25 Nov Wi-Fi free: raccomandazioni per un servizio a prova di privacy

Autori: Sara Pecoraro, Francesca Tugnoli, Giada Iovane

Ormai è comune trovare connettività Wi-Fi fruibile gratuitamente nelle aree e nei luoghi aperti al pubblico quali, ad esempio, sale congressi, treni, palestre, hotel, centri commerciali, uffici, ristoranti[1]. Molte realtà, sia del comparto pubblico sia specialmente di quello privato, prevedono, infatti, all’interno delle proprie sedi e negli spazi aperti al pubblico aree con connessione Wi-Fi gratuita (c.d. “Wi-Fi Zone”), al fine di offrire un servizio aggiuntivo alla propria utenza; ciò, tuttavia, implica il trattamento dei dati personali degli utenti da parte degli attori coinvolti nell’erogazione del servizio, con la conseguente necessità di rispettare le previsioni vigenti in materia di protezione dei dati, prima fra tutte quelle funzionali a garantire la protezione e la sicurezza dei dati “fin dalla progettazione”, in ottemperanza agli artt. 24 e 25 del Regolamento UE n. 2016/679 (di seguito, “Regolamento”).

Risulta, quindi, innanzitutto necessario individuare i soggetti che offrono alla propria utenza il servizio di connessione Wi-Fi free (cc.dd. “service provider”) per distinguerli da coloro che invece forniscono i servizi di comunicazione elettronica (cc.dd. “resource provider”), questi ultimi destinatari di prescrizioni e obblighi normativi specifici[2].

Il servizio Wi-Fi free: le raccomandazioni del Garante Privacy e gli adempimenti privacy

Rispetto alla corretta applicazione della disciplina in materia di protezione dei dati personali connessa all’erogazione dei servizi Wi-Fi free si è espresso di recente il Garante per la Protezione dei Dati Personali (di seguito, “Garante”) con il provvedimento n. 201 del 29 ottobre 2020[3], che, nell’esprimere il proprio “Parere sullo schema di Linee guida predisposto da AgID” (di seguito, “Parere”)[4] ha emanato utili indicazioni funzionali a orientare tutte quelle realtà che, seppur appartenenti al settore privato, intendano offrire alla propria utenza un servizio di connessione Wi-Fi gratuito.

Dall’analisi del richiamato Parere emergono importanti chiarimenti sui ruoli, sulle responsabilità e sugli adempimenti privacy facenti capo ai service provider e quelli che, facenti capo ai resource provider, devono rimanervi ben distinti.

In particolare, dalla lettura del Parere si può evidenziare come, in capo ai resource provider siano imposi i seguenti oneri:

• • • obblighi di identificazione degli utenti e di conservazione dei dati di traffico telematico;
    • mettere a punto sistemi di tracciamento funzionali al raggiungimento di quanto previsto al punto precedente;
    • fornire un’apposita informativa privacy ai sensi dell’art. 13 del Regolamento in qualità di autonomo titolare del trattamento.

Diversamente, dall’altro lato, i service provider devono:

• • • dotarsidi sistemi di identificazione dell’utente, ad esempio tramite l’implementazione di un c.d. captive portal [5], al solo fine di evitare accessi alla rete in anonimato e consentire di risalire all’autore di un’eventuale condotta illecita, raccogliendo unicamente dati strettamente necessari, nel rispetto dei principi di proporzionalità e minimizzazione dei dati: a tal fine il Garante riterrebbe sufficiente la mera conservazione dei “dati relativi alla connessione e disconnessione degli utenti” [6];
    • individuare i relativi tempi di conservazione dei dati personali raccolti per fini di identificazione della propria utenza in ossequio ai principi di limitazione della conservazione e di accountability [7];
    • rispettare il principio di trasparenza [8] nei confronti degli interessati, con obbligo dunque, di rilasciare un’apposita informativa ai sensi dell’art. 13 del Regolamento, da rendere disponibile, ad esempio, all’interno del portale d’accesso al Wi-Fi free;
    • aggiornare, di conseguenza, il registro delle attività di trattamento con la dettagliata descrizione del trattamento derivante dal servizio Wi-Fi free.

Sul tema della sicurezza, il Garante rappresenta la necessità di carattere generale, in capo ai richiamati soggetti, di rispettare gli obblighi di cui agli artt. 32 del Regolamento e 132-ter del D.lgs. n. 196/2003 (“Codice Privacy”), individuando e adottando misure tecniche e organizzative di sicurezza adeguate al rischio, da sottoporre a periodica verifica.

Si evidenzia, infine, la necessità di una corretta configurazione dei rispettivi ruoli privacy del service provider e del resource provider. Alla luce del richiamato Parere, è ragionevole sostenere il seguente inquadramento, da valutarsi – s’intende – sempre caso per caso:

• • • il service provider agirebbe quale autonomo titolare del trattamento dei dati raccolti per scopi di identificazione dell’utenza che accede al Wi-Fi free, al fine di consentire di risalire all’autore di eventuali condotte illecite perpetrate attraverso l’uso della rete Wi-Fi [9];
    • il resource provider, dal canto suo, agirebbe con il “doppio cappello” sia di titolare autonomo, per il trattamento dei dati connesso alla fornitura del servizio di comunicazione elettronica in adempimento degli obblighi normativi su di esso gravanti, sia di responsabile del trattamento per conto del service provider, agendo parallelamente anche per una finalità di sicurezza imputabile a quest’ultimo. Ne consegue, dunque, la necessità di addivenire alla stipula di un apposito accordo ex 28 del Regolamento nei casi in cui il resource provider rivesta in concreto un ruolo strumentale per il service provider rispetto al trattamento dei dati personali degli utenti raccolti nell’ambito del servizio Wi-Fi free.

[1] Garantire il “diritto” alla connessione è uno fra gli obiettivi principali dell’Unione Europea: la connettività senza fili e gratuita è ritenuta lo strumento principale per colmare il c.d. digital divide. In particolare, il Parlamento europeo e il Consiglio dell’Unione europea sono intervenuti sul tema attraverso diversi Regolamenti, da ultimo il Regolamento (UE) n. 2021/1153 del 7 luglio 2021, istitutivo di un meccanismo per collegare l’Europa (“MCE”) e che abroga i Regolamenti (UE) n°1316/2013 e (UE) N° 283/2014, allo scopo di incentivare lo sviluppo della connettività senza fili gratuita. Si segnala, in particolare, l’istituzione di un programma finanziato dall’UE denominato “WiFi4EU”, il quale mira a fornire Wi-Fi gratuito nei municipi, parchi pubblici e altri centri della vita pubblica, https://wifi4eu.ec.europa.eu/#/home.

[2] Cfr. l’art. 96 del Codice delle comunicazioni elettroniche, come modificato dalla L. n. 228 del 24 dicembre 2012; gli artt. 123, 132, 132-ter del D.lgs. 30 giugno 2003, n. 196 “Codice Privacy”; l’art. 24 della L. 20 novembre 2017 n. 167, nonché il provvedimento generale del Garante Privacy del 17 gennaio 2008 concernente la “Sicurezza dei dati di traffico telefonico e telematico”, doc. web n. 1482111, successivamente integrato con il provvedimento generale del 24 luglio 2008 “Recepimento normativo in tema di dati di traffico telefonico e telematico”, doc. web n. 1538224.

[3] Garante Privacy, provvedimento n. 201 del 29 ottobre 2020 “Parere sullo schema di Linee guida predisposto da AgID”, doc. web n. 9487928. Lo schema di “Linee guida per l’erogazione del servizio pubblico Wi-Fi free” è reperibile a questo indirizzo: https://docs.italia.it/AgID/documenti-in-consultazione/lg-pubblicowififree/it/bozza/index.html.

[4] Tale provvedimento sarebbe indirizzato nello specifico all’Agenzia per l’Italia Digitale (“AgID” – www.agid.gov.it), ossia l’genzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica. Dette linee guida sarebbero, in particolare, rivolte ai soggetti di cui all’art. 2, comma 2 del Codice dell’Amministrazione Digitale, ossia alle società a controllo pubblico, alle pubbliche amministrazioni e ai gestori di servizi pubblici (cfr. art. 2, co. 2 del Codice dell’Amministrazione Digitale, https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2005-03-07;82).

[5] “Captive portal” è il termine con cui viene definita la pagina web che viene mostrata agli utenti allo scopo di autenticarsi prima di accedere a internet tramite la connessione Wi-Fi.

[6] Garante Privacy, provvedimento n. 201 del 29 ottobre 2020, cit.

[7] Art. 5, par. 1, lett. e) e par. 2 del Regolamento (UE) n. 2016/679.

[8] Art. 5, par. 1, lett. a) del Regolamento (UE) n. 2016/679.

[9] Di regola, come suggerito anche dal Garante Privacy nel provvedimento n. 201 del 29 ottobre 2020, cit., il perimetro di titolarità dei service provider include i soli dati relativi all’identificazione degli utenti e i log di connessione e disconnessione.