adottino, deshalb, le misure di sicurezza più confacenti alla situazione concreta, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (Kunst. 32 Regulierung); è per questo, dann, che il generale richiamo alle misure “minime di sicurezza” non è adeguato.
insbesondere, il Garante fa riferimento alla necessità di:
– adottare misure di sicurezza volte ad impedire che tramite il Wi-Fi free, sia possibile accedere a risorse di rete interne o ad altre risorse esposte su rete SPC;
– individuare specifiche misure nel caso in cui il servizio pubblico Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che fornisce il servizio;
– prevedere il divieto esplicito di trattamento dei dati relativi ai dispositivi degli utenti, a fini di tracciamento dell’ubicazione o degli spostamenti, mediante tecniche di Wi-Fi location tracking.
In conclusione, alla luce dei punti sopra esaminati, il Garante ha ritenuto che lo schema posto alla sua attenzione vada integrato, al fine di renderlo più confacente ai principi in tema di trattamento dei dati personali, tenendo conto dei rilievi dallo stesso indicati.
Volume empfohlen
Il nuovo regolamento privacy
Carlo Nocera, 2018, Maggs Verlag
Aggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE(approvato in CdM il 21 März 2018)
La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di…
22,00 € 20,90 € kaufen
von www.maggiolieditore.it
Werden Sie Autor von Legge.it
Finde mehr heraus!
Das könnte Sie auch interessieren
L’Ospedale che bandisce un concorso pubblico per l’assunzione di lavoratori risponde della illecita diffusione dei dati personali dei candidati anche se la piattaforma on line di registrazione è gestita da una società terza
di Muia’ Pier Paolo
14 Oktober 2020
Marketing sui social network e trattamento dati
von der Redaktion
25 September 2019
Die Kommunikation mit einer Zeitung ist illegal, von einer Gemeinde, die personenbezogenen Daten eines städtischen Arbeitnehmers, der ein außergerichtliches Verfahren gegen die Gemeinde selbst eingeleitet hat, die höhere Pflichten geltend macht
di Muia’ Pier Paolo
25 September 2020
Il parere del Garante sullo schema di regolamento che disciplina il Sistema Informativo Trapianti (SIT) e il Registro nazionale dei donatori di cellule riproduttive
di Muia’ Pier Paolo
28 Oktober 2019
The post Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free appeared first on Diritto.it.
Quelle: Diritto.it