Cumplimiento del GDPR en redes WiFi: cómo recopilar de forma segura datos de invitados a través de portales cautivos
Esta guía técnica ofrece a los directores de TI, arquitectos de redes y directores de operaciones de sedes un marco práctico para lograr el cumplimiento del GDPR en los despliegues de WiFi para invitados. Abarca cómo recopilan datos personales los portales cautivos, cómo asegurar el consentimiento explícito y cómo implementar políticas automatizadas de retención de datos que protejan a su organización de multas regulatorias de hasta el 4 % de la facturación global. La plataforma de WiFi para invitados de Purple se adapta directamente a cada requisito de cumplimiento, desde el registro de consentimientos hasta la eliminación de datos con un solo clic.
Escuchar esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico detallado: Qué datos recopila y por qué es importante
- Arquitectura de consentimiento
- Requisitos de seguridad de red
- Guía de implementación: Despliegue de un portal conforme a la normativa
- Paso 1: Audite su recopilación de datos actual
- Paso 2: Rediseñar los formularios del portal
- Paso 3: Configurar la retención automatizada de datos
- Paso 4: Habilitar la gestión de los derechos de los interesados
- Paso 5: Realizar una Evaluación de Impacto de la Protección de Datos
- Caso de éxito: Premier Inn y Whitbread
- Caso de éxito: Manchester Airports Group (MAG)
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- ROI e impacto empresarial

Resumen ejecutivo
El WiFi para invitados ya no es un simple servicio de cortesía. Cada inicio de sesión en un Captive Portal es un evento de recopilación de datos regulado. Cuando los invitados se conectan a su red, usted captura datos de registro, identificadores de dispositivos, metadatos de sesión y posibles datos de ubicación. Bajo el GDPR, usted es el responsable del tratamiento de todos estos datos.
A fecha de enero de 2025, las autoridades de control de GDPR han impuesto multas acumuladas que ascienden a aproximadamente 5880 millones de euros (encuesta de multas y brechas de datos GDPR de DLA Piper, enero de 2025). Una sola infracción puede dar lugar a multas de hasta el 4 % de la facturación anual global o 20 millones de euros, lo que sea mayor. Para los grupos hoteleros o las cadenas de tiendas, esto representa un riesgo financiero significativo.
Esta guía detalla la arquitectura técnica necesaria para recopilar de forma segura y legal los datos de los invitados. Analizamos el diseño del consentimiento en el Captive Portal, la segmentación de red, la automatización de la retención de datos y cómo responder a las solicitudes de acceso a datos de los interesados dentro del límite legal de 30 días. La plataforma de Guest WiFi y las herramientas de WiFi Analytics de Purple se alinean directamente con cada uno de estos requisitos, operando en más de 80 000 ubicaciones físicas y procesando hasta 440 millones de inicios de sesión al año (datos internos de Purple, 2024).
Análisis técnico detallado: Qué datos recopila y por qué es importante
Comprender la importancia del cumplimiento de GDPR para el WiFi de invitados comienza con la clasificación correcta de los datos procesados por su red. Muchos operadores subestiman este alcance. La definición de datos personales de GDPR es extremadamente amplia: cualquier información relativa a una persona física identificada o identificable. En el contexto del WiFi para invitados, esto abarca mucho más que los simples campos de su formulario de inicio de sesión.
| Categoría de datos | Ejemplo | Clasificación de GDPR | Base jurídica requerida |
|---|---|---|---|
| Datos de registro | Nombre, dirección de correo electrónico, número de teléfono | Datos personales | Consentimiento |
| Identificadores de dispositivo | Dirección MAC, tipo de dispositivo | Datos personales | Consentimiento o Interés legítimo |
| Metadatos de sesión | Hora de conexión, duración, volumen de datos | Datos personales | Interés legítimo (Gestión de red) |
| Datos de ubicación | Mapas de calor de afluencia, tiempos de permanencia por zonas | Datos personales sensibles | Consentimiento explícito |
| Incluso sin un nombre asociado, una dirección MAC constituye un dato personal. Dado que identifica a un dispositivo específico y rastrea su movimiento físico dentro de un recinto, este potencial de identificación es suficiente para ser considerado dato personal bajo el GDPR. La aleatorización de direcciones MAC en los dispositivos modernos con iOS y Android complica el análisis, pero no elimina las obligaciones de cumplimiento en el momento de la recopilación. |
Arquitectura de consentimiento
El Captive Portal es su interfaz de conformidad principal. El artículo 7 del GDPR exige que el consentimiento debe ser libre, específico, informado e inequívoco. En la práctica, esto significa que su portal debe realizar dos tareas de forma correcta.
En primer lugar, separe el acceso a la red del consentimiento de marketing. No puede condicionar el acceso a la WiFi a que el usuario acepte recibir correos electrónicos promocionales. Si es obligatorio marcar una casilla de marketing para conectarse, el consentimiento es forzado, no libre. La casilla de verificación debe estar desmarcada por defecto, y los usuarios deben poder conectarse sin tener que marcarla.
En segundo lugar, registre cada evento de consentimiento. Su plataforma de gestión de consentimiento (CMP) debe registrar quién dio su consentimiento, cuándo lo dio, para qué lo dio y la versión exacta de la política de privacidad que se le mostró. Este registro de auditoría es su primera línea de defensa durante una investigación reglamentaria.

La solución Purple Capture incluye una CMP integrada que registra marcas de tiempo y versiones de la política de privacidad para todos los eventos de consentimiento. Cuando la ICO solicite pruebas de conformidad, podrá simplemente exportar los registros en lugar de intentar reconstruirlos de memoria.
Requisitos de seguridad de red
El artículo 32 del GDPR exige medidas técnicas adecuadas para proteger los datos personales. Para la WiFi de invitados, esto se traduce en tres controles no negociables.
Cifrado en tránsito. Todo el tráfico del Captive Portal debe utilizar HTTPS. Las implementaciones modernas deben implementar WPA3 para un cifrado inalámbrico más sólido, sustituyendo a WPA2 allí donde exista compatibilidad de hardware. El saludo Simultaneous Authentication of Equals (SAE) de WPA3 elimina los ataques de diccionario fuera de línea que comprometen las redes WPA2-PSK.
Segmentación de red. El tráfico de la WiFi de invitados debe estar aislado de la red corporativa mediante una VLAN dedicada. Esto evita que los dispositivos de invitados comprometidos accedan a los sistemas internos. En implementaciones de Cisco Meraki, HPE Aruba y Juniper Mist, Purple configura automáticamente esta segmentación como parte de la configuración de la superposición de nube.
Soberanía de datos. Los datos de los clientes europeos deben residir en servidores alojados dentro de la UE. Si su plataforma de WiFi almacena datos en una infraestructura con sede en EE. UU. sin los mecanismos de transferencia adecuados, estará incumpliendo el capítulo V del GDPR. Purple mantiene la residencia de datos en la UE para las implementaciones europeas.
Para profundizar en la arquitectura de seguridad de redes empresariales, consulte nuestra Enterprise WiFi Security: A Complete Guide for 2026 .
Guía de implementación: Despliegue de un portal conforme a la normativa
Paso 1: Audite su recopilación de datos actual
Antes de reconfigurar nada, identifique cada dato recopilado por su portal actual. Esto incluye los campos de los formularios, los datos registrados por los servidores RADIUS y cualquier integración con terceros que reciba datos de invitados. Este documento de Registro de Actividades de Tratamiento (RAT) es un requisito del GDPR para la mayoría de las organizaciones y es el punto de partida para identificar posibles deficiencias.
Paso 2: Rediseñar los formularios del portal
Aplique el principio de minimización de datos. Si su objetivo es proporcionar un acceso básico a la red, una dirección de correo electrónico es suficiente. Si está creando una base de datos de marketing para una cadena de retail , incluya el nombre de pila. No incluya direcciones postales, fechas de nacimiento ni números de teléfono a menos que tenga una necesidad comercial específica y documentada.
Implemente la verificación de correo electrónico para rechazar direcciones no válidas. Esto protege la integridad de la base de datos y simplifica las futuras solicitudes de derechos de los interesados (DSAR). Los portales de Purple aplican la verificación de correo electrónico en tiempo real antes de conceder el acceso.
Al diseñar la estructura de su Captive Portal, debe incluir dos interacciones distintas:
- Aceptación de las Condiciones de Servicio: obligatoria para la conexión, que cubre el tratamiento de datos básico necesario para proporcionar el servicio de red.
- Casilla de consentimiento de marketing: opcional, desmarcada por defecto y acompañada de una explicación clara y sencilla de lo que el usuario está consintiendo.

Paso 3: Configurar la retención automatizada de datos
El GDPR prohíbe el almacenamiento indefinido de datos. Defina períodos de retención para cada categoría de datos y automatice su eliminación.

Los períodos de retención que se muestran arriba son líneas de base recomendadas. Ajústelos a sus requisitos operativos específicos y documente la justificación de cada período. Purple aplica estas reglas de forma nativa, purgando los registros sin requerir consultas manuales a la base de datos por parte de su equipo de TI.
Paso 4: Habilitar la gestión de los derechos de los interesados
Bajo el GDPR, los usuarios tienen derecho a acceder, rectificar y eliminar sus datos. Dispone de 30 días para responder a una solicitud. Sus sistemas deben ser capaces de:
- Localizar a un usuario en todos los almacenes de datos utilizando su dirección de correo electrónico o dirección MAC.
- Exportar su historial completo en un formato legible por máquina (JSON o CSV).
- Ejecutar una eliminación permanente en las bases de datos activas y marcar los registros para su eliminación de las copias de seguridad.
Purple centraliza esta operación en un único panel de control. Las solicitudes de acceso de los interesados, que antes requerían horas de consultas SQL manuales, ahora pueden completarse en minutos.
Paso 5: Realizar una Evaluación de Impacto de la Protección de Datos
Si implementa analítica de ubicación, mapas de calor de afluencia o perfiles de comportamiento a través de su red WiFi, la realización de una Evaluación de Impacto de Protección de Datos (DPIA) es un requisito legal antes del lanzamiento. Una DPIA identifica los riesgos de privacidad y documenta las medidas de mitigación que ha implementado. Para grandes recintos como estadios o centros de convenciones que gestionan miles de asistentes simultáneamente, este es un paso crítico.
Para obtener una plantilla detallada, consulte nuestra guía completa: The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance .
-
Caso de éxito: Premier Inn y Whitbread
Whitbread, la empresa matriz de Premier Inn, opera una de las redes de WiFi para el sector de la hostelería más grandes del Reino Unido. Al implementar Purple en todos sus establecimientos de hostelería , centralizaron la gestión del consentimiento en cientos de ubicaciones. Cada página del portal presenta un proceso de consentimiento claro y conforme a la normativa. A través de un intercambio de valor transparente en lugar de una suscripción forzada, lograron una tasa de aceptación de marketing del 30 al 40%. El resultado es un activo de datos de origen (first-party data) verificado que se alimenta directamente a su CRM y programas de fidelización, con un historial de auditoría completo para cada evento de consentimiento.
Caso de éxito: Manchester Airports Group (MAG)
MAG opera tres de los principales aeropuertos del Reino Unido y gestiona datos de pasajeros a gran escala dentro de centros de transporte . El WiFi para invitados de los aeropuertos se enfrenta a retos de cumplimiento específicos: pasajeros de múltiples jurisdicciones que se conectan simultáneamente, cada uno potencialmente sujeto a diferentes normativas de protección de datos. La implementación de Purple para MAG aplica procesos de consentimiento conformes con el GDPR para los viajeros de la UE, al tiempo que mantiene la flexibilidad operativa para ajustar las configuraciones del portal para cada terminal. Los registros de sesión se eliminan automáticamente después de 30 días, y el equipo de seguridad puede responder a las Solicitudes de Acceso de los Interesados (DSAR) sin tener que consultar registros RADIUS fragmentados.
-
Buenas prácticas
Realice evaluaciones de proveedores. Su proveedor de plataforma de WiFi actúa como encargado del tratamiento de datos en virtud del GDPR. Antes de compartir cualquier dato personal con ellos, debe tener un anexo de tratamiento de datos (DPA) formal firmado. Verifique sus certificaciones de seguridad. Purple está certificado en ISO 27001, GDPR, CCPA y Cyber Essentials.
Supervise las tasas de finalización del portal. Las altas tasas de abandono en su Captive Portal indican formularios excesivamente complejos o un lenguaje de consentimiento poco claro. Simplifique las solicitudes de datos. Menos campos mejoran el cumplimiento y mejoran la experiencia del invitado.
Capacite al personal de primera línea. El personal debe comprender cómo gestionar las preguntas de los invitados sobre la recopilación de datos, a dónde dirigir las solicitudes de los interesados y por qué no se permiten las casillas premarcadas. Una sesión informativa de 30 minutos puede evitar fallos comunes de cumplimiento.
Revise sus portales trimestralmente. Las normativas evolucionan. El redactado de un aviso de privacidad que era suficiente en 2023 puede no reflejar las directrices actuales de la ICO. Programe una revisión trimestral de las configuraciones de sus portales, políticas de privacidad y registros de consentimiento.
Para obtener orientación sobre cómo diseñar formularios de recopilación de datos de alto rendimiento que equilibren el cumplimiento con las tasas de conversión, consulte nuestra guía: Design of a Survey: A Practical Guide for Physical Spaces .
-
Resolución de problemas y mitigación de riesgos
Casillas de consentimiento marcadas por defecto. El fallo de cumplimiento más común. Audite cada portal en todo su patrimonio y verifique que todas las casillas de marketing estén desmarcadas por defecto. En un portal de alto tráfico, una sola casilla marcada por defecto puede constituir una infracción sistémica del GDPR.
Avisos de privacidad ambiguos. Reemplace frases genéricas como "Podemos utilizar sus datos para diversos fines" por descripciones específicas: "Utilizamos su dirección de correo electrónico para enviarle ofertas promocionales de [Brand]. Puede darse de baja en cualquier momento". El lenguaje ambiguo no cumple con el requisito de "consentimiento informado" para que el consentimiento sea válido.
Acumulación de datos obsoletos. Si su base de datos contiene perfiles de invitados de hace tres o más años sin actividad reciente, está reteniendo datos más allá de su finalidad lícita. Realice una auditoría para purgar los registros inactivos de inmediato y configure la eliminación automatizada de cara al futuro.
Almacenamiento de datos fragmentado. Los datos de los invitados a menudo terminan dispersos en múltiples sistemas: la plataforma de WiFi, el CRM, las herramientas de marketing por correo electrónico y los servidores RADIUS. Cuando se recibe una solicitud de acceso a los datos de carácter personal (DSAR), debe localizar y eliminar los datos en todos ellos. Trace sus flujos de datos ahora para evitar prisas de última hora cuando haya presión de tiempo.
Notificación de brechas de seguridad. Con arreglo al artículo 33 del GDPR, debe notificar a la ICO cualquier brecha de seguridad de los datos personales en un plazo de 72 horas tras haber tenido conocimiento de ella. Integre este plazo en su plan de respuesta ante incidentes. El tiempo empieza a correr cuando se detecta la brecha, no cuando finaliza la investigación.
-
ROI e impacto empresarial
El cumplimiento normativo no es un centro de costes. Un despliegue de WiFi para invitados que cumpla con el GDPR y esté bien configurado impulsa tres resultados empresariales medibles.
Datos de marketing de mayor calidad. Los visitantes que aceptan activamente recibir marketing están más comprometidos que aquellos que son forzados. Los portales cautivos conformes generan listas de correo electrónico que, aunque son más reducidas, tienen una mayor calidad, lo que se traduce en mayores tasas de apertura, menos quejas y una mejor reputación del remitente.
Menores costes operativos indirectos. El registro automatizado del consentimiento y las funciones de retención de datos eliminan horas de gestión manual de bases de datos. Los equipos de TI pueden centrar su tiempo en la infraestructura en lugar de en el mantenimiento del cumplimiento normativo.
Mitigación del riesgo normativo. Con multas acumuladas de GDPR que superan los 5880 millones de euros a principios de 2025 (DLA Piper, enero de 2025), el coste del incumplimiento es significativo. Una plataforma conforme elimina el riesgo de sanciones de hasta el 4 % de la facturación global.
Purple ha recopilado 29.000 millones de puntos de datos en más de 80.000 establecimientos, lo que demuestra que el cumplimiento normativo de nivel empresarial escala con el crecimiento del negocio. El tiempo de actividad del 99,999 % de la plataforma garantiza que la infraestructura de cumplimiento nunca sea un riesgo para la disponibilidad de la red.
Definiciones clave
Captive portal
Una página web que un usuario debe ver e interactuar con ella antes de que se le conceda acceso a una red WiFi pública. Normalmente se sirve interceptando el tráfico HTTP y redirigiéndolo a la URL del portal.
El captive portal es la interfaz principal para el cumplimiento del GDPR. Es donde se presenta el aviso de privacidad, se obtiene el consentimiento explícito y se validan las credenciales de usuario antes de conceder acceso a la red.
Responsable del tratamiento
La entidad que determina los fines y los medios del tratamiento de datos personales.
Cuando un establecimiento ofrece WiFi para invitados, el operador del establecimiento es el Responsable del tratamiento. Este tiene la responsabilidad legal principal del cumplimiento del GDPR, incluida la obligación de responder a las solicitudes DSAR y notificar las brechas a la autoridad de control.
Encargado del tratamiento
Una entidad que trata datos personales en nombre del Responsable del tratamiento, en virtud de un anexo de tratamiento de datos (DPA) formal.
Una plataforma de WiFi para invitados como Purple actúa como Encargado del tratamiento. El establecimiento debe contar con un DPA firmado con Purple antes de que se comparta cualquier dato personal. Verifique las certificaciones ISO 27001 y GDPR del encargado antes del despliegue.
Consentimiento explícito
Una acción clara y afirmativa del usuario por la que acepta el tratamiento de sus datos personales para un fin específico. Las casillas premarcadas, el silencio y la inacción no constituyen un consentimiento válido en virtud del artículo 7 del GDPR.
En los portales cautivos, el consentimiento explícito requiere una casilla de verificación desmarcada con una descripción en lenguaje sencillo de la actividad de tratamiento. Se requiere una casilla de verificación independiente para cada finalidad distinta.
Minimización de datos
El principio del GDPR según el cual los datos personales recopilados deben ser adecuados, pertinentes y limitados a lo necesario para la finalidad declarada.
Los equipos de TI deben aplicar la minimización de datos al configurar los formularios del portal cautivo. Recopilar la fecha de nacimiento o la dirección postal con el fin de proporcionar acceso a internet es excesivo y no cumple con la normativa.
Derecho de supresión
También conocido como el derecho al olvido, permite a los usuarios solicitar la eliminación de sus datos personales cuando ya no sean necesarios para el fin con el que se recopilaron.
Los equipos de TI deben disponer de un sistema capaz de ejecutar una purga completa de datos en todas las bases de datos y copias de seguridad en un plazo de 30 días a partir de una solicitud. Los almacenes de datos fragmentados hacen que esta operación sea compleja sin una plataforma centralizada.
Dirección MAC
Un identificador único asignado a un controlador de interfaz de red, utilizado para las comunicaciones en la capa de enlace de datos de una red.
Según el GDPR, una dirección MAC es un dato personal porque puede identificar un dispositivo específico y rastrear su movimiento físico. La aleatorización de direcciones MAC en los dispositivos modernos complica las analíticas, pero no elimina la obligación de cumplimiento en el momento de la recopilación.
Política de retención de datos
Un marco documentado que define durante cuánto tiempo se almacenarán las diferentes categorías de datos personales antes de su eliminación automatizada.
La política de retención es un requisito del GDPR. Los establecimientos deben definir y aplicar límites de retención por categoría de datos: normalmente 30 días para los registros de sesión, 12 meses para los registros de seguridad y hasta la retirada del consentimiento para los perfiles de marketing.
DPIA (Evaluación de impacto de la protección de datos)
Un proceso para identificar y mitigar los riesgos de privacidad antes de desplegar una nueva actividad de tratamiento de datos, exigido legalmente por el artículo 35 del GDPR para tratamientos de alto riesgo.
Una DPIA es obligatoria antes de desplegar sistemas de WiFi para invitados que impliquen el seguimiento de ubicación a gran escala, la elaboración de perfiles de comportamiento o el tratamiento de datos de grupos vulnerables, como los niños.
VLAN (Red de área local virtual)
Una segmentación lógica de una red física que aísla el tráfico entre grupos de dispositivos.
El tráfico de WiFi para invitados debe aislarse de las redes corporativas mediante VLAN dedicadas. Esto evita que un dispositivo de invitado comprometido acceda a los sistemas internos y es un requisito técnico de seguridad básico del GDPR.
Ejemplos prácticos
¿Cómo debe configurarse el portal si una cadena minorista de 150 tiendas desea recopilar los correos electrónicos de los compradores a través de WiFi para invitados para integrarlos con su CRM, pero el director de TI está preocupado por el cumplimiento del GDPR en relación con el consentimiento de marketing?
Despliegue un portal cautivo a través de Purple sobre los puntos de acceso Cisco Meraki existentes. Configure el portal con dos interacciones distintas. En primer lugar, una casilla de verificación de aceptación de las Condiciones de servicio (obligatoria para conectarse), que establece la base legal para procesar datos básicos de conexión bajo interés legítimo. En segundo lugar, una casilla de verificación independiente y sin marcar que indique: "Acepto recibir ofertas promocionales por correo electrónico de [Marca]". Active la validación de correo electrónico en tiempo real para rechazar direcciones no válidas. Configure la integración con el CRM para transferir únicamente los perfiles en los que la marca de consentimiento de marketing esté establecida en "true". Si un comprador se conecta sin marcar la casilla de marketing, Purple registra la conexión pero marca el perfil como autoexcluido y lo excluye de la sincronización con el CRM. Los registros de sesión se purgan automáticamente después de 30 días. El equipo de TI puede exportar el registro de auditoría de consentimiento en cualquier momento para demostrar el cumplimiento.
El director de TI de un estadio recibe una solicitud de acceso a datos personales (DSAR) de un aficionado que desea que se eliminen todos sus datos personales y su historial de conexión. El aficionado se conectó al WiFi para invitados en cinco eventos durante dos años. ¿Cómo debe responder el equipo de TI?
Utilizando el panel de control de Purple, el director de TI busca la dirección de correo electrónico validada del usuario. La búsqueda devuelve el perfil completo: direcciones MAC asociadas a su dispositivo, marcas de tiempo de conexión para los cinco eventos, metadatos de sesión y el registro de consentimiento que muestra cuándo y qué aceptó. El director hace clic en "Eliminar datos de usuario". Purple ejecuta una eliminación definitiva de la base de datos activa y marca los registros para su eliminación de las copias de seguridad. El sistema genera una confirmación de eliminación con una marca de tiempo, que el director de TI envía al aficionado como prueba de cumplimiento. Todo el proceso dura menos de cinco minutos y se realiza dentro del plazo legal de 30 días.
Preguntas de práctica
Q1. El equipo de marketing solicita que el formulario de inicio de sesión de WiFi para invitados requiera que los usuarios faciliten su dirección de correo electrónico, fecha de nacimiento y dirección postal antes de concederles acceso. ¿Cómo debe responder el responsable de TI y qué principio del GDPR se aplica?
Sugerencia: Considere qué principio del GDPR rige la cantidad de datos recopilados en relación con la finalidad del servicio prestado.
Ver respuesta modelo
El responsable de TI debe rechazar la solicitud basándose en la minimización de datos, un principio básico del GDPR en virtud del artículo 5(1)(c). Recopilar la fecha de nacimiento y la dirección postal es excesivo para la finalidad de proporcionar acceso a internet. El formulario debe limitarse a una dirección de correo electrónico para fines de acceso. El consentimiento de marketing debe seguir siendo un campo opcional independiente. El responsable de TI debe documentar esta decisión en el Registro de actividades de tratamiento.
Q2. Un usuario se conecta al WiFi del establecimiento, acepta las Condiciones de servicio, pero deja la casilla de consentimiento de marketing sin marcar. El sistema le concede acceso. Tres días después, el equipo de marketing le envía un correo electrónico promocional utilizando la dirección de correo electrónico capturada al iniciar sesión. ¿Cumple esto con la normativa?
Sugerencia: Revise los requisitos para el consentimiento explícito y la separación del acceso a la red de las comunicaciones de marketing.
Ver respuesta modelo
No. El usuario no proporcionó un consentimiento explícito para comunicaciones de marketing. El envío de un correo electrónico promocional a un usuario que dejó desmarcada la casilla de marketing infringe el artículo 7 del GDPR. La dirección de correo electrónico se recopiló con el fin de proporcionar acceso a la red, no para marketing. Utilizarla para un fin diferente sin consentimiento infringe el principio de limitación de la finalidad. El equipo de marketing debe suprimir todos los perfiles en los que el indicador de consentimiento esté establecido como rechazado.
Q3. Un hotel ha estado ofreciendo WiFi para huéspedes durante cuatro años y nunca ha eliminado ningún registro de conexión ni perfil de usuario. Se ha programado una auditoría del GDPR en seis semanas. ¿Cuáles son las tres medidas técnicas inmediatas que debe tomar el arquitecto de red?
Sugerencia: Piense en la limitación del almacenamiento, la eliminación automatizada y los requisitos de documentación.
Ver respuesta modelo
En primer lugar, implementar una política automatizada de retención de datos de inmediato. Configurar el sistema para purgar los registros de sesión de más de 30 días y marcar los registros de seguridad de más de 12 meses para su revisión. En segundo lugar, realizar una auditoría de datos para identificar y eliminar los perfiles que hayan estado inactivos durante un período prolongado y para los que no exista una finalidad legítima documentada para continuar con su almacenamiento. En tercer lugar, documentar la política de retención en el Registro de actividades de tratamiento, especificando el período de retención para cada categoría de datos y su justificación. Estos tres pasos demuestran un cumplimiento proactivo y reducen el volumen de datos en riesgo antes de la auditoría.
Continúe leyendo esta serie
Captive Portal para Ruijie: configúrelo con Purple guest WiFi
Cómo la solución cloud guest WiFi de Purple se integra con los puntos de acceso Ruijie RG Series mediante autenticación web y RADIUS, configurada desde la línea de comandos, y dónde encontrar los pasos exactos de configuración.
Diseño de Captive Portals B2B: Captura de nombres registrados y datos de la empresa
Esta guía proporciona a los directores de TI y operadores de recintos un marco técnico independiente del proveedor para diseñar Captive Portals B2B. Detalla cómo estructurar los campos de registro para capturar el nombre registrado y los datos de la empresa, garantizando altas tasas de finalización a la vez que se mantiene el cumplimiento del GDPR y se genera inteligencia a nivel de cuenta.
Arquitectura de Captive Portal: seguridad, redirección y mejores prácticas
Una referencia técnica definitiva sobre la arquitectura de Captive Portal empresarial. Esta guía analiza el aislamiento de red, la redirección de DNS, la autenticación RADIUS y el cumplimiento de seguridad para líderes de TI que implementan redes WiFi de invitados seguras y ricas en datos.