Conformidade de WiFi com o GDPR: Como Recolher de Forma Segura Dados de Convidados através de Portais Captivos
Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços uma estrutura prática para alcançar a conformidade com o GDPR em implementações de WiFi para convidados. Abrange a forma como os portais captivos recolhem dados pessoais, como garantir o consentimento explícito e como implementar políticas automatizadas de retenção de dados que protegem a sua organização de coimas regulatórias de até 4% da faturação global. A plataforma de WiFi para convidados da Purple alinha-se diretamente com cada requisito de conformidade, desde o registo de consentimento à eliminação de dados com um único clique.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada: Que Dados Recolhe e Por Que Razão São Importantes
- Arquitetura de Consentimento
- Requisitos de Segurança de Rede
- Guia de Implementação: Implementar um Portal em Conformidade
- Passo 1: Audite a sua Recolha de Dados Atual
- Passo 2: Redesenhar Formulários do Portal
- Passo 3: Configurar a Retenção de Dados Automatizada
- Passo 4: Ativar a Gestão de Direitos dos Titulares dos Dados
- Passo 5: Realizar uma Avaliação de Impacto sobre a Proteção de Dados
- Estudo de Caso: Premier Inn e Whitbread
- Estudo de Caso: Manchester Airports Group (MAG)
- Boas Práticas
- Resolução de Problemas e Mitigação de Riscos
- Retorno do Investimento (ROI) e Impacto no Negócio

Resumo Executivo
O WiFi para convidados já não é uma simples conveniência. Cada início de sessão num Captive Portal é um evento regulamentado de recolha de dados. Quando os convidados se ligam à sua rede, o utilizador capta dados de registo, identificadores de dispositivos, metadados de sessão e potenciais dados de localização. Ao abrigo do GDPR, o utilizador é o Controlador de Dados de todos estes dados.
Até janeiro de 2025, as autoridades de aplicação do GDPR emitiram multas cumulativas que totalizam aproximadamente 5,88 mil milhões de euros (DLA Piper GDPR Fines and Data Breaches Survey, janeiro de 2025). Uma única infração pode resultar em coimas de até 4% da faturação anual global ou 20 milhões de euros, consoante o que for mais elevado. Para grupos hoteleiros ou cadeias de retalho, isto representa um risco financeiro significativo.
Este guia detalha a arquitetura técnica necessária para recolher dados de convidados de forma segura e legal. Abordamos a conceção do consentimento em Captive Portal, a segmentação de rede, a automatização da retenção de dados e como responder a Pedidos de Acesso do Titular dos Dados dentro do limite legal de 30 dias. A plataforma Guest WiFi da Purple e as ferramentas WiFi Analytics alinham-se diretamente com cada um destes requisitos, operando em mais de 80.000 locais físicos e processando até 440 milhões de inícios de sessão anualmente (dados internos da Purple, 2024).
Análise Técnica Detalhada: Que Dados Recolhe e Por Que Razão São Importantes
Compreender a importância da conformidade com o GDPR para o Guest WiFi começa com a classificação correta dos dados processados pela sua rede. Muitos operadores subestimam este âmbito. A definição de dados pessoais do GDPR é extremamente ampla: qualquer informação relativa a uma pessoa singular identificada ou identificável. No contexto do Guest WiFi, isto abrange muito mais do que apenas os campos do seu formulário de início de sessão.
| Categoria de Dados | Exemplo | Classificação GDPR | Base Legal Exigida |
|---|---|---|---|
| Dados de Registo | Nome, endereço de email, número de telefone | Dados Pessoais | Consentimento |
| Identificadores de Dispositivos | Endereço MAC, tipo de dispositivo | Dados Pessoais | Consentimento ou Interesse Legítimo |
| Metadados de Sessão | Hora de ligação, duração, volume de dados | Dados Pessoais | Interesse Legítimo (Gestão de Rede) |
| Dados de Localização | Mapas de calor de tráfego pedonal, tempos de permanência em zonas | Dados Pessoais Sensíveis | Consentimento Explícito |
| Mesmo sem um nome associado, um endereço MAC constitui um dado pessoal. Como identifica um dispositivo específico e monitoriza o seu movimento físico dentro de um local, este potencial de identificação é suficiente para constituir um dado pessoal ao abrigo do GDPR. A aleatorização do endereço MAC nos dispositivos iOS e Android modernos complica a análise, mas não elimina as obrigações de conformidade no momento da recolha. |
Arquitetura de Consentimento
O Captive Portal é a sua interface principal de conformidade. O Artigo 7 do GDPR exige que o consentimento deve ser dado livremente, específico, informado e inequívoco. Na prática, isto significa que o seu portal deve fazer duas coisas corretamente.
Em primeiro lugar, separe o acesso à rede do consentimento de marketing. Não pode condicionar o acesso ao WiFi à aceitação por parte do utilizador de receber emails promocionais. Se uma caixa de seleção de marketing tiver de ser marcada para ligar, isso é forçado, não é consentimento. A caixa de seleção deve estar desmarcada por predefinição, e os utilizadores devem poder ligar-se sem a marcar.
Em segundo lugar, registe todos os eventos de consentimento. A sua Plataforma de Gestão de Consentimento (CMP) deve registar quem consentiu, quando consentiu, com o que consentiu e a versão exata da política de privacidade que lhes foi apresentada. Este registo de auditoria é a sua principal linha de defesa durante uma investigação regulamentar.

A solução Purple Capture inclui uma CMP integrada que regista carimbos de data/hora e versões da política de privacidade para todos os eventos de consentimento. Quando a ICO solicitar prova de conformidade, pode simplesmente exportar os registos em vez de tentar reconstruí-los de memória.
Requisitos de Segurança de Rede
O Artigo 32 do GDPR exige medidas técnicas adequadas para proteger os dados pessoais. Para o WiFi de convidados, isto traduz-se em três controlos não negociáveis.
Encriptação em Trânsito. Todo o tráfego do Captive Portal deve utilizar HTTPS. As implementações modernas devem implementar WPA3 para uma encriptação sem fios mais forte, substituindo o WPA2 onde existir suporte de hardware. O handshake Simultaneous Authentication of Equals (SAE) do WPA3 elimina os ataques de dicionário offline que comprometem as redes WPA2-PSK.
Segmentação de Rede. O tráfego de WiFi de convidados deve ser isolado da rede corporativa utilizando uma VLAN dedicada. Isto evita que dispositivos de convidados comprometidos acedam a sistemas internos. Em implementações Cisco Meraki, HPE Aruba e Juniper Mist, a Purple configura automaticamente esta segmentação como parte da configuração da sobreposição de nuvem.
Soberania dos Dados. Os dados dos convidados europeus devem residir em servidores alojados na UE. Se a sua plataforma de WiFi armazena dados em infraestruturas baseadas nos EUA sem mecanismos de transferência adequados, está em violação do Capítulo V do GDPR. A Purple mantém a residência de dados baseada na UE para implementações europeias.
Para uma análise mais aprofundada sobre arquitetura de segurança de rede empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .
Guia de Implementação: Implementar um Portal em Conformidade
Passo 1: Audite a sua Recolha de Dados Atual
Antes de reconfigurar o que quer que seja, mapeie todos os pontos de dados recolhidos pelo seu portal atual. Isto inclui campos em formulários, dados registados por servidores RADIUS e quaisquer integrações de terceiros que recebam dados de convidados. Este documento de Registo de Atividades de Tratamento (RoPA) é um requisito do GDPR para a maioria das organizações e é o ponto de partida para identificar lacunas.
Passo 2: Redesenhar Formulários do Portal
Aplique o princípio da minimização de dados. Se o seu objetivo é fornecer acesso básico à rede, um endereço de email é suficiente. Se está a construir uma base de dados de marketing para uma cadeia de retalho , inclua o primeiro nome. Não inclua moradas postais, datas de nascimento ou números de telefone, a menos que tenha uma necessidade de negócio específica e documentada.
Implemente a verificação de email para rejeitar endereços inválidos. Isto protege a integridade da base de dados e simplifica futuros Pedidos de Acesso do Titular dos Dados. Os portais da Purple impõem a verificação de email em tempo real antes de conceder o acesso.
Ao desenhar a estrutura do seu Captive Portal, deve incluir duas interações distintas:
- Aceitação dos Termos de Serviço - necessária para a ligação, cobrindo o tratamento de dados básico necessário para fornecer o serviço de rede.
- Caixa de Seleção de Consentimento de Marketing - opcional, desmarcada por padrão, acompanhada por uma explicação em linguagem simples sobre o que o utilizador está a consentir.

Passo 3: Configurar a Retenção de Dados Automatizada
O GDPR proíbe o armazenamento indefinido de dados. Defina períodos de retenção para cada categoria de dados e automatize a sua eliminação.

Os períodos de retenção mostrados acima são referências recomendadas. Ajuste-os aos seus requisitos operacionais específicos e documente a fundamentação de cada período. A Purple aplica estas regras nativamente, eliminando registos sem exigir consultas manuais à base de dados por parte da sua equipa de TI.
Passo 4: Ativar a Gestão de Direitos dos Titulares dos Dados
Ao abrigo do GDPR, os utilizadores têm o direito de aceder, retificar e eliminar os seus dados. Tem 30 dias para responder a um pedido. Os seus sistemas devem ser capazes de:
- Localizar um utilizador em todos os repositórios de dados utilizando o seu endereço de email ou endereço MAC.
- Exportar o seu histórico completo num formato legível por máquina (JSON ou CSV).
- Executar uma eliminação permanente em bases de dados ativas e marcar registos para remoção de cópias de segurança.
A Purple centraliza esta operação num único painel de controlo. Os Pedidos de Acesso do Titular dos Dados que costumavam demorar horas de consultas SQL manuais podem agora ser concluídos em minutos.
Passo 5: Realizar uma Avaliação de Impacto sobre a Proteção de Dados
Se implementar análises de localização, mapas de calor de tráfego pedonal ou perfis comportamentais através da sua rede WiFi, a realização de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é um requisito legal antes do lançamento. Uma DPIA identifica riscos de privacidade e documenta as medidas de mitigação que implementou. Para grandes recintos, como estádios ou centros de convenções que gerem milhares de participantes em simultâneo, este é um passo crítico.
Para obter um modelo detalhado, consulte o nosso guia completo: The Network Administrator's Guide to GDPR and Guest Data Privacy Compliance .
-
Estudo de Caso: Premier Inn e Whitbread
A Whitbread, a empresa-mãe da Premier Inn, opera uma das maiores redes de WiFi para hóspedes do setor da hotelaria no Reino Unido. Ao implementar o Purple em todas as suas propriedades de hospitality , centralizaram a gestão de consentimento em centenas de locais. Cada página do portal apresenta um percurso de consentimento claro e em conformidade. Através de uma troca de valor transparente em vez de uma vinculação forçada, alcançaram uma taxa de adesão de marketing de 30-40%. O resultado é um ativo de dados primários verificado que alimenta diretamente o seu CRM e programas de fidelização, acompanhado de um registo de auditoria completo para cada evento de consentimento.
Estudo de Caso: Manchester Airports Group (MAG)
O MAG opera três grandes aeroportos no Reino Unido, gerindo dados de passageiros em grande escala dentro de centros de transport . O WiFi para passageiros de aeroportos enfrenta desafios de conformidade específicos: passageiros de múltiplas jurisdições a ligarem-se simultaneamente, cada um potencialmente sujeito a diferentes regulamentos de proteção de dados. A implementação do Purple para o MAG garante percursos de consentimento em conformidade com o GDPR para viajantes da UE, mantendo ao mesmo tempo a flexibilidade operacional para ajustar as configurações do portal para cada terminal. Os registos de sessão são eliminados automaticamente após 30 dias, e a equipa de segurança pode responder a Pedidos de Acesso do Titular dos Dados (DSARs) sem necessidade de consultar registos RADIUS fragmentados.
-
Boas Práticas
Realize Avaliações de Fornecedores. O fornecedor da sua plataforma de WiFi atua como Subcontratante (Data Processor) ao abrigo do GDPR. Antes de partilhar quaisquer dados pessoais com o mesmo, deve ter um Acordo de Processamento de Dados (DPA) formal em vigor. Verifique as suas certificações de segurança. O Purple é certificado em ISO 27001, GDPR, CCPA e Cyber Essentials.
Monitorize as Taxas de Conclusão do Portal. Taxas de desistência elevadas no seu Captive Portal indicam formulários excessivamente complexos ou linguagem de consentimento pouco clara. Simplifique os pedidos de dados. Menos campos melhoram a conformidade e otimizam a experiência do convidado.
Forme as Equipas de Linha da Frente. Os colaboradores devem compreender como lidar com as dúvidas dos convidados sobre a recolha de dados, para onde encaminhar os pedidos dos titulares dos dados e por que motivo as caixas pré-selecionadas não são permitidas. Uma sessão de esclarecimento de 30 minutos pode evitar falhas de conformidade comuns. Reveja os seus portais trimestralmente. Os regulamentos evoluem. O texto do aviso de privacidade que era suficiente em 2023 pode não refletir as diretrizes atuais do ICO. Agende uma revisão trimestral das configurações do seu portal, políticas de privacidade e registos de consentimento.
Para obter orientações sobre como desenhar formulários de recolha de dados de alto desempenho que equilibrem a conformidade com as taxas de conversão, consulte o nosso guia: Design of a Survey: A Practical Guide for Physical Spaces .
-
Resolução de Problemas e Mitigação de Riscos
Caixas de Consentimento Pré-selecionadas. A falha de conformidade mais comum. Audite todos os portais em toda a sua propriedade e verifique se todas as caixas de seleção de marketing estão desmarcadas por predefinição. Num portal de elevado tráfego, uma única caixa pré-selecionada pode constituir uma violação sistémica do GDPR.
Avisos de Privacidade Vagos. Substitua frases genéricas como "Podemos utilizar os seus dados para vários fins" por descrições específicas: "Utilizamos o seu endereço de email para lhe enviar ofertas promocionais da [Marca]. Pode cancelar a subscrição a qualquer momento." Uma linguagem vaga não cumpre o requisito de "consentimento informado" para um consentimento válido.
Acumulação de Dados Obsoletos. Se a sua base de dados contiver perfis de convidados de há três ou mais anos sem atividade recente, está a reter dados além do seu propósito legal. Execute uma auditoria para eliminar registos inativos imediatamente e configure a eliminação automatizada para o futuro.
Armazenamento de Dados Fragmentado. Os dados dos convidados acabam frequentemente por ficar dispersos por múltiplos sistemas: a plataforma WiFi, CRM, ferramentas de marketing por email e servidores RADIUS. Quando um DSAR é recebido, deve localizar e eliminar os dados em todos eles. Mapeie os seus fluxos de dados agora para evitar uma corrida contra o tempo sob pressão.
Notificação de Violação. Nos termos do Artigo 33 do GDPR, deve notificar o ICO de uma violação de dados pessoais no prazo de 72 horas após tomar conhecimento da mesma. Integre este prazo no seu plano de resposta a incidentes. O relógio começa a contar quando a deteta, e não quando a investigação está concluída.
-
Retorno do Investimento (ROI) e Impacto no Negócio
A conformidade não é um centro de custos. Uma implementação de WiFi para convidados bem configurada e em conformidade com o GDPR gera três resultados de negócio mensuráveis.
Dados de marketing de maior qualidade. Os visitantes que optam ativamente por receber comunicações de marketing estão mais envolvidos do que aqueles que são forçados. Os portais cativos em conformidade geram listas de emails que, embora mais pequenas, têm maior qualidade, resultando em taxas de abertura mais elevadas, menos reclamações e uma melhor reputação de remetente.
Custos operacionais mais baixos. O registo automatizado de consentimento e as funcionalidades de retenção de dados eliminam horas de gestão manual de bases de dados. As equipas de TI podem focar o seu tempo na infraestrutura em vez da manutenção da conformidade.
Mitigação do risco regulatório. Com as multas cumulativas do GDPR a ultrapassar os 5,88 mil milhões de euros no início de 2025 (DLA Piper, janeiro de 2025), o custo do incumprimento é significativo. Uma plataforma em conformidade elimina o risco de multas de até 4% do volume de negócios global.
A Purple recolheu 29 mil milhões de pontos de dados em mais de 80.000 locais, provando que a conformidade de nível empresarial escala com o crescimento do negócio. O tempo de atividade de 99,999% da plataforma garante que a infraestrutura de conformidade nunca seja um risco para a disponibilidade da rede.
Definições Principais
Captive Portal
Uma página web que um utilizador deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso a uma rede WiFi pública. Geralmente disponibilizada através da interceção do tráfego HTTP e do seu redirecionamento para o URL do portal.
O captive portal é a interface principal para a conformidade com o GDPR. É onde apresenta o aviso de privacidade, garante o consentimento explícito e valida as credenciais do utilizador antes de conceder acesso à rede.
Responsável pelo Tratamento
A entidade que determina as finalidades e os meios de tratamento de dados pessoais.
Quando um espaço oferece WiFi para convidados, o operador do espaço é o Responsável pelo Tratamento. Este detém a responsabilidade legal principal pela conformidade com o GDPR, incluindo a obrigação de responder a DSARs e notificar o ICO de violações de segurança.
Subcontratante
Uma entidade que trata dados pessoais em nome do Responsável pelo Tratamento, ao abrigo de um Adenda de Tratamento de Dados (DPA) formal.
Uma plataforma de WiFi para convidados como a Purple atua como Subcontratante. O local deve ter um DPA assinado com a Purple antes de qualquer partilha de dados pessoais. Verifique as certificações ISO 27001 e GDPR do subcontratante antes da implementação.
Consentimento explícito
Uma ação clara e afirmativa do utilizador que concorda com o tratamento dos seus dados pessoais para uma finalidade específica. Caixas pré-marcadas, silêncio e inatividade não constituem consentimento válido ao abrigo do Artigo 7.º do GDPR.
Nos Captive Portals, o consentimento explícito exige uma caixa de seleção desmarcada com uma descrição em linguagem simples da atividade de tratamento. É necessária uma caixa de seleção separada para cada finalidade distinta.
Minimização de dados
O princípio do GDPR de que os dados pessoais recolhidos devem ser adequados, relevantes e limitados ao necessário para a finalidade declarada.
As equipas de TI devem aplicar a minimização de dados ao configurar formulários de Captive Portal. Recolher a data de nascimento ou o endereço postal com a finalidade de fornecer acesso à internet é excessivo e não conforme.
Direito ao Apagamento
Também conhecido como o direito a ser esquecido, permite que os utilizadores solicitem a eliminação dos seus dados pessoais quando estes já não forem necessários para a finalidade para a qual foram recolhidos.
As equipas de TI devem ter um sistema capaz de executar uma purga de dados completa em todas as bases de dados e cópias de segurança no prazo de 30 dias após um pedido. Armazenamentos de dados fragmentados tornam esta operação complexa sem uma plataforma centralizada.
Endereço MAC
Um identificador único atribuído a um controlador de interface de rede, utilizado para comunicações na camada de ligação de dados de uma rede.
Ao abrigo do GDPR, um endereço MAC é considerado um dado pessoal porque pode identificar um dispositivo específico e monitorizar a sua deslocação física. A aleatorização de endereços MAC em dispositivos modernos complica as análises, mas não elimina a obrigação de conformidade no momento da recolha.
Política de Retenção de Dados
Um enquadramento documentado que define durante quanto tempo diferentes categorias de dados pessoais serão armazenadas antes da eliminação automatizada.
Uma política de retenção é um requisito do GDPR. Os locais devem definir e aplicar limites de retenção por categoria de dados: normalmente 30 dias para registos de sessão, 12 meses para registos de segurança, e até à retirada do consentimento para perfis de marketing.
DPIA (Avaliação de Impacto sobre a Proteção de Dados)
Um processo para identificar e mitigar riscos de privacidade antes de implementar uma nova atividade de tratamento de dados, legalmente exigido pelo Artigo 35.º do GDPR para tratamentos de alto risco.
Uma DPIA é obrigatória antes de implementar sistemas de WiFi para convidados que envolvam a monitorização de localização em grande escala, criação de perfis comportamentais ou tratamento de dados de grupos vulneráveis, tais como crianças.
VLAN (Virtual Local Area Network)
Uma segmentação lógica de uma rede física que isola o tráfego entre grupos de dispositivos.
O tráfego de WiFi para convidados deve ser isolado das redes corporativas utilizando VLANs dedicadas. Isto impede que um dispositivo de convidado comprometido aceda a sistemas internos e constitui um requisito técnico de segurança central do GDPR.
Exemplos Práticos
Uma cadeia de retalho com 150 lojas pretende recolher emails de compradores através de WiFi para convidados para integração com o seu CRM, mas o diretor de TI está preocupado com a conformidade com o GDPR relativamente ao consentimento de marketing. Como deve o portal ser configurado?
Implemente um portal captivo através da Purple sobre os pontos de acesso Cisco Meraki existentes. Configure o portal com duas interações distintas. Primeiro, uma caixa de seleção de aceitação dos Termos de Serviço - obrigatória para a ligação - que estabelece a base legal para o processamento de dados básicos de ligação sob interesse legítimo. Segundo, uma caixa de seleção separada e desmarcada com o texto: 'Concordo em receber ofertas promocionais por email da [Marca].' Ative a validação de email em tempo real para rejeitar endereços inválidos. Configure a integração com o CRM para passar apenas perfis onde a flag de consentimento de marketing está definida como 'true'. Se um comprador se ligar sem marcar a caixa de marketing, a Purple regista a ligação, mas marca o perfil como autoexcluído e exclui-o da sincronização com o CRM. Os registos de sessão são eliminados automaticamente após 30 dias. A equipa de TI pode exportar o registo de auditoria de consentimento a qualquer momento para demonstrar a conformidade.
Um gestor de TI de um estádio recebe um Pedido de Acesso do Titular dos Dados (DSAR) de um adepto que pretende que todo o seu histórico de ligações e dados pessoais sejam eliminados. O adepto ligou-se ao WiFi para convidados em cinco eventos ao longo de dois anos. Como deve a equipa de TI responder?
Utilizando o painel da Purple, o gestor de TI pesquisa o endereço de email validado do utilizador. A pesquisa devolve o perfil completo: endereços MAC associados ao seu dispositivo, carimbos de data/hora de ligação para os cinco eventos, metadados de sessão e o registo de consentimento que mostra quando e com o que concordaram. O gestor clica em 'Erase User Data'. A Purple executa uma eliminação permanente da base de dados ativa e marca os registos para remoção das cópias de segurança. O sistema gera uma confirmação de eliminação com um carimbo de data/hora, que o gestor de TI envia ao adepto como prova de conformidade. Todo o processo demora menos de cinco minutos e ocorre bem dentro do prazo legal de 30 dias.
Perguntas de Prática
Q1. A equipa de marketing solicita que o formulário de início de sessão do WiFi para convidados exija que os utilizadores forneçam o seu endereço de email, data de nascimento e morada antes de conceder o acesso. Como deve o gestor de TI responder e qual o princípio do GDPR aplicável?
Dica: Considere qual o princípio do GDPR que rege a quantidade de dados recolhidos em relação à finalidade do serviço que está a ser prestado.
Ver resposta modelo
O gestor de TI deve rejeitar o pedido com base na minimização de dados, um princípio central do GDPR ao abrigo do Artigo 5.º, n.º 1, alínea c). Recolher a data de nascimento e a morada é excessivo para a finalidade de fornecer acesso à internet. O formulário deve ser limitado ao endereço de email para fins de acesso. O consentimento para marketing deve continuar a ser um campo opcional e separado. O gestor de TI deve documentar esta decisão no Registo das Atividades de Tratamento.
Q2. Um utilizador liga-se ao WiFi do local, aceita os Termos de Serviço, mas deixa a caixa de seleção de consentimento de marketing desmarcada. O sistema concede-lhe acesso. Três dias depois, a equipa de marketing envia-lhe um email promocional utilizando o endereço de email capturado no início de sessão. Isto está em conformidade?
Dica: Reveja os requisitos para o consentimento explícito e a separação do acesso à rede das comunicações de marketing.
Ver resposta modelo
Não. O utilizador não forneceu consentimento explícito para comunicações de marketing. O envio de um email promocional a um utilizador que deixou a caixa de marketing desmarcada viola o Artigo 7.º do GDPR. O endereço de email foi recolhido com a finalidade de fornecer acesso à rede, não para marketing. Utilizá-lo para uma finalidade diferente sem consentimento viola o princípio da limitação das finalidades. A equipa de marketing deve suprimir todos os perfis em que o indicador de consentimento esteja definido como recusado.
Q3. Um hotel oferece WiFi para hóspedes há quatro anos e nunca eliminou quaisquer registos de ligação ou perfis de utilizador. Está agendada uma auditoria do GDPR em seis semanas. Quais são os três passos técnicos imediatos que o arquiteto de rede deve tomar?
Dica: Pense na limitação da conservação, eliminação automatizada e requisitos de documentação.
Ver resposta modelo
Primeiro, implementar imediatamente uma política automatizada de retenção de dados. Configurar o sistema para purgar registos de sessão com mais de 30 dias e marcar registos de segurança com mais de 12 meses para revisão. Segundo, realizar uma auditoria de dados para identificar e eliminar perfis que tenham estado inativos por um período prolongado e para os quais não exista uma finalidade legítima documentada para a conservação contínua. Terceiro, documentar a política de retenção no Registo de Atividades de Tratamento, especificando o período de retenção para cada categoria de dados e a respetiva justificação. Estes três passos demonstram uma conformidade proativa e reduzem o volume de dados em risco antes da auditoria.
Continue a ler esta série
Captive Portal para Ruijie: configure-o com o Purple guest WiFi
Como o cloud guest WiFi da Purple funciona sobre os pontos de acesso Ruijie RG Series utilizando autenticação web e RADIUS, configurado a partir da linha de comandos, e onde encontrar os passos exatos de configuração.
Conceber Captive Portals B2B: Recolha de Nome Registado e Dados da Empresa
Este guia fornece aos gestores de TI e operadores de espaços uma estrutura técnica independente de fornecedor para conceber Captive Portals B2B. Detalha como estruturar os campos de registo para capturar o nome registado e os dados da empresa, garantindo elevadas taxas de conclusão, mantendo a conformidade com o GDPR e construindo inteligência ao nível da conta.
Arquitetura de Captive Portal: Segurança, Redirecionamento e Boas Práticas
Uma referência técnica definitiva sobre arquitetura de captive portal empresarial. Este guia analisa o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implementam redes WiFi de convidados seguras e ricas em dados.