Conformità WiFi GDPR: Come raccogliere in modo sicuro i dati degli ospiti tramite Captive Portal
Questa guida tecnica offre ai manager IT, ai network architect e ai direttori operativi delle sedi un framework pratico per ottenere la conformità al GDPR nelle implementazioni WiFi per gli ospiti. Copre le modalità con cui i captive portal raccolgono i dati personali, come proteggere il consenso esplicito e come implementare policy automatizzate di conservazione dei dati che proteggono l'organizzazione da sanzioni normative fino al 4% del fatturato globale. La piattaforma WiFi per ospiti di Purple si adatta direttamente a ogni requisito di conformità, dalla registrazione del consenso alla cancellazione dei dati con un solo clic.
Ascolta questa guida
Visualizza trascrizione del podcast
- Executive Summary
- Analisi Tecnica Approfondita: Quali Dati Raccogli e Perché È Importante
- Architettura del Consenso
- Requisiti di Sicurezza della Rete
- Guida all'implementazione: Implementare un Portale Conforme
- Passaggio 1: Verifica la tua attuale raccolta dati
- Passaggio 2: Riprogetta i moduli del portale
- Passaggio 3: Configura la conservazione automatizzata dei dati
- Passaggio 4: Abilita la gestione dei diritti degli interessati
- Passaggio 5: Esegui una valutazione d'impatto sulla protezione dei dati
- Case Study: Premier Inn e Whitbread
- Case Study: Manchester Airports Group (MAG)
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e impatto aziendale

Executive Summary
Il WiFi per gli ospiti non è più una semplice comodità. Ogni accesso tramite Captive Portal è un evento di raccolta dati regolamentato. Quando gli ospiti si connettono alla tua rete, acquisisci dati di registrazione, identificativi del dispositivo, metadati della sessione e potenziali dati di geolocalizzazione. Ai sensi del GDPR, tu sei il Titolare del Trattamento per tutti questi dati.
A partire da gennaio 2025, le autorità di controllo del GDPR hanno emesso sanzioni cumulative per un totale di circa 5,88 miliardi di euro (DLA Piper GDPR Fines and Data Breaches Survey, gennaio 2025). Una singola violazione può comportare sanzioni fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale sia l'importo più elevato. Per i gruppi alberghieri o le catene di vendita al dettaglio, questo rappresenta un rischio finanziario significativo.
Questa guida illustra in dettaglio l'architettura tecnica necessaria per raccogliere in modo sicuro e legale i dati degli ospiti. Analizzeremo la progettazione del consenso del Captive Portal, la segmentazione della rete, l'automazione della conservazione dei dati e come rispondere alle richieste di accesso degli interessati (DSAR) entro il limite legale di 30 giorni. La piattaforma Guest WiFi e gli strumenti di WiFi Analytics di Purple rispondono direttamente a ciascuno di questi requisiti, operando in oltre 80.000 sedi fisiche e gestendo fino a 440 milioni di accessi all'anno (dati interni Purple, 2024).
Analisi Tecnica Approfondita: Quali Dati Raccogli e Perché È Importante
Comprendere l'importanza della conformità al GDPR per il WiFi per gli ospiti inizia con la corretta classificazione dei dati elaborati dalla tua rete. Molti operatori sottovalutano questo ambito. La definizione di dati personali del GDPR è estremamente ampia: qualsiasi informazione relativa a una persona fisica identificata o identificabile. Nel contesto del WiFi per gli ospiti, questo copre molto più dei semplici campi del modulo di accesso.
| Categoria di Dati | Esempio | Classificazione GDPR | Base Giuridica Richiesta |
|---|---|---|---|
| Dati di Registrazione | Nome, indirizzo email, numero di telefono | Dati Personali | Consenso |
| Identificativi del Dispositivo | Indirizzo MAC, tipo di dispositivo | Dati Personali | Consenso o Legittimo Interesse |
| Metadati della Sessione | Ora di connessione, durata, volume di dati | Dati Personali | Legittimo Interesse (Gestione della Rete) |
| Dati di Localizzazione | Mappe termiche dei flussi, tempi di sosta nelle zone | Dati Personali Sensibili | Consenso Esplicito |
| Anche senza un nome associato, un indirizzo MAC costituisce un dato personale. Poiché identifica un dispositivo specifico e ne traccia gli spostamenti fisici all'interno di una sede, questa possibilità di identificazione è sufficiente per essere considerata dato personale ai sensi del GDPR. La randomizzazione dell'indirizzo MAC sui moderni dispositivi iOS e Android complica l'analisi, ma non elimina gli obblighi di conformità al momento della raccolta. |
Architettura del Consenso
Il Captive Portal è la tua interfaccia di conformità principale. L'articolo 7 del GDPR richiede che il consenso sia prestato liberamente, in modo specifico, informato e inequivocabile. In pratica, questo significa che il tuo portale deve fare due cose correttamente.
In primo luogo, separare l'accesso alla rete dal consenso al marketing. Non puoi condizionare l'accesso WiFi all'accettazione da parte dell'utente di ricevere e-mail promozionali. Se per connettersi è necessario spuntare una casella di marketing, si tratta di un consenso forzato e non valido. La casella di controllo deve essere deselezionata per impostazione predefinita e gli utenti devono potersi connettere senza selezionarla.
In secondo luogo, registra ogni evento di consenso. La tua Consent Management Platform (CMP) deve registrare chi ha acconsentito, quando ha acconsentito, a cosa ha acconsentito e l'esatta versione dell'informativa sulla privacy che gli è stata mostrata. Questa traccia di audit è la tua prima linea di difesa durante un'indagine normativa.

La soluzione Purple Capture include una CMP integrata che registra i timestamp e le versioni dell'informativa sulla privacy per tutti gli eventi di consenso. Quando l'ICO richiede la prova di conformità, puoi semplicemente esportare i log invece di cercare di ricostruirli a memoria.
Requisiti di Sicurezza della Rete
L'articolo 32 del GDPR richiede misure tecniche adeguate per proteggere i dati personali. Per il WiFi ospiti, questo si traduce in tre controlli non negoziabili.
Crittografia in transito. Tutto il traffico del Captive Portal deve utilizzare HTTPS. Le implementazioni moderne dovrebbero implementare il WPA3 per una crittografia wireless più forte, sostituendo il WPA2 dove esiste il supporto hardware. L'handshake Simultaneous Authentication of Equals (SAE) del WPA3 elimina gli attacchi a dizionario offline che compromettono le reti WPA2.
Segmentazione della rete. Il traffico WiFi ospiti deve essere isolato dalla rete aziendale utilizzando una VLAN dedicata. Ciò impedisce ai dispositivi ospiti compromessi di accedere ai sistemi interni. Sulle implementazioni Cisco Meraki, HPE Aruba e Juniper Mist, Purple configura automaticamente questa segmentazione come parte della configurazione del cloud overlay.
Sovranità dei dati. I dati degli ospiti europei devono risiedere su server ospitati all'interno dell'UE. Se la tua piattaforma WiFi memorizza i dati in un'infrastruttura con sede negli Stati Uniti senza adeguati meccanismi di trasferimento, stai violando il Capo V del GDPR. Purple mantiene la residenza dei dati all'interno dell'UE per le installazioni europee.
Per un approfondimento sull'architettura di sicurezza delle reti aziendali, consulta la nostra Enterprise WiFi Security: A Complete Guide for 2026 .
Guida all'implementazione: Implementare un Portale Conforme
Passaggio 1: Verifica la tua attuale raccolta dati
Prima di riconfigurare qualsiasi cosa, mappa ogni punto dati raccolto dal tuo portale attuale. Questo include i campi dei moduli, i dati registrati dai server RADIUS e qualsiasi integrazione di terze parti che riceve dati degli ospiti. Questo documento di Registro delle Attività di Trattamento (RoPA) è un requisito del GDPR per la maggior parte delle organizzazioni ed è il punto di partenza per identificare le lacune.
Passaggio 2: Riprogetta i moduli del portale
Applica il principio di minimizzazione dei dati. Se il tuo obiettivo è fornire un accesso di rete di base, un indirizzo email è sufficiente. Se stai creando un database di marketing per una catena retail , includi un nome di battesimo. Non includere indirizzi postali, date di nascita o numeri di telefono a meno che tu non abbia una specifica e documentata esigenza aziendale.
Implementa la verifica dell'email per rifiutare gli indirizzi non validi. Questo protegge l'integrità del database e semplifica le future richieste di accesso ai dati da parte degli interessati. I portali di Purple applicano la verifica dell'email in tempo reale prima di concedere l'accesso.
Quando progetti la struttura del tuo Captive Portal, dovresti includere due interazioni distinte:
- Accettazione dei Termini di Servizio - obbligatoria per la connessione, copre il trattamento dei dati di base necessario per fornire il servizio di rete.
- Casella di controllo per il consenso al marketing - facoltativa, deselezionata per impostazione predefinita, accompagnata da una spiegazione in un linguaggio semplice di ciò a cui l'utente sta acconsentendo.

Passaggio 3: Configura la conservazione automatizzata dei dati
Il GDPR vieta la conservazione indefinita dei dati. Definisci i periodi di conservazione per ciascuna categoria di dati e automatizza la loro eliminazione.

I periodi di conservazione sopra indicati sono linee guida consigliate. Adattali alle tue specifiche esigenze operative e documenta la motivazione per ciascun periodo. Purple applica nativamente queste regole, eliminando i log senza richiedere query manuali al database da parte del tuo team IT.
Passaggio 4: Abilita la gestione dei diritti degli interessati
Ai sensi del GDPR, gli utenti hanno il diritto di accedere, rettificare e cancellare i propri dati. Hai 30 giorni di tempo per rispondere a una richiesta. I tuoi sistemi devono essere in grado di:
- Localizzare un utente in tutti gli archivi dati utilizzando il suo indirizzo email o indirizzo MAC.
- Esportare la sua cronologia completa in un formato leggibile da una macchina (JSON o CSV).
- Eseguire una cancellazione permanente nei database attivi e contrassegnare i record per la rimozione dai backup.
Purple centralizza questa operazione in un'unica dashboard. Le richieste di accesso ai dati da parte degli interessati, che prima richiedevano ore di query SQL manuali, ora possono essere completate in pochi minuti.
Passaggio 5: Esegui una valutazione d'impatto sulla protezione dei dati
Se implementi l'analisi della posizione, le mappe di calore delle presenze o la profilazione comportamentale tramite la tua rete WiFi, una Valutazione dell'Impatto sulla Protezione dei Dati (DPIA) è un requisito legale prima del lancio. Una DPIA identifica i rischi per la privacy e documenta le misure di mitigazione implementate. Per le grandi strutture come stadi o centri congressi che gestiscono migliaia di visitatori contemporaneamente, questo è un passaggio critico.
Per un modello dettagliato, consulta la nostra guida completa: The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance .
-
Case Study: Premier Inn e Whitbread
Whitbread, la società madre di Premier Inn, gestisce una delle più grandi reti WiFi per ospiti nel settore dell'ospitalità nel Regno Unito. Implementando Purple nei loro complessi dedicati all' ospitalità , hanno centralizzato la gestione del consenso in centinaia di siti. Ogni pagina del portale presenta un percorso di consenso chiaro e conforme. Attraverso uno scambio di valore trasparente anziché un'attivazione forzata, hanno raggiunto un tasso di opt-in di marketing del 30 - 40%. Il risultato è un asset di dati di prima parte verificato che si integra direttamente nei loro sistemi CRM e programmi di fidelizzazione, completo di un audit trail completo per ogni evento di consenso.
Case Study: Manchester Airports Group (MAG)
MAG gestisce tre principali aeroporti del Regno Unito, gestendo i dati dei passeggeri su larga scala all'interno degli hub di trasporto . Il WiFi per gli ospiti degli aeroporti deve affrontare sfide di conformità specifiche: passeggeri provenienti da diverse giurisdizioni che si connettono simultaneamente, ciascuno potenzialmente soggetto a normative diverse sulla protezione dei dati. L'implementazione di Purple per MAG applica percorsi di consenso conformi al GDPR per i viaggiatori dell'UE, mantenendo al contempo la flessibilità operativa per regolare le configurazioni del portale per ciascun terminal. I log di sessione vengono eliminati automaticamente dopo 30 giorni e il team di sicurezza può rispondere alle richieste di accesso ai dati da parte degli interessati (DSAR) senza dover interrogare log RADIUS frammentati.
-
Best Practice
Conduci valutazioni dei fornitori. Il fornitore della tua piattaforma WiFi agisce come Responsabile del Trattamento (Data Processor) ai sensi del GDPR. Prima di condividere qualsiasi dato personale con loro, è necessario disporre di un addendum sul trattamento dei dati (DPA) formale. Verifica le loro certificazioni di sicurezza. Purple è certificato ISO 27001, GDPR, CCPA e Cyber Essentials.
Monitora i tassi di completamento del portale. Tassi di abbandono elevati sul captive portal indicano moduli eccessivamente complessi o un linguaggio di consenso poco chiaro. Semplifica le richieste di dati. Un minor numero di campi migliora la conformità e ottimizza l'esperienza degli ospiti.
Forma il personale in prima linea. Il personale deve comprendere come gestire le domande degli ospiti sulla raccolta dei dati, dove indirizzare le richieste degli interessati e perché le caselle preselezionate non sono consentite. Un briefing di 30 minuti può prevenire comuni problemi di conformità. Rivedi i tuoi portali trimestralmente. Le normative si evolvono. I testi delle informative sulla privacy che erano sufficienti nel 2023 potrebbero non riflettere le attuali linee guida. Pianifica una revisione trimestrale delle configurazioni del tuo portale, delle informative sulla privacy e dei registri dei consensi.
Per indicazioni sulla progettazione di moduli di raccolta dati ad alte prestazioni che bilancino la conformità con i tassi di conversione, consulta la nostra guida: Design of a Survey: A Practical Guide for Physical Spaces .
-
Risoluzione dei problemi e mitigazione dei rischi
Caselle di consenso preselezionate. Il fallimento di conformità più comune. Controlla ogni portale della tua rete e verifica che tutte le caselle di controllo del marketing siano deselezionate per impostazione predefinita. Su un portale ad alto traffico, una singola casella preselezionata può costituire una violazione sistemica del GDPR.
Informative sulla privacy vaghe. Sostituisci frasi generiche come "Potremmo utilizzare i tuoi dati per vari scopi" con descrizioni specifiche: "Utilizziamo il tuo indirizzo email per inviarti offerte promozionali da parte di [Brand]. Puoi disiscriverti in qualsiasi momento". Un linguaggio vago non soddisfa il requisito di "consenso informato" per un consenso valido.
Accumulo di dati obsoleti. Se il tuo database contiene profili di ospiti di tre o più anni fa senza alcuna attività recente, stai conservando i dati oltre il loro scopo lecito. Esegui un controllo per eliminare immediatamente i record inattivi e configura la cancellazione automatizzata per il futuro.
Archiviazione dei dati frammentata. I dati degli ospiti finiscono spesso per essere sparsi su più sistemi: la piattaforma WiFi, il CRM, gli strumenti di email marketing e i server RADIUS. Quando ricevi una richiesta DSAR, devi individuare ed eliminare i dati su tutti questi sistemi. Mappa i tuoi flussi di dati ora per evitare di doverti affannare sotto la pressione del tempo.
Notifica di violazione. Ai sensi dell'Articolo 33 del GDPR, devi notificare all'autorità di controllo una violazione dei dati personali entro 72 ore dal momento in cui ne vieni a conoscenza. Integra questa tempistica nel tuo piano di risposta agli incidenti. Il tempo inizia a scorrere quando rilevi la violazione, non quando l'indagine è completata.
-
ROI e impatto aziendale
La conformità non è un centro di costo. Un'implementazione di WiFi per gli ospiti ben configurata e conforme al GDPR genera tre risultati aziendali misurabili.
Dati di marketing di qualità superiore. I visitatori che effettuano attivamente l'opt-in al marketing sono più coinvolti rispetto a quelli che sono costretti a farlo. I Captive Portal conformi generano liste email che, sebbene più piccole, sono di qualità superiore, con tassi di apertura più elevati, meno reclami e una migliore reputazione del mittente.
Minori costi operativi. Le funzioni automatizzate di registrazione del consenso e di conservazione dei dati eliminano ore di gestione manuale del database. I team IT possono concentrare il proprio tempo sull'infrastruttura anziché sulla manutenzione della conformità.
Mitigazione del rischio normativo. Con sanzioni cumulative GDPR che superano i 5,88 miliardi di euro all'inizio del 2025 (DLA Piper, gennaio 2025), il costo della non conformità è significativo. Una piattaforma conforme elimina il rischio di sanzioni fino al 4% del fatturato globale.
Purple ha raccolto 29 miliardi di punti dati in oltre 80.000 sedi, dimostrando come la conformità di livello enterprise scali con la crescita del business. L'uptime del 99,999% della piattaforma garantisce che l'infrastruttura di conformità non rappresenti mai un rischio per la disponibilità della rete.
Definizioni chiave
Captive portal
Una pagina web che un utente deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a una rete WiFi pubblica. Solitamente fornita intercettando il traffico HTTP e reindirizzandolo all'URL del portale.
Il captive portal è l'interfaccia principale per la conformità al GDPR. È il luogo in cui si presenta l'informativa sulla privacy, si ottiene il consenso esplicito e si convalidano le credenziali dell'utente prima di concedere l'accesso alla rete.
Titolare del trattamento
L'entità che determina le finalità e i mezzi del trattamento dei dati personali.
Quando una sede offre il WiFi per gli ospiti, l'operatore della sede è il Titolare del trattamento. Detiene la responsabilità legale primaria per la conformità al GDPR, compreso l'obbligo di rispondere alle DSAR e di notificare le violazioni all'ICO.
Responsabile del trattamento
Un'entità che tratta dati personali per conto del Titolare del trattamento, in base a un Addendum sul trattamento dei dati (DPA) formale.
Una piattaforma WiFi per ospiti come Purple agisce come Responsabile del trattamento. La sede deve avere un DPA firmato con Purple prima che qualsiasi dato personale venga condiviso. Verificare le certificazioni ISO 27001 e GDPR del responsabile del trattamento prima dell'implementazione.
Consenso esplicito
Un'azione chiara e affermativa da parte dell'utente che acconsente al trattamento dei propri dati personali per uno scopo specifico. Le caselle preselezionate, il silenzio e l'inattività non costituiscono un consenso valido ai sensi dell'Articolo 7 del GDPR.
Nei Captive Portal, il consenso esplicito richiede una casella di controllo deselezionata con una descrizione in linguaggio semplice dell'attività di trattamento. È richiesta una casella di controllo separata per ogni finalità distinta.
Minimizzazione dei dati
Il principio del GDPR secondo cui i dati personali raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità dichiarate.
I team IT devono applicare la minimizzazione dei dati durante la configurazione dei moduli dei Captive Portal. Raccogliere la data di nascita o l'indirizzo postale al fine di fornire l'accesso a internet è eccessivo e non conforme.
Diritto alla cancellazione
Noto anche come diritto all'oblio, consente agli utenti di richiedere la cancellazione dei propri dati personali qualora non siano più necessari per lo scopo per cui sono stati raccolti.
I team IT devono disporre di un sistema in grado di eseguire un'eliminazione completa dei dati in tutti i database e backup entro 30 giorni da una richiesta. Gli archivi dati frammentati rendono questa operazione complessa senza una piattaforma centralizzata.
Indirizzo MAC
Un identificatore univoco assegnato a un controller di interfaccia di rete, utilizzato per le comunicazioni a livello di collegamento dati di una rete.
Ai sensi del GDPR, un indirizzo MAC costituisce dato personale in quanto può identificare un dispositivo specifico e tracciarne i movimenti fisici. La randomizzazione dell'indirizzo MAC sui dispositivi moderni complica la diagnostica ma non elimina l'obbligo di conformità al momento della raccolta.
Informativa sulla conservazione dei dati
Un quadro documentato che definisce per quanto tempo le diverse categorie di dati personali saranno conservate prima della cancellazione automatizzata.
Un'informativa sulla conservazione dei dati è un requisito del GDPR. Le sedi devono definire e applicare limiti di conservazione per categoria di dati: tipicamente 30 giorni per i log di sessione, 12 mesi per i log di sicurezza e fino alla revoca del consenso per i profili di marketing.
DPIA (Valutazione d'impatto sulla protezione dei dati)
Un processo per identificare e mitigare i rischi per la privacy prima di implementare una nuova attività di trattamento dei dati, legalmente richiesto ai sensi dell'Articolo 35 del GDPR per i trattamenti ad alto rischio.
Una DPIA è obbligatoria prima di implementare sistemi WiFi per ospiti che comportano il tracciamento della posizione su larga scala, la profilazione comportamentale o il trattamento di dati di gruppi vulnerabili come i minori.
VLAN (Virtual Local Area Network)
Una segmentazione logica di una rete fisica che isola il traffico tra gruppi di dispositivi.
Il traffico WiFi degli ospiti deve essere isolato dalle reti aziendali utilizzando VLAN dedicate. Ciò impedisce a un dispositivo ospite compromesso di accedere ai sistemi interni ed è un requisito di sicurezza tecnico fondamentale del GDPR.
Esempi pratici
Una catena retail con 150 punti vendita desidera raccogliere le e-mail degli acquirenti tramite WiFi per gli ospiti per integrarle con il proprio CRM, ma il direttore IT è preoccupato per la conformità al GDPR in materia di consenso al marketing. Come dovrebbe essere configurato il portale?
Distribuisci un captive portal tramite Purple sui punti di accesso Cisco Meraki esistenti. Configura il portale con due interazioni distinte. In primo luogo, una casella di controllo per l'accettazione dei Termini di servizio - obbligatoria per connettersi - che stabilisce la base giuridica per il trattamento dei dati di connessione di base ai sensi del legittimo interesse. In secondo luogo, una casella di controllo separata e non selezionata con la dicitura: 'Accetto di ricevere offerte promozionali via e-mail da [Brand]'. Abilita la convalida dell'e-mail in tempo reale per rifiutare gli indirizzi non validi. Configura l'integrazione del CRM per trasmettere solo i profili in cui il flag del consenso al marketing è impostato su 'true'. Se un acquirente si connette senza selezionare la casella di marketing, Purple registra la connessione ma contrassegna il profilo come escluso e lo esclude dalla sincronizzazione con il CRM. I log di sessione vengono eliminati automaticamente dopo 30 giorni. Il team IT può esportare il log di audit del consenso in qualsiasi momento per dimostrare la conformità.
Il gestore IT di uno stadio riceve una richiesta di accesso ai dati (DSAR) da un tifoso che desidera che tutta la sua cronologia di connessione e i suoi dati personali vengano cancellati. Il tifoso si è connesso al WiFi ospiti in cinque eventi nell'arco di due anni. Come dovrebbe rispondere il team IT?
Utilizzando la dashboard di Purple, il gestore IT cerca l'indirizzo e-mail convalidato dell'utente. La ricerca restituisce il profilo completo: indirizzi MAC associati al suo dispositivo, timestamp di connessione per tutti e cinque gli eventi, metadati di sessione e il registro dei consensi che mostra quando e cosa ha accettato. Il gestore fa clic su 'Cancella dati utente'. Purple esegue una cancellazione definitiva dal database attivo e contrassegna i record per la rimozione dai backup. Il sistema genera una conferma di cancellazione con un timestamp, che il gestore IT invia al tifoso come prova di conformità. L'intero processo richiede meno di cinque minuti e avviene ampiamente entro la finestra legale di 30 giorni.
Domande di esercitazione
Q1. Il team di marketing richiede che il modulo di accesso al WiFi ospiti richieda agli utenti di fornire il proprio indirizzo email, la data di nascita e l'indirizzo di casa prima di concedere l'accesso. Come dovrebbe rispondere l'IT manager e quale principio del GDPR si applica?
Suggerimento: Considera quale principio del GDPR disciplina la quantità di dati raccolti rispetto alla finalità del servizio fornito.
Visualizza risposta modello
L'IT manager dovrebbe respingere la richiesta sulla base della minimizzazione dei dati, un principio fondamentale del GDPR ai sensi dell'Articolo 5(1)(c). La raccolta della data di nascita e dell'indirizzo di casa è eccessiva per lo scopo di fornire l'accesso a internet. Il modulo dovrebbe essere limitato all'indirizzo email per scopi di accesso. Il consenso al marketing deve rimanere un campo separato e facoltativo. L'IT manager dovrebbe documentare questa decisione nel registro delle attività di trattamento.
Q2. Un utente si connette al WiFi della struttura, accetta i Termini di Servizio, ma lascia deselezionata la casella di spunta per il consenso al marketing. Il sistema gli concede l'accesso. Tre giorni dopo, il team di marketing invia all'utente un'e-mail promozionale utilizzando l'indirizzo e-mail acquisito al momento del login. Questa procedura è conforme?
Suggerimento: Rivedi i requisiti per il consenso esplicito e la separazione dell'accesso alla rete dalle comunicazioni di marketing.
Visualizza risposta modello
No. L'utente non ha fornito un consenso esplicito per le comunicazioni di marketing. L'invio di un'e-mail promozionale a un utente che ha lasciato deselezionata la casella del marketing viola l'Articolo 7 del GDPR. L'indirizzo e-mail è stato raccolto allo scopo di fornire l'accesso alla rete, non per finalità di marketing. L'utilizzo per uno scopo diverso senza consenso viola il principio di limitazione della finalità. Il team di marketing deve escludere tutti i profili in cui il flag di consenso è impostato su opt-out.
Q3. Un hotel offre il WiFi per gli ospiti da quattro anni e non ha mai cancellato i log di connessione o i profili utente. Un audit GDPR è previsto tra sei settimane. Quali sono i tre passaggi tecnici immediati che l'architetto di rete dovrebbe intraprendere?
Suggerimento: Pensa alla limitazione della conservazione, alla cancellazione automatizzata e ai requisiti di documentazione.
Visualizza risposta modello
In primo luogo, implementare immediatamente una policy automatizzata di conservazione dei dati. Configurare il sistema per eliminare i log di sessione più vecchi di 30 giorni e contrassegnare i log di sicurezza più vecchi di 12 mesi per la revisione. In secondo luogo, condurre un audit dei dati per identificare ed eliminare i profili rimasti inattivi per un lungo periodo e per i quali non vi è alcuno scopo legittimo documentato per la conservazione continua. In terzo luogo, documentare la policy di conservazione nel Registro delle Attività di Trattamento, specificando il periodo di conservazione per ciascuna categoria di dati e la relativa giustificazione. Questi tre passaggi dimostrano una conformità proattiva e riducono il volume dei dati a rischio prima dell'audit.
Continua a leggere questa serie
Captive Portal per Ruijie: come configurarlo con Purple guest WiFi
Come il cloud guest WiFi di Purple si integra con gli access point Ruijie serie RG utilizzando l'autenticazione web e RADIUS, configurati da riga di comando, e dove trovare i passaggi esatti di configurazione.
Progettazione di Captive Portal B2B: Raccolta dei Dati del Nome Registrato e dell'Azienda
Questa guida fornisce ai responsabili IT e ai gestori di sedi un framework tecnico indipendente dal fornitore per la progettazione di Captive Portal B2B. Dettaglia come strutturare i campi di registrazione per acquisire il nome registrato e i dati aziendali, garantendo tassi di completamento elevati pur mantenendo la conformità al GDPR e creando un'intelligence a livello di account.
Architettura Captive Portal: sicurezza, reindirizzamento e best practice
Un riferimento tecnico definitivo sull'architettura enterprise del captive portal. Questa guida analizza l'isolamento della rete, il reindirizzamento DNS, l'autenticazione RADIUS e la conformità della sicurezza per i responsabili IT che implementano reti WiFi ospiti sicure e ricche di dati.