Redes Wifi abiertas o públicas


Maite Morera Fontanet     25/02/2020

El uso más habitual para conectarse a redes Wifi abiertas, tanto en empresas privadas como públicas, normalmente es mediante:

  • La adaptación de instalaciones con dispositivos con acceso a la red Wifi, aportados por el responsable del tratamiento.
  • El ofrecimiento gratuito del servicio de acceso a Internet, donde el usuario aporta su propio dispositivo (smartphone, tablet, portátil, etc.) para conectarse a la red Wifi.

A partir de la aplicación del GDPR, las redes Wifi no pueden estar abiertas, ya que el uso de las redes Wifi gratuitas se considera un tratamiento de datos personales y por tanto, el responsable tendrá la obligación de exigir la identificación de las personas que vayan a ser usuarias de sus redes Wifi. Esto hace que ya no es pertinente tener expuesto un cartel con las claves de acceso a la Wifi (usuario y contraseña) para que los usuarios (clientes, pacientes, ...) se conecten a Internet, por ejemplo, mientras estén esperando su turno, se hospedan en el hotel, hacen uso de sus instalaciones, etc.

Para poder realizar este tratamiento, será necesario instalar un sistema de identificación (HotSpot) que les exija la aceptación de unas condiciones. Un HotSpot es un punto de acceso que ofrece conexión a Internet a través de una red inalámbrica y un enrutador, conectado a un proveedor de servicios de Internet. Lo que significa que deberemos identificar y estructurar este tratamiento para incluirlo en el registro de actividades del responsable (art. 30 GDPR).

Por tanto, antes de permitir a los clientes o usuarios del establecimiento el acceso a la Wifi se les debe facilitar, normalmente a través de la página de acceso a la red Wifi, toda aquella información relativa a lo establecido en la normativa de privacidad (art. 12 y 13 GDPR):

  • El tratamiento (finalidades, legitimación, plazos de conservación).
  • La información del responsable y del encargado en su caso, así como de los destinatarios si los hubiera.
  • Los derechos de los interesados.

Esta información se puede facilitar mediante la política de privacidad y el aviso legal incluidos en las condiciones de uso de la red Wifi.

Por ejemplo y sin ser exhaustivos, a las personas (usuarios) que deseen acceder al servicio de la red Wifi se les deberán:

  • Identificar mediante su DNI, Pasaporte, NIE, etc.
  • Asignar un identificador y una contraseña para acceder a Internet.

Se deberá dejar constancia de esta información en un registro documental, de forma que puedan ser posteriormente identificados en el supuesto de ser requeridos por las autoridades o fuerzas y cuerpos de seguridad del estado en funciones de investigación de ilícitos.

Las medidas de seguridad que se deberán implementar cuando se ofrece una red Wifi pública son:

  • Identificar y analizar los riesgos asociados al tratamiento de los datos personales:
    • el análisis de riesgos debe abarcar:
      • la seguridad de la red: almacenamiento, copias de seguridad, etc.
      • la seguridad en los accesos: permisos y usuarios, incluidos los prestadores de servicio que tengan acceso de forma directa o indirecta.
  • Crear un entorno de navegación seguro, identificando y gestionando el registro de usuarios. Para ello sea cual fuera el software (HotSpot) utilizado, debe contar como mínimo en las siguientes características:
    • Informar de las condiciones de uso de la red Wifi, antes de permitir acceso.
    • Recabar consentimiento del usuario sobre el tratamiento de sus datos.
    • Instaurar un entorno de navegación seguro.
    • Identificar y gestionar a los usuarios.
    • Registrar los datos de las conexiones.
    • Si se da el caso, comunicar los incidentes de seguridad a la AEPD en un plazo máximo de 72 horas.

Ahora bien, dependiendo del tipo de servicio de acceso a la red Wifi que se quiera ofrecer, las implicaciones y requisitos legales son diferentes cuando se trata de una entidad privada o pública.

Hay que tener en cuenta que la Ley 9/2014, de 9 mayo, General de Telecomunicaciones (LGT), exige en su art. 6.2 que “los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, comunicarlo previamente al Registro de operadores (art.7 LGT) en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar”. A esto hay una excepción, en que no será necesario notificar a los operadores cuando las entidades realicen sus actividades en régimen de autoprestación.

En los supuestos en que aprovechando la misma infraestructura a través de la cual la Administración Pública se presta los servicios en régimen de autoprestación, se proveen servicios, mayoristas o minoristas, a terceros, la Administración Pública será considerada, en cuanto a estos últimos, explotadora de redes o prestadora de servicios de comunicaciones electrónicas a terceros, quedando por tanto sujeta a inscripción al Registro de Operadores.

En los casos en que la explotación se realiza por entidades privadas (restaurantes, centros comerciales, hoteles, etc.) como una prestación más de sus servicios hacia sus clientes no será necesaria su notificación fehaciente al Registro de Operadores por considerarse como una actividad no disponible al público en general, o como autoprestación.

En cambio, sí será necesario que comuniquen su condición de operador en relación con el establecimiento de la red pública de comunicaciones electrónicas para su inscripción en el Registro de Operadores, cuando los usuarios sean terceros y cuya relación con el operador (con el establecimiento) se deriva del uso de su red WiFi, a diferencia del caso anterior en el que sería una prestación accesoria de la principal del titular (restaurante, hotel, centro comercial, etc). Es decir, solo cuando la red que se explote es pública y cuando el servicio que se presta está disponible al público.

Resumiendo, cualquier entidad que quiera ofrecer un servicio de Wifi abierta o pública, deberá informar previamente al Registro de Operadores, excepto cuando el servicio ofrecido sea considerado como autoprestación.

Normativa aplicable

  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGT).
  • Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.
  • Resolución de 18 de junio de 2010, de la Presidencia de la Comisión del Mercado de las Telecomunicaciones, por la que se publica la Circular 1/2010, de la Comisión del Mercado de las Telecomunicaciones, por la que se regulan las condiciones de explotación de redes y la prestación de servicios de comunicaciones electrónicas por las Administraciones Públicas [«BOE» núm. 192, de 9 de agosto de 2010].