Redes Wifi abiertas o públicas


25/02/2020 | Maite Morera Fontanet

El uso más habitual para conectarse a redes Wifi abiertas, tanto en empresas privadas como públicas, normalmente es mediante:

  • La adaptación de instalaciones con dispositivos con acceso a la red Wifi, aportados por el responsable del tratamiento.
  • El ofrecimiento gratuito del servicio de acceso a Internet, donde el usuario aporta su propio dispositivo (smartphone, tablet, portátil, etc.) para conectarse a la red Wifi.

A partir de la aplicación del GDPR, las redes Wifi no pueden estar abiertas, ya que el uso de las redes Wifi gratuitas se considera un tratamiento de datos personales y por tanto, el responsable tendrá la obligación de exigir la identificación de las personas que vayan a ser usuarias de sus redes Wifi. Esto hace que ya no es pertinente tener colgado un cartel con las claves de acceso a la Wifi (usuario y contraseña) para que los clientes se conecten a Internet, por ejemplo, mientras estén esperando su turno, se hospedan en el hotel, hacen uso de sus instalaciones, etc.

Para poder realizar este tratamiento, será necesario instalar un sistema de identificación (HotSpot) que les exija la aceptación de unas condiciones. Un HotSpot es un punto de acceso que ofrece conexión a Internet a través de una red inalámbrica y un enrutador, conectado a un proveedor de servicios de Internet.

Por tanto, antes de permitir a los clientes o usuarios del establecimiento el acceso al Wifi se les debe facilitar a través de la página de acceso a la red Wifi, toda aquella información relativa a lo establecido en la normativa de privacidad (art. 12 y 13 GDPR):

  • El tratamiento (finalidades, legitimación, plazos de conservación).
  • La información del responsable y del encargado en su caso, así como de los destinatarios si los hubiera.
  • Los derechos de los interesados.

Esta información se daría mediante la política de privacidad y el aviso legal incluidos en las condiciones de uso de la red Wifi.

Por ejemplo y sin ser exhaustivos, las personas que deseen acceder al servicio de la red Wifi deberán:

  • Identificar al usuario mediante su DNI, Pasaporte, NIE, etc.
  • Asignar al usuario un identificador y una contraseña para acceder a Internet.

Se deberá dejar constancia de esta información en un registro documental, de forma que puedan ser posteriormente identificados en el supuesto de ser requeridos por las autoridades o fuerzas y cuerpos de seguridad en funciones de investigación de ilícitos.

Las medidas de seguridad que se deberán implementar cuando se ofrece una red Wifi pública son:

  • Identificar y analizar los riesgos asociados al tratamiento de los datos personales:
    • El análisis de riesgos debe abarcar:
      • la seguridad de la red: almacenamiento, copias de seguridad, etc.
      • la seguridad en los accesos: permisos y usuarios, incluidos los prestadores de servicio que tengan acceso de forma directa o indirecta.
  • Crear un entorno de navegación seguro, identificando y gestionando el registro de usuarios. Para ello sea cual fuera el software (HotSpot) utilizado, debe contar como mínimo en las siguientes características:
    • Informar de las condiciones de uso de la red Wifi, antes de permitir acceso.
    • Recabar consentimiento del usuario sobre el tratamiento de sus datos.
    • Instaurar un entorno de navegación seguro.
    • Identificar y gestionar a los usuarios.
    • Registrar los datos de las conexiones.
    • Si se da el caso, comunicar los incidentes de seguridad a la AEPD en un plazo máximo de 72 horas.

Ahora bien, dependiendo del tipo de servicio de acceso a la red Wifi que se quiera ofrecer, las implicaciones y requisitos legales son diferentes cuando se trata de una entidad privada o pública.

Hay que tener en cuenta que la Ley 9/2014, de 9 mayo, General de Telecomunicaciones (LGT), exige en su art. 6.2 que “los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, comunicarlo previamente al Registro de operadores (art.7 LGT) en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar”. A esto hay una excepción, en que no será necesario notificar a los operadores cuando las entidades realicen sus actividades en régimen de autoprestación.

El concepto de autoprestación no ha sido definido en ninguna norma siendo la práctica decisoria de la Comisión del Mercado de las Telecomunicaciones la que ha contribuido a perfilarlo. Entenderemos por autoprestación y, por lo tanto, no será necesario notificar la actividad para su inscripción en el Registro de Operadores, el servicio de comunicaciones limitado al uso de los trabajadores de la Administración Pública, o en el caso de acceso a Internet inalámbrico en bibliotecas y centros educativos.

En los supuestos en que aprovechando la misma infraestructura a través de la cual la Administración Pública se presta los servicios en régimen de autoprestación, se proveen servicios, mayoristas o minoristas, a terceros, la Administración Pública será considerada, en cuanto a estos últimos, explotadora de redes o prestadora de servicios de comunicaciones electrónicas a terceros, quedando por tanto sujeta a inscripción al Registro de Operadores.

Resumiendo, cualquier entidad que quiera ofrecer un servicio de Wifi abierta o pública, deberá informar previamente al Registro de Operadores, excepto cuando el responsable sea la Administración Pública y el servicio ofrecido sea considerado como autoprestación.

Normativa aplicable

  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT).
  • Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.
  • Resolución de 18 de junio de 2010, de la Presidencia de la Comisión del Mercado de las Telecomunicaciones, por la que se publica la Circular 1/2010, de la Comisión del Mercado de las Telecomunicaciones, por la que se regulan las condiciones de explotación de redes y la prestación de servicios de comunicaciones electrónicas por las Administraciones Públicas [«BOE» núm. 192, de 9 de agosto de 2010].