Saltar para o conteúdo principal
Português

GDPR and Guest WiFi: Guia de Conformidade para Marketers de Espaços e TI

Este guia fornece aos gestores de TI e operadores de espaços uma estrutura prática para garantir que os serviços de Guest WiFi estão em total conformidade com o GDPR. Abrange a arquitetura técnica, mecanismos de consentimento, retenção de dados e como transformar a conformidade num ativo seguro de dados primários (first-party).

📖 6 min de leitura📝 1,473 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
GDPR and Guest WiFi: Compliance Guide for Venue Marketers and IT A Purple Technical Briefing - Approximately 10 minutes --- INTRODUCTION AND CONTEXT (approximately 1 minute) Welcome to the Purple Technical Briefing. I am a Senior Technical Content Strategist at Purple, and today we are covering something that every IT manager, network architect, and venue operations director needs to get right: GDPR compliance for guest WiFi. Over the next ten minutes, I will walk you through the technical architecture, the consent mechanics, the data retention requirements, and the specific pitfalls that get organisations into trouble with regulators. This is not a legal lecture. Think of it as a senior consultant briefing you before you go into a board meeting or a regulatory audit. Let us start with the stakes. The ICO can impose fines of up to twenty million euros, or four percent of global annual turnover, for serious GDPR infringements. More than two thousand eight hundred GDPR fines totalling over six point two billion euros have been issued across Europe since 2018. Marriott International received a proposed fine of one hundred and twenty four million dollars from the ICO following a data breach. The risk is real, and guest WiFi is a live data collection endpoint in every venue you operate. --- TECHNICAL DEEP-DIVE (approximately 5 minutes) Let us get into the architecture. When you provide guest WiFi at a hotel, a retail store, a stadium, or a conference centre, you become a Data Controller under GDPR. That is a specific legal designation. It means you are responsible for every byte of personal data your network collects, stores, and processes. Your WiFi vendor - whether that is Purple or anyone else - is your Data Processor. You need a signed Data Processing Addendum in place before any personal data flows to them. The ICO is explicit: MAC addresses, IP addresses, session timestamps, and location data are all personal data when they can be linked to an identifiable individual. In a guest WiFi environment, they almost always can be. The moment a guest enters their email address on your splash page, every other data point you collect about that device becomes personal data. So what data are you actually collecting? There are four categories to understand. First, Registration Data. This is what you ask for on your captive portal: name, email address, phone number, or social login credentials. This requires explicit consent under GDPR Article 6. Data minimisation applies here. Only ask for what is strictly necessary. Second, Device and Session Data. This covers MAC addresses, IP addresses, connection and disconnection times, and session duration. Basic session logging for network security and troubleshooting can be justified under legitimate interest, but you must conduct a Legitimate Interest Assessment and document it. Third, Location Data. If you are using WiFi analytics to generate footfall heatmaps or measure dwell time, you are processing location data. Even when aggregated, the initial collection from an individual device is personal data. This requires clear disclosure and, in most cases, explicit consent. Fourth, Usage and Behavioural Data. Pages visited, bandwidth consumed, application usage patterns. This requires consent, and you must be specific about what you are collecting and why. Now let us talk about the captive portal, because this is where most venues make their most serious compliance errors. The captive portal is your primary compliance interface. It is the splash page guests see before they access the internet. The most common mistake is bundling. This is where a venue requires a guest to accept marketing emails as a condition of getting online. Under GDPR, consent must be freely given. If you bundle network access with marketing consent, the consent is invalid. Full stop. Your captive portal must present at minimum two separate consent elements. The first is mandatory: acceptance of your terms of service for network access. The second is optional and unticked by default: consent to receive marketing communications. A guest must be able to connect to the WiFi without agreeing to marketing. GDPR Recital 32 explicitly prohibits pre-ticked boxes. Beyond the consent structure, your portal must serve a clear and concise privacy notice before the user submits any data. It must explain what data you collect, why you collect it, how long you keep it, and who you share it with. It must link to your full privacy policy. And critically, your system must log every consent event: who consented, when they consented, what they consented to, and the exact version of the privacy notice they saw. This consent audit trail is your proof of compliance. From a network architecture perspective, VLAN segmentation is non-negotiable. Guest WiFi traffic must be isolated on a dedicated VLAN, completely separate from your corporate network. Use access control lists to block guest devices from accessing internal subnets, and enable client isolation so guest devices cannot communicate with each other. This applies whether you are running Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, or Ubiquiti UniFi. For authentication, integrate your wireless LAN controller with a cloud RADIUS server. When a user completes the captive portal flow, the platform sends a RADIUS Access-Accept message to the controller, granting network access. This creates a clean separation between the authentication layer and the data collection layer. On encryption: deploy WPA3 where your hardware supports it. WPA3 uses Simultaneous Authentication of Equals, which eliminates the vulnerabilities in WPA2's four-way handshake and provides stronger protection against offline dictionary attacks. At a minimum, enforce WPA2 with AES-CCMP encryption. And your captive portal must be served over HTTPS with a valid TLS certificate. Serving a form that collects personal data over HTTP is a serious security failure and an immediate compliance red flag. Now, data retention. This is where organisations accumulate risk silently over time. GDPR's storage limitation principle requires that personal data is kept no longer than necessary for the stated purpose. A defensible baseline looks like this. Session logs - IP addresses, MAC addresses, connection timestamps - should be purged after 30 days. That is sufficient for network troubleshooting and security incident investigation. Network security logs, such as firewall events and intrusion detection alerts, can be retained for up to 12 months. Consent records must be kept for the duration of the service relationship plus a period to cover potential legal challenges - typically two years after the last interaction. Marketing profiles should be retained only while the user's consent is valid. The moment a user withdraws consent, their marketing profile must be deleted. Not archived. Deleted. The challenge is enforcing these policies at scale. If you are managing guest WiFi across dozens or hundreds of venues, manual data deletion is not viable. You need a platform that automates retention enforcement. Purple applies configurable retention rules to each data category, automatically purging records when they reach the end of their retention period, across all 80,000-plus venues on the platform. --- IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Let me give you two real-world scenarios that illustrate how this plays out in practice. Scenario one: a 200-room hotel. The property team wants to collect guest emails to drive loyalty programme sign-ups. Their current system requires guests to accept marketing to get online. This is a clear GDPR violation. The fix is straightforward. Deploy a compliant captive portal with separate consent checkboxes. The mandatory checkbox covers terms of service. The optional, unticked checkbox covers marketing consent. The hotel will likely see a lower raw volume of marketing opt-ins compared to the bundled approach, but the quality and legality of the list improves dramatically. Guests who actively opt in are far more likely to engage with subsequent communications. Premier Inn, which uses Purple across its estate, operates exactly this model. Scenario two: a stadium IT team. They want to use WiFi analytics to monitor crowd density and manage safety. The concern from the legal team is that tracking device locations without consent is a GDPR violation. The solution is two-fold. First, update the captive portal privacy notice to explicitly disclose that location data is processed for crowd management and safety purposes. Second, implement MAC address pseudonymisation at the edge - on the access points themselves - before the data reaches the cloud analytics platform. The analytics system then works with pseudonymous identifiers rather than raw MAC addresses, significantly reducing the privacy risk and the scope of your DPIA. The three pitfalls I see most often in venue deployments are these. One: consent fatigue. If your portal is too complex, guests abandon the connection or click blindly. Keep the language plain. Explain the value exchange clearly. Two: failing to honour data subject rights. Under GDPR, guests have the right to access, rectify, and erase their data. You must have a process for this. A self-service preference centre is the gold standard. Purple's platform provides tools to facilitate Data Subject Access Requests, reducing the operational burden significantly. Three: no signed Data Processing Addendum with your WiFi vendor. Before any personal data flows to a third-party platform, you need that DPA in place. Check your vendor agreements today. --- RAPID-FIRE Q AND A (approximately 1 minute) Let me run through the questions we get asked most often. Question: Do we need consent if we are only collecting MAC addresses for analytics? Answer: Yes. If those analytics can be tied back to a device and its user's behaviour, it is personal data. You need either explicit consent or a robust anonymisation process that occurs immediately upon collection. Question: Is a social media login GDPR compliant? Answer: It can be, but you must be transparent about what data you receive from the social platform, and you must obtain separate consent for any use beyond basic authentication. Question: What happens if we have a data breach? Answer: The 72-hour notification clock starts the moment you become aware of the breach. You must notify the ICO within 72 hours, even if your investigation is not complete. Build this into your incident response plan now. Question: Does GDPR apply to us if we are a small venue? Answer: Yes. GDPR applies regardless of organisation size. The scale of any fine may be proportionate, but the obligation to comply is absolute. --- SUMMARY AND NEXT STEPS (approximately 1 minute) Let me close with your action list. First, audit your current captive portal. Check whether marketing consent is bundled with network access terms. If it is, fix it before your next ICO audit. Second, review your data retention settings. If you do not have automated deletion policies in place, you are accumulating risk with every passing day. Third, check your vendor agreements. Ensure you have a signed Data Processing Addendum with every third-party platform that processes guest data on your behalf. Fourth, implement a preference centre. Give your guests a self-service way to manage their consent and submit data subject access requests. Fifth, conduct a Data Protection Impact Assessment before deploying any large-scale location tracking or behavioural profiling capability. It is legally mandatory under GDPR Article 35. Purple is ISO 27001 certified, GDPR and CCPA compliant, and Cyber Essentials certified. We operate across 80,000-plus live venues and have processed 440 million logins in 2024 alone. Our platform automates consent logging, data retention enforcement, and DSAR management, so your team can focus on running the network rather than managing compliance spreadsheets. For more resources on guest WiFi compliance, visit purple.ai. Thank you for joining this Purple Technical Briefing. Stay compliant, and stay secure. --- END OF SCRIPT

header_image.png

Resumo Executivo

O Guest WiFi é um ponto de recolha de dados regulamentado. Cada hotel, cadeia de retalho, estádio e centro de conferências que disponibiliza acesso a uma rede pública torna-se um Responsável pelo Tratamento de Dados (Data Controller) ao abrigo do Regulamento Geral sobre a Proteção de Dados (GDPR) no momento em que um convidado se liga. O ICO pode aplicar coimas de até 20 milhões de euros ou 4% do volume de negócios anual global por incumprimento. A Marriott International recebeu uma proposta de multa de 124 milhões de dólares do ICO na sequência de uma violação de dados.

Este guia fornece aos gestores de TI, arquitetos de rede e operadores de espaços uma estrutura prática e acionável para garantir que os seus serviços de Guest WiFi estão em total conformidade. Exploramos os tipos específicos de dados recolhidos através do Guest WiFi, os requisitos legais para consentimento e manuseamento de dados, e as melhores práticas independentes de fornecedor para implementar uma solução em conformidade. Para o Diretor de Tecnologia (CTO), este documento descreve como mitigar riscos legais e financeiros. Para o Diretor de Operações, demonstra como uma implementação de Guest WiFi em conformidade pode aumentar a confiança do cliente e fornecer inteligência de negócio valiosa e de origem ética.

Análise Técnica Detalhada

Compreender a conformidade com o GDPR para o Guest WiFi começa com uma avaliação clara dos dados que estão a ser tratados. Ao abrigo do regulamento, os dados pessoais são definidos de forma ampla como qualquer informação relativa a uma pessoa singular identificada ou identificável. No contexto de uma rede Guest WiFi, isto abrange uma gama de pontos de dados mais vasta do que a maioria das organizações assume.

gdpr_data_categories_chart.png

Categorias de Dados no Guest WiFi

Os dados recolhidos através de uma rede Guest WiFi podem ser segmentados em quatro categorias principais. Cada uma tem implicações distintas para a conformidade com o GDPR, particularmente no que diz respeito à base jurídica para o tratamento e ao período de retenção exigido.

  1. Dados de Registo: Nome, endereço de email, número de telefone e dados de perfil de redes sociais. A base jurídica é o Consentimento. Deve obter consentimento explícito para recolher estes dados e aplicar princípios de minimização de dados para solicitar apenas o que for estritamente necessário.
  2. Dados do Dispositivo e da Sessão: Endereço MAC, endereço IP, tempos de ligação e duração da sessão. A base jurídica é tipicamente o Interesse Legítimo para segurança da rede e resolução de problemas, desde que realize e documente uma Avaliação de Interesse Legítimo.
  3. Dados de Localização: Mapas de calor de afluência e monitorização do tempo de permanência. A base jurídica é o Consentimento. Mesmo quando agregada, a recolha inicial a partir de um dispositivo individual constitui dados pessoais.
  4. Dados de Utilização e Comportamentais: Páginas visitadas e largura de banda consumida. A base jurídica é o Consentimento. Deve ser específico sobre o que está a recolher e porquê.

Mecanismos de Consentimento do Captive Portal

O Captive Portal é a sua principal interface de conformidade. É a página de entrada (splash page) que os convidados veem antes de acederem à internet. A falha de conformidade mais comum é a vinculação (bundling), em que um espaço exige que o convidado aceite emails de marketing como condição para aceder à internet. Ao abrigo do GDPR, o consentimento deve ser dado livremente. Se vincular o acesso à rede ao consentimento de marketing, o consentimento é inválido.

O seu Captive Portal deve apresentar, no mínimo, dois elementos de consentimento separados:

  • Uma caixa de seleção (checkbox) obrigatória para aceitação dos seus termos de serviço para acesso à rede.
  • Uma caixa de seleção (checkbox) opcional e desmarcada para consentimento de receção de comunicações de marketing.

O Considerando 32 do GDPR proíbe explicitamente caixas pré-marcadas. Além da estrutura de consentimento, o seu portal deve apresentar um aviso de privacidade claro e conciso antes de o utilizador submeter quaisquer dados. Deve explicar que dados recolhe, por que os recolhe, durante quanto tempo os guarda e com quem os partilha. O seu sistema deve registar cada evento de consentimento: quem consentiu, quando consentiu, com o que consentiu e a versão exata do aviso de privacidade que visualizou. Este registo de auditoria de consentimento é a sua prova de conformidade.

Arquitetura de Rede e Segurança

gdpr_compliance_architecture.png

Do ponto de vista da arquitetura de rede, a segmentação de VLAN é inegociável. O tráfego de Guest WiFi deve ser isolado numa VLAN dedicada, completamente separada da sua rede corporativa. Utilize listas de controlo de acesso para bloquear o acesso de dispositivos de convidados a sub-redes internas e ative o isolamento de clientes para que os dispositivos de convidados não possam comunicar entre si. Isto aplica-se quer esteja a implementar Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi.

Para autenticação, integre o seu controlador de LAN sem fios com um servidor RADIUS na nuvem. Quando um utilizador conclui o fluxo do Captive Portal, a plataforma envia uma mensagem RADIUS Access-Accept para o controlador, concedendo acesso à rede. Isto cria uma separação clara entre a camada de autenticação e a camada de recolha de dados.

Sobre encriptação: implemente WPA3 onde o seu hardware o suportar. O WPA3 utiliza a Autenticação Simultânea de Iguais (Simultaneous Authentication of Equals), que elimina as vulnerabilidades do handshake de quatro vias do WPA2 e fornece uma proteção mais forte contra ataques de dicionário offline. No mínimo, imponha WPA2 com encriptação AES. O seu Captive Portal deve ser disponibilizado através de HTTPS com um certificado TLS válido. Disponibilizar um formulário que recolhe dados pessoais através de HTTP é uma falha de segurança grave.

Guia de Implementação

A implementação de uma solução de Guest WiFi em conformidade exige um planeamento e execução cuidadosos. Os passos seguintes descrevem uma abordagem de implementação independente de fornecedor.

Passo 1: Auditar os Fluxos de Dados Atuais

Mapeie exatamente quais os dados que a sua rede Guest WiFi atual recolhe. Identifique cada campo no seu Captive Portal, cada ficheiro de registo gerado pelo seu controlador sem fios e cada integração de terceiros. Documente a finalidade de cada ponto de dados. Se não conseguir justificar a recolha de um ponto de dados específico, elimine-o.

Passo 2: Redesenhar o Captive Portal

Implemente um Captive Portal em conformidade, com caixas de seleção separadas e desmarcadas para os termos de rede e consentimento de marketing. Garanta que a linguagem é simples e que a troca de valor é clara. Ligue diretamente para a sua política de privacidade completa.

Passo 3: Automatizar a Retenção de Dados

Configure políticas de eliminação automatizadas na sua plataforma de WiFi Analytics . A eliminação manual não é viável à escala.

  • Registos de sessão: Eliminar permanentemente após 30 dias.
  • Registos de segurança de rede: Reter até 12 meses.
  • Registos de consentimento: Manter durante a vigência da relação de serviço mais dois anos.
  • Perfis de marketing: Eliminar imediatamente quando um utilizador retirar o consentimento.

Passo 4: Proteger a Periferia da Rede

Segmente o tráfego de convidados numa VLAN dedicada. Implemente o isolamento de clientes. Imponha a encriptação WPA3 onde for suportada. Garanta que o seu Captive Portal é disponibilizado através de HTTPS.

Passo 5: Implementar um Centro de Preferências

Forneça aos convidados um centro de preferências self-service onde possam gerir as suas definições de consentimento e submeter Pedidos de Acesso do Titular dos Dados (DSARs). Isto reduz a carga operacional sobre a sua equipa de TI e garante que pode respeitar os direitos dos titulares dos dados de forma eficiente.

Melhores Práticas

Para manter a conformidade e construir uma estratégia robusta de Guest WiFi , adira a estas melhores práticas padrão do setor:

  • Realizar uma DPIA: Uma Avaliação de Impacto sobre a Proteção de Dados é legalmente obrigatória ao abrigo do Artigo 35.º do GDPR antes de implementar qualquer capacidade de monitorização de localização ou definição de perfis comportamentais em grande escala.
  • Assinar um DPA: Garanta que tem um Aditamento de Processamento de Dados (DPA) assinado com todas as plataformas de terceiros que processam dados de convidados em seu nome.
  • Minimizar a Recolha de Dados: Peça apenas os dados de que realmente necessita e que tenciona utilizar. Se for um espaço de Retalho , precisa realmente da data de nascimento de um convidado para fornecer acesso à Internet?
  • Preparar para Violações: O relógio de notificação de 72 horas começa no momento em que toma conhecimento de uma violação. Integre este cronograma no seu plano de resposta a incidentes e garanta que a sua equipa sabe que deve notificar o ICO no prazo de 72 horas, mesmo que a investigação não esteja concluída.

Resolução de Problemas e Mitigação de Riscos

Os modos de falha comuns em implementações de Guest WiFi decorrem frequentemente de uma má compreensão dos requisitos do GDPR.

Modo de Falha: Fadiga de Consentimento Se o seu portal for demasiado complexo, os convidados abandonarão a ligação ou clicarão às cegas. Mantenha a linguagem simples. Explique a troca de valor de forma clara. Por exemplo, "Forneça o seu e-mail para obter WiFi rápido e gratuito e ofertas ocasionais da nossa parte."

Modo de Falha: Ignorar os Direitos dos Titulares dos Dados Ao abrigo do GDPR, os convidados têm o direito de aceder, retificar e apagar os seus dados. Se não tiver um processo para lidar com estes pedidos, está exposto a um risco significativo. Um centro de preferências self-service é a estratégia de mitigação mais eficaz.

Modo de Falha: Retenção Indefinida de Dados Reter dados indefinidamente é uma violação direta do princípio de limitação de conservação do GDPR. Se não tiver políticas de eliminação automatizadas implementadas, estará a acumular riscos a cada dia que passa. Configure regras de retenção na sua plataforma para eliminar automaticamente os registos quando estes atingirem o fim do seu período de retenção.

ROI e Impacto no Negócio

A conformidade com o GDPR para Guest WiFi não é apenas um custo; é um facilitador estratégico. Uma plataforma em conformidade mitiga o risco de coimas regulamentares, constrói a confiança do cliente e fornece inteligência de negócio obtida de forma ética.

Quando um convidado opta ativamente por receber comunicações de marketing através de um Captive Portal em conformidade, a qualidade desse contacto é significativamente superior à de um opt-in agregado. Os convidados que consentem explicitamente têm maior probabilidade de interagir com as comunicações subsequentes, gerando taxas de conversão mais elevadas para as suas campanhas de marketing.

Além disso, uma plataforma de Guest WiFi bem estruturada fornece informações valiosas sobre o comportamento dos visitantes. Em ambientes de Hotelaria , estes dados podem informar os níveis de pessoal, otimizar o layout e melhorar a experiência geral do convidado. Ao tratar a conformidade como um elemento fundamental da sua estratégia de Guest WiFi, transforma um requisito regulamentar num ativo de negócio mensurável.

Ouça o nosso podcast para aprofundar estes tópicos:

Definições Principais

Data Controller

The entity that determines the purposes and means of processing personal data. When you provide Guest WiFi, you are the Data Controller.

This designation makes the venue legally responsible for compliance, regardless of which vendor supplies the WiFi hardware or software.

Data Processor

The entity that processes personal data on behalf of the Data Controller. Your WiFi analytics vendor is a Data Processor.

A signed Data Processing Addendum (DPA) is legally required before sharing data with a Processor.

MAC Address

Media Access Control address. A unique identifier assigned to a network interface controller for use as a network address in communications within a network segment.

Under GDPR, a MAC address is considered personal data when it can be linked to an identifiable individual.

Captive Portal

A web page that the user of a public-access network is obliged to view and interact with before access is granted.

This is the primary interface for collecting consent and serving privacy notices to guests.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks.

Guest WiFi traffic must be isolated on a dedicated VLAN to prevent access to the corporate network.

Legitimate Interest

A lawful basis for processing personal data when the processing is necessary for your legitimate interests or the legitimate interests of a third party, unless there is a good reason to protect the individual's personal data which overrides those legitimate interests.

Often used as the basis for basic session logging for network security and troubleshooting.

Data Subject Access Request (DSAR)

A request made by an individual to access the personal data an organisation holds about them.

Venues must have a process to handle DSARs efficiently, often facilitated by a self-service preference centre.

WPA3

Wi-Fi Protected Access 3. The latest security certification program developed by the Wi-Fi Alliance.

Provides stronger encryption and protection against offline dictionary attacks compared to WPA2. Should be deployed where hardware supports it.

Exemplos Práticos

A 200-room hotel wants to collect guest emails to drive loyalty programme sign-ups. Their current system requires guests to accept marketing to get online.

Deploy a compliant captive portal with separate consent checkboxes. The mandatory checkbox covers terms of service. The optional, unticked checkbox covers marketing consent. The hotel will likely see a lower raw volume of marketing opt-ins compared to the bundled approach, but the quality and legality of the list improves dramatically. Guests who actively opt in are far more likely to engage with subsequent communications. Premier Inn, which uses Purple across its estate, operates exactly this model.

Comentário do Examinador: This approach resolves the GDPR violation of bundled consent. While the raw number of opt-ins may decrease, the resulting database consists of high-intent contacts, improving marketing ROI and ensuring legal compliance.

A stadium IT team wants to use WiFi analytics to monitor crowd density and manage safety, but the legal team is concerned that tracking device locations without consent is a GDPR violation.

Update the captive portal privacy notice to explicitly disclose that location data is processed for crowd management and safety purposes. Implement MAC address pseudonymisation at the edge, on the access points themselves, before the data reaches the cloud analytics platform. The analytics system then works with pseudonymous identifiers rather than raw MAC addresses.

Comentário do Examinador: By pseudonymising the data at the edge, the venue significantly reduces the privacy risk and the scope of the required Data Protection Impact Assessment (DPIA), while still achieving the operational goal of monitoring crowd density.

Perguntas de Prática

Q1. A retail chain wants to implement WiFi footfall tracking across 50 stores to measure dwell time. The IT Director suggests logging raw MAC addresses centrally for analysis. Is this compliant?

Dica: Consider the definition of personal data and the principle of data minimisation.

Ver resposta modelo

No, this is high risk. Raw MAC addresses are personal data. The recommended approach is to implement MAC address pseudonymisation at the edge (on the access points) before transmitting the data to the central analytics platform. Additionally, a Data Protection Impact Assessment (DPIA) must be conducted before deployment, and clear signage must inform shoppers that analytics are in operation.

Q2. During an audit, you discover that your captive portal requires users to accept both the network terms of service and marketing emails via a single checkbox to connect to the WiFi. What is the immediate required action?

Dica: Review the requirements for valid consent under GDPR Article 6.

Ver resposta modelo

Immediately redesign the captive portal to unbundle the consent. Implement two separate checkboxes: a mandatory one for the network terms of service, and an optional, unticked checkbox for marketing consent. The current bundled approach renders all collected marketing consent invalid under GDPR.

Q3. A guest submits a Data Subject Access Request (DSAR) asking for all data your venue holds on them, including WiFi session logs. Your current retention policy is to keep session logs indefinitely. What are the implications?

Dica: Consider the storage limitation principle.

Ver resposta modelo

Keeping session logs indefinitely violates the GDPR storage limitation principle. You must fulfill the DSAR by providing the requested data, but you must also urgently implement an automated data retention policy. Session logs should typically be purged after 30 days. Holding them indefinitely exposes the venue to significant regulatory risk.

Continue a ler esta série

Porque é que o meu WiFi de Convidados Não se Liga? Resolução de Problemas de Captive Portal

Este guia de referência técnica de autoridade explica o funcionamento subjacente da deteção de Captive Portal e detalha os seis principais modos de falha que impedem a ligação do WiFi de convidados. Fornece aos gestores de TI e arquitetos de rede uma estrutura prática de resolução de problemas para resolver problemas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.

Ler o guia →

O Playbook de Conformidade: GDPR e Privacidade de Dados em Guest WiFi

Este guia abrangente fornece aos gestores de TI e operadores de espaços uma estrutura técnica para a arquitetura de redes Guest WiFi em conformidade com o GDPR. Detalha os mecanismos de consentimento, a segmentação de rede, a retenção automatizada de dados e como transformar a conformidade de uma responsabilidade regulatória num ativo de dados first-party defensável.

Ler o guia →

Como Configurar o SCEP para BYOD Seguro e Autenticação de Rede 802.1X

Este guia fornece uma referência técnica abrangente para configurar o SCEP para implementar a autenticação de rede 802.1X baseada em certificados. Abrange a transição arquitetónica de palavras-passe partilhadas para EAP-TLS, a integração de Gestão de Dispositivos Móveis (MDM) e a segmentação de rede rigorosa para acesso BYOD seguro em ambientes empresariais.

Ler o guia →