Saltar al contenido principal

Cumplimiento del GDPR en redes WiFi: cómo recopilar de forma segura datos de invitados a través de portales cautivos

Esta guía técnica ofrece a los directores de TI, arquitectos de redes y directores de operaciones de sedes un marco práctico para lograr el cumplimiento del GDPR en los despliegues de WiFi para invitados. Abarca cómo recopilan datos personales los portales cautivos, cómo asegurar el consentimiento explícito y cómo implementar políticas automatizadas de retención de datos que protejan a su organización de multas regulatorias de hasta el 4 % de la facturación global. La plataforma de WiFi para invitados de Purple se adapta directamente a cada requisito de cumplimiento, desde el registro de consentimientos hasta la eliminación de datos con un solo clic.

📖 8 min de lectura📝 1,889 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Hoy analizamos un problema de cumplimiento crítico para los responsables de TI: la protección de los datos de los usuarios mediante portales cautivos WiFi bajo el GDPR. Soy Estratega Senior de Contenido Técnico en Purple y, en los próximos diez minutos, cubriremos la arquitectura, los errores más comunes y los pasos exactos que debe seguir para proteger su red y a sus usuarios. Comencemos con la realidad de las redes modernas. Cuando un visitante se conecta a su WiFi de invitados, ya sea un cliente en una tienda, un huésped en un hotel o un aficionado en un estadio, usted está recopilando datos personales. No se trata solo de la dirección de correo electrónico que introducen en el captive portal. Es la dirección MAC de su dispositivo. Es la marca de tiempo de su sesión. Bajo el Reglamento General de Protección de Datos (GDPR), usted pasa a ser un responsable del tratamiento de datos, y esos datos están fuertemente regulados. Para enero de 2025, las autoridades de control del GDPR habían impuesto multas acumuladas por un total de aproximadamente cinco mil ochocientos ochenta millones de euros. La sanción máxima por una sola infracción es del cuatro por ciento de la facturación anual global. Esto no es un riesgo teórico. Es un riesgo operativo real. El núcleo de su estrategia de cumplimiento es el captive portal. Aquí es donde se asegura la base legal para procesar esos datos. El error más común que vemos es lo que llamo consentimiento combinado. No se puede obligar a un usuario a suscribirse a su boletín de marketing para poder conectarse. El GDPR exige que el consentimiento sea libre, específico, informado e inequívoco. Libre significa que el usuario tiene una opción real. Si no pueden acceder al WiFi sin marcar la casilla de marketing, eso es coacción, no consentimiento. Su captive portal debe separar las condiciones de servicio para el acceso a la red de la opción de recibir marketing. La casilla de verificación de marketing debe estar desmarcada por defecto. Si la dejan en blanco, debe seguir enrutando su tráfico y concederles acceso. Esto no es negociable. Los establecimientos que lo hacen bien, incluidos los hoteles Premier Inn y Whitbread que funcionan con Purple, registran tasas de aceptación de marketing del treinta al cuarenta por ciento. Es una cifra menor de la que produciría una suscripción obligatoria, pero se trata de una audiencia de una calidad mucho mayor. Hablemos de arquitectura. Necesita una plataforma de gestión del consentimiento (CMP) integrada con su hardware WiFi. Tanto si utiliza Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, el flujo es el mismo. El punto de acceso enruta el tráfico no autenticado al portal. El portal captura el consentimiento explícito y registra la marca de tiempo exacta y la versión de la política de privacidad que vio el usuario. Ese registro es su pista de auditoría. Si la Oficina del Comisionado de Información llama a su puerta, ese registro demuestra su cumplimiento. El siguiente punto es la Minimización de datos. Cada campo que añade a su formulario de inicio de sesión aumenta su carga de cumplimiento y disminuye su tasa de finalización. ¿Realmente necesita una dirección postal? No. Limítese a una dirección de correo electrónico y un nombre de pila. Valide el correo electrónico para garantizar la integridad de la base de datos y continúe. La plataforma de Purple aplica esto por diseño, instando a los operadores a justificar cada campo adicional antes de añadirlo a un portal activo. Ahora bien, ¿qué ocurre después de que se conecten? No puede acumular datos indefinidamente. Debe implementar políticas automatizadas de retención de datos. Un marco estándar es el siguiente: conserve los registros de sesión durante treinta días para la resolución de problemas; conserve los registros de seguridad durante doce meses para respaldar la investigación de incidentes; conserve los registros de consentimiento durante dos años tras la última interacción; conserve los perfiles de marketing únicamente hasta que el usuario retire su consentimiento. Si depende de consultas SQL manuales para limpiar su base de datos, está asumiendo un riesgo innecesario. Automatice la purga. Purple gestiona esto de forma nativa, aplicando reglas de retención por categoría de datos sin requerir intervención manual de su equipo de TI. Pasemos a la seguridad de la red. El cifrado es un requisito básico del GDPR, no un extra opcional. Todo el tráfico del Captive Portal debe utilizar HTTPS. Las implementaciones modernas deberían implementar WPA3 para un cifrado inalámbrico más sólido. El tráfico de invitados debe estar aislado de su red corporativa mediante VLAN dedicadas. Esto evita que un dispositivo de invitado comprometido acceda a los sistemas internos. Para los establecimientos que procesan datos de visitantes europeos, asegúrese de que sus datos se almacenen en servidores dentro de la UE para cumplir con los requisitos de soberanía de datos. Ahora repasemos una sesión rápida de preguntas y respuestas basada en escenarios que vemos habitualmente. Pregunta uno: Un usuario solicita que eliminemos todos sus datos bajo el Derecho de supresión. ¿Con qué rapidez debemos actuar? Respuesta: Tiene treinta días a partir de la fecha de la solicitud. Su equipo de TI necesita un panel de control centralizado donde puedan buscar una dirección de correo electrónico y ejecutar una eliminación permanente en todos los sistemas. Purple ofrece esto como una operación de un solo clic, eliminando el riesgo de pasar por alto un silo de datos. Pregunta dos: ¿Es una dirección MAC realmente un dato personal si no conocemos el nombre del usuario? Respuesta: Sí. Dado que una dirección MAC puede aislar e identificar un dispositivo específico, y rastrear su ubicación física a lo largo del tiempo, el GDPR la clasifica como dato personal. Incluso si nunca la vincula a un nombre, la posibilidad de identificación es suficiente. Pregunta tres: Utilizamos el inicio de sesión social en nuestro portal. ¿Cumple esto con la normativa? Respuesta: Puede cumplirla. Pero debe ser transparente sobre qué datos recibe de la plataforma social y obtener un consentimiento independiente para cualquier uso de marketing. No asuma que el inicio de sesión social cubre todas las actividades de procesamiento.Pregunta cuatro. ¿Necesitamos una Evaluación de Impacto de Protección de Datos antes de implementar la analítica WiFi? Respuesta: Si procesa datos de ubicación a gran escala o elabora perfiles de comportamiento de los visitantes, sí. Una evaluación de impacto es obligatoria por ley antes de implementar sistemas que impliquen el seguimiento a gran escala de personas en un espacio físico. Veamos dos escenarios del mundo real para poner esto en práctica. Escenario uno: una cadena minorista de ciento cincuenta tiendas. El director de TI desea recopilar correos electrónicos de compradores para la integración con el CRM, pero le preocupa el GDPR. La solución es implementar un Captive Portal sobre sus puntos de acceso Cisco Meraki existentes. El portal requiere que los usuarios acepten los Términos de Servicio para acceder a la red. Debajo de esto, una casilla de verificación separada y desmarcada pregunta: Acepto recibir ofertas promocionales por correo electrónico. El sistema valida la dirección de correo electrónico. Si el comprador se conecta sin marcar la casilla de marketing, Purple registra la conexión pero marca el perfil como autoexcluido en la integración con el CRM. Este enfoque se adhiere estrictamente al requisito del GDPR de desvincular el acceso a la red del consentimiento de marketing. Escenario dos: el responsable de TI de un estadio recibe una Solicitud de Acceso del Interesado de un aficionado. En lugar de consultar manualmente los registros de RADIUS y las bases de datos de marketing, el responsable de TI utiliza el panel de control de Purple. Busca la dirección de correo electrónico validada del usuario, lo que extrae el perfil completo, incluidas las direcciones MAC, las marcas de tiempo de conexión y los registros de consentimiento. El responsable ejecuta la eliminación, que purga automáticamente los registros de la base de datos activa y los marca para su eliminación de las copias de seguridad dentro del plazo legal de treinta días. Para resumir. El cumplimiento del GDPR para el WiFi de invitados requiere cuatro cosas. Primero, casillas de verificación desmarcadas y consentimiento explícito para cada finalidad de tratamiento. Segundo, una minimización estricta de datos en el formulario de su Captive Portal. Tercero, políticas de retención automatizadas que eliminen los datos cuando ya no sean necesarios. Cuarto, un sistema centralizado que pueda responder a las Solicitudes de Acceso de los Interesados en un plazo de treinta días. Hacer esto bien hace más que evitar multas. Desarrolla un activo de datos de origen limpio, validado y de primera mano que sus equipos de marketing pueden usar de verdad, al tiempo que mantiene la infraestructura de TI segura y auditable. Purple procesa cuatrocientos cuarenta millones de inicios de sesión al año en más de ochenta mil sedes en directo, proporcionando la capa en la nube que automatiza todo este ciclo de vida de cumplimiento. Su siguiente paso es auditar su implementación actual de WiFi de invitados. Revise su Captive Portal para detectar consentimientos agrupados. Compruebe la configuración de retención de datos. Confirme que dispone de un Anexo de Tratamiento de Datos con su proveedor de plataforma WiFi. Y asegúrese de que su equipo conoce el plazo de treinta días para las Solicitudes de Acceso de los Interesados. Gracias por escuchar esta Sesión Técnica de Purple. Para obtener recursos más detallados, visite purple dot ai. Manténgase en conformidad y manténgase seguro.

header_image.png

Resumen ejecutivo

El WiFi para invitados ya no es un simple servicio de cortesía. Cada inicio de sesión en un Captive Portal es un evento de recopilación de datos regulado. Cuando los invitados se conectan a su red, usted captura datos de registro, identificadores de dispositivos, metadatos de sesión y posibles datos de ubicación. Bajo el GDPR, usted es el responsable del tratamiento de todos estos datos.

A fecha de enero de 2025, las autoridades de control de GDPR han impuesto multas acumuladas que ascienden a aproximadamente 5880 millones de euros (encuesta de multas y brechas de datos GDPR de DLA Piper, enero de 2025). Una sola infracción puede dar lugar a multas de hasta el 4 % de la facturación anual global o 20 millones de euros, lo que sea mayor. Para los grupos hoteleros o las cadenas de tiendas, esto representa un riesgo financiero significativo.

Esta guía detalla la arquitectura técnica necesaria para recopilar de forma segura y legal los datos de los invitados. Analizamos el diseño del consentimiento en el Captive Portal, la segmentación de red, la automatización de la retención de datos y cómo responder a las solicitudes de acceso a datos de los interesados dentro del límite legal de 30 días. La plataforma de Guest WiFi y las herramientas de WiFi Analytics de Purple se alinean directamente con cada uno de estos requisitos, operando en más de 80 000 ubicaciones físicas y procesando hasta 440 millones de inicios de sesión al año (datos internos de Purple, 2024).


Análisis técnico detallado: Qué datos recopila y por qué es importante

Comprender la importancia del cumplimiento de GDPR para el WiFi de invitados comienza con la clasificación correcta de los datos procesados por su red. Muchos operadores subestiman este alcance. La definición de datos personales de GDPR es extremadamente amplia: cualquier información relativa a una persona física identificada o identificable. En el contexto del WiFi para invitados, esto abarca mucho más que los simples campos de su formulario de inicio de sesión.

Categoría de datos Ejemplo Clasificación de GDPR Base jurídica requerida
Datos de registro Nombre, dirección de correo electrónico, número de teléfono Datos personales Consentimiento
Identificadores de dispositivo Dirección MAC, tipo de dispositivo Datos personales Consentimiento o Interés legítimo
Metadatos de sesión Hora de conexión, duración, volumen de datos Datos personales Interés legítimo (Gestión de red)
Datos de ubicación Mapas de calor de afluencia, tiempos de permanencia por zonas Datos personales sensibles Consentimiento explícito
Incluso sin un nombre asociado, una dirección MAC constituye un dato personal. Dado que identifica a un dispositivo específico y rastrea su movimiento físico dentro de un recinto, este potencial de identificación es suficiente para ser considerado dato personal bajo el GDPR. La aleatorización de direcciones MAC en los dispositivos modernos con iOS y Android complica el análisis, pero no elimina las obligaciones de cumplimiento en el momento de la recopilación.

Arquitectura de consentimiento

El Captive Portal es su interfaz de conformidad principal. El artículo 7 del GDPR exige que el consentimiento debe ser libre, específico, informado e inequívoco. En la práctica, esto significa que su portal debe realizar dos tareas de forma correcta.

En primer lugar, separe el acceso a la red del consentimiento de marketing. No puede condicionar el acceso a la WiFi a que el usuario acepte recibir correos electrónicos promocionales. Si es obligatorio marcar una casilla de marketing para conectarse, el consentimiento es forzado, no libre. La casilla de verificación debe estar desmarcada por defecto, y los usuarios deben poder conectarse sin tener que marcarla.

En segundo lugar, registre cada evento de consentimiento. Su plataforma de gestión de consentimiento (CMP) debe registrar quién dio su consentimiento, cuándo lo dio, para qué lo dio y la versión exacta de la política de privacidad que se le mostró. Este registro de auditoría es su primera línea de defensa durante una investigación reglamentaria.

gdpr_captive_portal_architecture.png

La solución Purple Capture incluye una CMP integrada que registra marcas de tiempo y versiones de la política de privacidad para todos los eventos de consentimiento. Cuando la ICO solicite pruebas de conformidad, podrá simplemente exportar los registros en lugar de intentar reconstruirlos de memoria.

Requisitos de seguridad de red

El artículo 32 del GDPR exige medidas técnicas adecuadas para proteger los datos personales. Para la WiFi de invitados, esto se traduce en tres controles no negociables.

Cifrado en tránsito. Todo el tráfico del Captive Portal debe utilizar HTTPS. Las implementaciones modernas deben implementar WPA3 para un cifrado inalámbrico más sólido, sustituyendo a WPA2 allí donde exista compatibilidad de hardware. El saludo Simultaneous Authentication of Equals (SAE) de WPA3 elimina los ataques de diccionario fuera de línea que comprometen las redes WPA2-PSK.

Segmentación de red. El tráfico de la WiFi de invitados debe estar aislado de la red corporativa mediante una VLAN dedicada. Esto evita que los dispositivos de invitados comprometidos accedan a los sistemas internos. En implementaciones de Cisco Meraki, HPE Aruba y Juniper Mist, Purple configura automáticamente esta segmentación como parte de la configuración de la superposición de nube.

Soberanía de datos. Los datos de los clientes europeos deben residir en servidores alojados dentro de la UE. Si su plataforma de WiFi almacena datos en una infraestructura con sede en EE. UU. sin los mecanismos de transferencia adecuados, estará incumpliendo el capítulo V del GDPR. Purple mantiene la residencia de datos en la UE para las implementaciones europeas.

Para profundizar en la arquitectura de seguridad de redes empresariales, consulte nuestra Enterprise WiFi Security: A Complete Guide for 2026 .


Guía de implementación: Despliegue de un portal conforme a la normativa

Paso 1: Audite su recopilación de datos actual

Antes de reconfigurar nada, identifique cada dato recopilado por su portal actual. Esto incluye los campos de los formularios, los datos registrados por los servidores RADIUS y cualquier integración con terceros que reciba datos de invitados. Este documento de Registro de Actividades de Tratamiento (RAT) es un requisito del GDPR para la mayoría de las organizaciones y es el punto de partida para identificar posibles deficiencias.

Paso 2: Rediseñar los formularios del portal

Aplique el principio de minimización de datos. Si su objetivo es proporcionar un acceso básico a la red, una dirección de correo electrónico es suficiente. Si está creando una base de datos de marketing para una cadena de retail , incluya el nombre de pila. No incluya direcciones postales, fechas de nacimiento ni números de teléfono a menos que tenga una necesidad comercial específica y documentada.

Implemente la verificación de correo electrónico para rechazar direcciones no válidas. Esto protege la integridad de la base de datos y simplifica las futuras solicitudes de derechos de los interesados (DSAR). Los portales de Purple aplican la verificación de correo electrónico en tiempo real antes de conceder el acceso.

Al diseñar la estructura de su Captive Portal, debe incluir dos interacciones distintas:

  1. Aceptación de las Condiciones de Servicio: obligatoria para la conexión, que cubre el tratamiento de datos básico necesario para proporcionar el servicio de red.
  2. Casilla de consentimiento de marketing: opcional, desmarcada por defecto y acompañada de una explicación clara y sencilla de lo que el usuario está consintiendo.

retail_wifi_consent.png

Paso 3: Configurar la retención automatizada de datos

El GDPR prohíbe el almacenamiento indefinido de datos. Defina períodos de retención para cada categoría de datos y automatice su eliminación.

data_retention_infographic.png

Los períodos de retención que se muestran arriba son líneas de base recomendadas. Ajústelos a sus requisitos operativos específicos y documente la justificación de cada período. Purple aplica estas reglas de forma nativa, purgando los registros sin requerir consultas manuales a la base de datos por parte de su equipo de TI.

Paso 4: Habilitar la gestión de los derechos de los interesados

Bajo el GDPR, los usuarios tienen derecho a acceder, rectificar y eliminar sus datos. Dispone de 30 días para responder a una solicitud. Sus sistemas deben ser capaces de:

  • Localizar a un usuario en todos los almacenes de datos utilizando su dirección de correo electrónico o dirección MAC.
  • Exportar su historial completo en un formato legible por máquina (JSON o CSV).
  • Ejecutar una eliminación permanente en las bases de datos activas y marcar los registros para su eliminación de las copias de seguridad.

Purple centraliza esta operación en un único panel de control. Las solicitudes de acceso de los interesados, que antes requerían horas de consultas SQL manuales, ahora pueden completarse en minutos.

Paso 5: Realizar una Evaluación de Impacto de la Protección de Datos

Si implementa analítica de ubicación, mapas de calor de afluencia o perfiles de comportamiento a través de su red WiFi, la realización de una Evaluación de Impacto de Protección de Datos (DPIA) es un requisito legal antes del lanzamiento. Una DPIA identifica los riesgos de privacidad y documenta las medidas de mitigación que ha implementado. Para grandes recintos como estadios o centros de convenciones que gestionan miles de asistentes simultáneamente, este es un paso crítico.

Para obtener una plantilla detallada, consulte nuestra guía completa: The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance .

-

Caso de éxito: Premier Inn y Whitbread

Whitbread, la empresa matriz de Premier Inn, opera una de las redes de WiFi para el sector de la hostelería más grandes del Reino Unido. Al implementar Purple en todos sus establecimientos de hostelería , centralizaron la gestión del consentimiento en cientos de ubicaciones. Cada página del portal presenta un proceso de consentimiento claro y conforme a la normativa. A través de un intercambio de valor transparente en lugar de una suscripción forzada, lograron una tasa de aceptación de marketing del 30 al 40%. El resultado es un activo de datos de origen (first-party data) verificado que se alimenta directamente a su CRM y programas de fidelización, con un historial de auditoría completo para cada evento de consentimiento.

Caso de éxito: Manchester Airports Group (MAG)

MAG opera tres de los principales aeropuertos del Reino Unido y gestiona datos de pasajeros a gran escala dentro de centros de transporte . El WiFi para invitados de los aeropuertos se enfrenta a retos de cumplimiento específicos: pasajeros de múltiples jurisdicciones que se conectan simultáneamente, cada uno potencialmente sujeto a diferentes normativas de protección de datos. La implementación de Purple para MAG aplica procesos de consentimiento conformes con el GDPR para los viajeros de la UE, al tiempo que mantiene la flexibilidad operativa para ajustar las configuraciones del portal para cada terminal. Los registros de sesión se eliminan automáticamente después de 30 días, y el equipo de seguridad puede responder a las Solicitudes de Acceso de los Interesados (DSAR) sin tener que consultar registros RADIUS fragmentados.

-

Buenas prácticas

Realice evaluaciones de proveedores. Su proveedor de plataforma de WiFi actúa como encargado del tratamiento de datos en virtud del GDPR. Antes de compartir cualquier dato personal con ellos, debe tener un anexo de tratamiento de datos (DPA) formal firmado. Verifique sus certificaciones de seguridad. Purple está certificado en ISO 27001, GDPR, CCPA y Cyber Essentials.

Supervise las tasas de finalización del portal. Las altas tasas de abandono en su Captive Portal indican formularios excesivamente complejos o un lenguaje de consentimiento poco claro. Simplifique las solicitudes de datos. Menos campos mejoran el cumplimiento y mejoran la experiencia del invitado.

Capacite al personal de primera línea. El personal debe comprender cómo gestionar las preguntas de los invitados sobre la recopilación de datos, a dónde dirigir las solicitudes de los interesados y por qué no se permiten las casillas premarcadas. Una sesión informativa de 30 minutos puede evitar fallos comunes de cumplimiento.

Revise sus portales trimestralmente. Las normativas evolucionan. El redactado de un aviso de privacidad que era suficiente en 2023 puede no reflejar las directrices actuales de la ICO. Programe una revisión trimestral de las configuraciones de sus portales, políticas de privacidad y registros de consentimiento.

Para obtener orientación sobre cómo diseñar formularios de recopilación de datos de alto rendimiento que equilibren el cumplimiento con las tasas de conversión, consulte nuestra guía: Design of a Survey: A Practical Guide for Physical Spaces .

-

Resolución de problemas y mitigación de riesgos

Casillas de consentimiento marcadas por defecto. El fallo de cumplimiento más común. Audite cada portal en todo su patrimonio y verifique que todas las casillas de marketing estén desmarcadas por defecto. En un portal de alto tráfico, una sola casilla marcada por defecto puede constituir una infracción sistémica del GDPR.

Avisos de privacidad ambiguos. Reemplace frases genéricas como "Podemos utilizar sus datos para diversos fines" por descripciones específicas: "Utilizamos su dirección de correo electrónico para enviarle ofertas promocionales de [Brand]. Puede darse de baja en cualquier momento". El lenguaje ambiguo no cumple con el requisito de "consentimiento informado" para que el consentimiento sea válido.

Acumulación de datos obsoletos. Si su base de datos contiene perfiles de invitados de hace tres o más años sin actividad reciente, está reteniendo datos más allá de su finalidad lícita. Realice una auditoría para purgar los registros inactivos de inmediato y configure la eliminación automatizada de cara al futuro.

Almacenamiento de datos fragmentado. Los datos de los invitados a menudo terminan dispersos en múltiples sistemas: la plataforma de WiFi, el CRM, las herramientas de marketing por correo electrónico y los servidores RADIUS. Cuando se recibe una solicitud de acceso a los datos de carácter personal (DSAR), debe localizar y eliminar los datos en todos ellos. Trace sus flujos de datos ahora para evitar prisas de última hora cuando haya presión de tiempo.

Notificación de brechas de seguridad. Con arreglo al artículo 33 del GDPR, debe notificar a la ICO cualquier brecha de seguridad de los datos personales en un plazo de 72 horas tras haber tenido conocimiento de ella. Integre este plazo en su plan de respuesta ante incidentes. El tiempo empieza a correr cuando se detecta la brecha, no cuando finaliza la investigación.

-

ROI e impacto empresarial

El cumplimiento normativo no es un centro de costes. Un despliegue de WiFi para invitados que cumpla con el GDPR y esté bien configurado impulsa tres resultados empresariales medibles.

Datos de marketing de mayor calidad. Los visitantes que aceptan activamente recibir marketing están más comprometidos que aquellos que son forzados. Los portales cautivos conformes generan listas de correo electrónico que, aunque son más reducidas, tienen una mayor calidad, lo que se traduce en mayores tasas de apertura, menos quejas y una mejor reputación del remitente.

Menores costes operativos indirectos. El registro automatizado del consentimiento y las funciones de retención de datos eliminan horas de gestión manual de bases de datos. Los equipos de TI pueden centrar su tiempo en la infraestructura en lugar de en el mantenimiento del cumplimiento normativo.

Mitigación del riesgo normativo. Con multas acumuladas de GDPR que superan los 5880 millones de euros a principios de 2025 (DLA Piper, enero de 2025), el coste del incumplimiento es significativo. Una plataforma conforme elimina el riesgo de sanciones de hasta el 4 % de la facturación global.

Purple ha recopilado 29.000 millones de puntos de datos en más de 80.000 establecimientos, lo que demuestra que el cumplimiento normativo de nivel empresarial escala con el crecimiento del negocio. El tiempo de actividad del 99,999 % de la plataforma garantiza que la infraestructura de cumplimiento nunca sea un riesgo para la disponibilidad de la red.

Definiciones clave

Captive portal

Una página web que un usuario debe ver e interactuar con ella antes de que se le conceda acceso a una red WiFi pública. Normalmente se sirve interceptando el tráfico HTTP y redirigiéndolo a la URL del portal.

El captive portal es la interfaz principal para el cumplimiento del GDPR. Es donde se presenta el aviso de privacidad, se obtiene el consentimiento explícito y se validan las credenciales de usuario antes de conceder acceso a la red.

Responsable del tratamiento

La entidad que determina los fines y los medios del tratamiento de datos personales.

Cuando un establecimiento ofrece WiFi para invitados, el operador del establecimiento es el Responsable del tratamiento. Este tiene la responsabilidad legal principal del cumplimiento del GDPR, incluida la obligación de responder a las solicitudes DSAR y notificar las brechas a la autoridad de control.

Encargado del tratamiento

Una entidad que trata datos personales en nombre del Responsable del tratamiento, en virtud de un anexo de tratamiento de datos (DPA) formal.

Una plataforma de WiFi para invitados como Purple actúa como Encargado del tratamiento. El establecimiento debe contar con un DPA firmado con Purple antes de que se comparta cualquier dato personal. Verifique las certificaciones ISO 27001 y GDPR del encargado antes del despliegue.

Consentimiento explícito

Una acción clara y afirmativa del usuario por la que acepta el tratamiento de sus datos personales para un fin específico. Las casillas premarcadas, el silencio y la inacción no constituyen un consentimiento válido en virtud del artículo 7 del GDPR.

En los portales cautivos, el consentimiento explícito requiere una casilla de verificación desmarcada con una descripción en lenguaje sencillo de la actividad de tratamiento. Se requiere una casilla de verificación independiente para cada finalidad distinta.

Minimización de datos

El principio del GDPR según el cual los datos personales recopilados deben ser adecuados, pertinentes y limitados a lo necesario para la finalidad declarada.

Los equipos de TI deben aplicar la minimización de datos al configurar los formularios del portal cautivo. Recopilar la fecha de nacimiento o la dirección postal con el fin de proporcionar acceso a internet es excesivo y no cumple con la normativa.

Derecho de supresión

También conocido como el derecho al olvido, permite a los usuarios solicitar la eliminación de sus datos personales cuando ya no sean necesarios para el fin con el que se recopilaron.

Los equipos de TI deben disponer de un sistema capaz de ejecutar una purga completa de datos en todas las bases de datos y copias de seguridad en un plazo de 30 días a partir de una solicitud. Los almacenes de datos fragmentados hacen que esta operación sea compleja sin una plataforma centralizada.

Dirección MAC

Un identificador único asignado a un controlador de interfaz de red, utilizado para las comunicaciones en la capa de enlace de datos de una red.

Según el GDPR, una dirección MAC es un dato personal porque puede identificar un dispositivo específico y rastrear su movimiento físico. La aleatorización de direcciones MAC en los dispositivos modernos complica las analíticas, pero no elimina la obligación de cumplimiento en el momento de la recopilación.

Política de retención de datos

Un marco documentado que define durante cuánto tiempo se almacenarán las diferentes categorías de datos personales antes de su eliminación automatizada.

La política de retención es un requisito del GDPR. Los establecimientos deben definir y aplicar límites de retención por categoría de datos: normalmente 30 días para los registros de sesión, 12 meses para los registros de seguridad y hasta la retirada del consentimiento para los perfiles de marketing.

DPIA (Evaluación de impacto de la protección de datos)

Un proceso para identificar y mitigar los riesgos de privacidad antes de desplegar una nueva actividad de tratamiento de datos, exigido legalmente por el artículo 35 del GDPR para tratamientos de alto riesgo.

Una DPIA es obligatoria antes de desplegar sistemas de WiFi para invitados que impliquen el seguimiento de ubicación a gran escala, la elaboración de perfiles de comportamiento o el tratamiento de datos de grupos vulnerables, como los niños.

VLAN (Red de área local virtual)

Una segmentación lógica de una red física que aísla el tráfico entre grupos de dispositivos.

El tráfico de WiFi para invitados debe aislarse de las redes corporativas mediante VLAN dedicadas. Esto evita que un dispositivo de invitado comprometido acceda a los sistemas internos y es un requisito técnico de seguridad básico del GDPR.

Ejemplos prácticos

¿Cómo debe configurarse el portal si una cadena minorista de 150 tiendas desea recopilar los correos electrónicos de los compradores a través de WiFi para invitados para integrarlos con su CRM, pero el director de TI está preocupado por el cumplimiento del GDPR en relación con el consentimiento de marketing?

Despliegue un portal cautivo a través de Purple sobre los puntos de acceso Cisco Meraki existentes. Configure el portal con dos interacciones distintas. En primer lugar, una casilla de verificación de aceptación de las Condiciones de servicio (obligatoria para conectarse), que establece la base legal para procesar datos básicos de conexión bajo interés legítimo. En segundo lugar, una casilla de verificación independiente y sin marcar que indique: "Acepto recibir ofertas promocionales por correo electrónico de [Marca]". Active la validación de correo electrónico en tiempo real para rechazar direcciones no válidas. Configure la integración con el CRM para transferir únicamente los perfiles en los que la marca de consentimiento de marketing esté establecida en "true". Si un comprador se conecta sin marcar la casilla de marketing, Purple registra la conexión pero marca el perfil como autoexcluido y lo excluye de la sincronización con el CRM. Los registros de sesión se purgan automáticamente después de 30 días. El equipo de TI puede exportar el registro de auditoría de consentimiento en cualquier momento para demostrar el cumplimiento.

Comentario del examinador: Esta configuración cumple estrictamente el requisito del GDPR de desvincular el acceso a la red del consentimiento de marketing. Al utilizar una casilla desmarcada, el minorista garantiza que el consentimiento se otorga de forma libre e inequívoca. El filtro de integración con el CRM asegura que solo los usuarios que hayan dado su consentimiento entren en la base de datos de marketing, lo que evita comunicaciones accidentales no conformes. La validación del correo electrónico protege la integridad de la base de datos y simplifica los futuros ejercicios de derechos de los interesados (DSAR).

El director de TI de un estadio recibe una solicitud de acceso a datos personales (DSAR) de un aficionado que desea que se eliminen todos sus datos personales y su historial de conexión. El aficionado se conectó al WiFi para invitados en cinco eventos durante dos años. ¿Cómo debe responder el equipo de TI?

Utilizando el panel de control de Purple, el director de TI busca la dirección de correo electrónico validada del usuario. La búsqueda devuelve el perfil completo: direcciones MAC asociadas a su dispositivo, marcas de tiempo de conexión para los cinco eventos, metadatos de sesión y el registro de consentimiento que muestra cuándo y qué aceptó. El director hace clic en "Eliminar datos de usuario". Purple ejecuta una eliminación definitiva de la base de datos activa y marca los registros para su eliminación de las copias de seguridad. El sistema genera una confirmación de eliminación con una marca de tiempo, que el director de TI envía al aficionado como prueba de cumplimiento. Todo el proceso dura menos de cinco minutos y se realiza dentro del plazo legal de 30 días.

Comentario del examinador: Gestionar una solicitud DSAR de forma manual a través de registros RADIUS fragmentados, registros de CRM y bases de datos de marketing por correo electrónico es propenso a errores y requiere mucho tiempo. Centralizar la gestión de datos en una sola plataforma elimina el riesgo de pasar por alto un silo de datos. La confirmación de eliminación automatizada proporciona la documentación necesaria para demostrar el cumplimiento tanto al interesado como al regulador.

Preguntas de práctica

Q1. El equipo de marketing solicita que el formulario de inicio de sesión de WiFi para invitados requiera que los usuarios faciliten su dirección de correo electrónico, fecha de nacimiento y dirección postal antes de concederles acceso. ¿Cómo debe responder el responsable de TI y qué principio del GDPR se aplica?

Sugerencia: Considere qué principio del GDPR rige la cantidad de datos recopilados en relación con la finalidad del servicio prestado.

Ver respuesta modelo

El responsable de TI debe rechazar la solicitud basándose en la minimización de datos, un principio básico del GDPR en virtud del artículo 5(1)(c). Recopilar la fecha de nacimiento y la dirección postal es excesivo para la finalidad de proporcionar acceso a internet. El formulario debe limitarse a una dirección de correo electrónico para fines de acceso. El consentimiento de marketing debe seguir siendo un campo opcional independiente. El responsable de TI debe documentar esta decisión en el Registro de actividades de tratamiento.

Q2. Un usuario se conecta al WiFi del establecimiento, acepta las Condiciones de servicio, pero deja la casilla de consentimiento de marketing sin marcar. El sistema le concede acceso. Tres días después, el equipo de marketing le envía un correo electrónico promocional utilizando la dirección de correo electrónico capturada al iniciar sesión. ¿Cumple esto con la normativa?

Sugerencia: Revise los requisitos para el consentimiento explícito y la separación del acceso a la red de las comunicaciones de marketing.

Ver respuesta modelo

No. El usuario no proporcionó un consentimiento explícito para comunicaciones de marketing. El envío de un correo electrónico promocional a un usuario que dejó desmarcada la casilla de marketing infringe el artículo 7 del GDPR. La dirección de correo electrónico se recopiló con el fin de proporcionar acceso a la red, no para marketing. Utilizarla para un fin diferente sin consentimiento infringe el principio de limitación de la finalidad. El equipo de marketing debe suprimir todos los perfiles en los que el indicador de consentimiento esté establecido como rechazado.

Q3. Un hotel ha estado ofreciendo WiFi para huéspedes durante cuatro años y nunca ha eliminado ningún registro de conexión ni perfil de usuario. Se ha programado una auditoría del GDPR en seis semanas. ¿Cuáles son las tres medidas técnicas inmediatas que debe tomar el arquitecto de red?

Sugerencia: Piense en la limitación del almacenamiento, la eliminación automatizada y los requisitos de documentación.

Ver respuesta modelo

En primer lugar, implementar una política automatizada de retención de datos de inmediato. Configurar el sistema para purgar los registros de sesión de más de 30 días y marcar los registros de seguridad de más de 12 meses para su revisión. En segundo lugar, realizar una auditoría de datos para identificar y eliminar los perfiles que hayan estado inactivos durante un período prolongado y para los que no exista una finalidad legítima documentada para continuar con su almacenamiento. En tercer lugar, documentar la política de retención en el Registro de actividades de tratamiento, especificando el período de retención para cada categoría de datos y su justificación. Estos tres pasos demuestran un cumplimiento proactivo y reducen el volumen de datos en riesgo antes de la auditoría.