“Francia: la CNIL ricorda l’obbligo di conservazione dei dati da parte dei gestori dei Wi-Fi pubblici”
Il 14 maggio 2024 la Commission Nationale de l’Informatique et des Libertés (“CNIL”) ha pubblicato un documento in cui ricorda le regole che devono essere rispettate dai titolari degli spazi pubblici che offrono il servizio di WiFi.
Come noto, le reti WiFi aperte al pubblico non sono sempre sicure, essendo spesso soggette ad attacchi hacker finalizzati ad intercettare dati sensibili come password o codici di carte di pagamento. Chi fornisce l’accesso a Internet tramite un Wi-Fi pubblico deve quindi garantire la sicurezza delle reti e adottare delle misure che minimizzino i rischi utilizzando magari una crittografia all’avanguardia per rafforzare la cybersicurezza.
Con questa iniziativa l’Autorità francese si concentra sull’archiviazione dei dati personali forniti dagli utenti. Secondo la CNIL, gli aeroporti, i bar, i ristoranti, i treni – ma non solo – dovrebbero rispettare alcune semplici regole relative alla gestione e alla protezione dei dati. In particolare, in deroga al principio della cancellazione e al principio di anonimizzazione, i titolari degli spazi pubblici hanno l’obbligo di conservare i dati relativi al traffico degli utenti per consentire alla polizia – in generale, agli organi giudiziari – il perseguimento dei reati.
L’Autorità distingue tra dati relativi all’identità dell’utente – usati per l’identificazione e l’autenticazione al portale – dati di traffico e dati relativi alla sicurezza della rete.
Rispetto alla prima tipologia di dati personali quali cognome, nome, indirizzo e-mail, numero di telefono, l’obbligo di conservazione è di 5 anni. Tuttavia i dati relativi alla creazione di un account devono essere conservate per un periodo di 1 anno. Anche i dati tecnici, come ad esempio l’indirizzo IP della connessione, il numero identificativo, il numero di identificazione, il numero di telefono devono essere conservati per un anno. I dati relativi alla sicurezza delle reti potranno, invece, essere conservati per un periodo massimo di 3 mesi. Questi ultimi sono i dati per identificare l’origine della comunicazione; le caratteristiche tecniche nonché la data, l’ora e la durata di ciascuna comunicazione; i dati tecnici che identificano il/i destinatario/i della comunicazione; i dati relativi ai servizi aggiuntivi richiesti ai relativi fornitori.
A loro volta gli utenti possono esercitare il diritto di accesso per sapere se è in corso un trattamento di dati personali e ottenerne la comunicazione in un formato comprensibile. Possono, infine, chiederne la rettifica o la cancellazione.
