Wi-Fi pubblico free, cosa chiede il Garante Privacy ad Agid - Cyber Security 360

Agid

Wi-Fi pubblico free, cosa chiede il Garante Privacy ad Agid

Il Garante Privacy si è espresso sulle “Linee Guida per l’erogazione del servizio pubblico Wi-Fi free” dell’Agenzia Italia digitale (Agid) indicando la necessità di integrare il documento con alcuni spunti relativi alla data protection: vediamo quali

03 Dic 2020
G
Luca Giacobbe

Avvocato

Il Garante della privacy ha chiesto maggiori tutele sui dati personali degli utenti per il progetto del servizio pubblico Wi-Fi free” di AgID (Agenzia per l’Italia digitale), con cui le PA destineranno parte della propria banda per il libero accesso dei cittadini.

Il Garante chiede di adottare diverse misure, con un intervento piuttosto articolato. In particolare lo fa con un provvedimento del primo dicembre sullo schema delle “Linee Guida per l’erogazione del servizio pubblico Wi-Fi free” di AgID, dopo aver rilevato la necessità di apportare integrazioni per rendere lo schema pienamente conforme ai principi e garanzie in materia di protezione dei dati.

Le indicazioni del Garante riguardano la necessità di maggiori informazioni agli enti sul trattamento dei dati legato al free Wi-Fi, oltre all’illegittimità di tracciare gli interessati e al bisogno di responsabilizzare le PA sulla valutazione dei rischi connessi al Wi-Fi pubblico in materia di data protection.

Wi-Fi pubblico, cosa dice la normativa

Il parere è arrivato il primo dicembre 2020 ed era molto atteso, in considerazione del fatto che lo schema di Linee Guida era stato redatto in attuazione dell‘articolo 8-bis del D.lgs. 7.03.2005 n. 82 – Codice dell’Amministrazione Digitale (“CAD”) titolato “Connettività alla rete Internet negli uffici e luoghi pubblici dal momento che lo schema è stato sottoposto ad una pubblica consultazione a partire dal marzo del 2019.

Il CAD prevede che pubbliche amministrazioni, gestori di servizi pubblici, società a controllo pubblico indicati dall’articolo 2, comma 2:

  • favoriscono, in linea con gli obiettivi dell’Agenda digitale europea, la disponibilità di connettività alla rete Internet presso gli uffici pubblici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e di interesse turistico, anche prevedendo che la porzione di banda non utilizzata dagli stessi uffici sia messa a disposizione degli utenti nel rispetto degli standard di sicurezza fissati dall’AgID;
  • mettono a disposizione degli utenti connettività a banda larga per l’accesso alla rete Internet nei limiti della banda disponibile e con le modalità determinate dall’AgID.

Ma perché tanta attesa per questo parere? Come è noto, diverse pubbliche amministrazioni come i comuni offrono già da diverso tempo alla comunità dei cittadini i servizi di accesso pubblico alla rete attraverso il Wi-Fi e lo fanno in via autonoma o mediante accordi o convenzioni con altri enti pubblici.

La norma primaria che consente l’erogazione del servizio è l’Art. 8 bis del CAD secondo cui le Pubbliche Amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico favoriscono la disponibilità di connettività alla rete internet presso gli uffici pubblici e altri luoghi pubblici (in particolare nei settori scolastico, sanitario e di interesse turistico), anche prevedendo di mettere a disposizione degli utenti la porzione di banda non utilizzata dagli stessi uffici.

La messa a disposizione degli utenti della connettività a banda larga per l’accesso alla rete Internet è limitata alla banda disponibile.

La situazione del Wi-Fi pubblico in Italia

Il principio ispiratore è quello di ritenere l’accesso ad Internet un diritto universale garantito a tutti i cittadini in quanto appartenenti ad una comunità in funzione di rimuovere ostacoli alla vita sociale, al lavoro ed alla fruizione di servizi pubblici essenziali (si pensi alla possibilità di prenotare un taxi, di verificare l’arrivo di un autobus, di noleggiare una bicicletta o un’autovettura tramite applicazioni).

Questo principio è stato rilanciato dal Regolamento Europeo (UE) 2017/1953 che modifica il Regolamento Europeo N°1316/2013 e Regolamento N° 283/2014, istitutivi di un meccanismo per collegare l’Europa (“MCE”), diretto a incoraggiare la promozione nelle comunità locali della connettività senza fili gratuita e priva di condizioni discriminatorie, protetta e di facile accesso.

L’obiettivo dichiarato è quello di ridurre il c.d. “digital divide” specie per le zone rurali e remote e di agevolare l’accesso ai servizi e promuovere lo sviluppo delle piccole e medie imprese locali.

A questo proposito, è stato istituito il programma “WiFi4EU” finanziato dall’UE che mira a fornire Wi-Fi gratuito nei municipi, parchi pubblici e altri centri della vita pubblica.

Del resto, tra gli obiettivi strategici della Commissione per il 2025 vi è la dotazione presso le pubbliche amministrazioni e luoghi aperti al pubblico di connessioni a Internet fisse alla velocità del Gigabit al fine di poter erogare in maniera affidabile i servizi digitali.

Secondo i rilievi presentati dalla Conferenza delle Regioni e delle Province Autonome in occasione della consultazione AgID sulle Linee Guida “Le esperienze pubbliche e private di reti wifi ad accesso pubblico hanno evidenziato nel tempo due punti particolarmente critici che hanno ostacolato le potenzialità di sviluppo del servizio Wi-Fi gratuito:

  • “il processo di registrazione/autenticazione/identificazione che spesso se complesso scoraggia gli utenti all’uso del servizio;
  • la qualità dell’esperienza utente, in termini di velocità di navigazione, che in molti casi è limitata o deludente”.

Allo stato, le pubbliche amministrazioni italiane hanno reso fruibile il servizio Wi-Fi “in ordine sparso” cioè senza l’adozione di soluzioni univoche soprattutto da un punto di vista tecnologico e talvolta in assenza di una chiara progettazione privacy by design.

L’obiettivo delle Linee Guida Agid Wi-Fi free

Lo scopo delle Linee Guida – che avranno una volta approvate una valenza di carattere generale – è proprio quello di indicare le modalità attraverso le quali potrà essere resa disponibile la banda destinata al wireless gratuito da parte delle Pubbliche Amministrazioni nonché i criteri di sicurezza da adottare in tale ambito.

Più nel dettaglio, le osservazioni formulate dalla Conferenza delle Regioni e delle Province Autonome hanno riguardato principalmente la possibile discriminazione tra gli obblighi a proprio dire particolarmente stringenti cui dovranno essere assoggettati gli enti locali e le pubbliche amministrazioni nell’ambito dell’offerta del Wi-Fi free rispetto a quelli che incombono sui privati e ciò soprattutto in relazione alle esigenze di sicurezza contenute nelle Linee Guida che si traducono nella necessità di identificazione degli utenti da parte dei soggetti di cui all’art. 2 comma 2 del CAD rispetto al DL 21.06.2013 n. 98 il cui art. 10 ha liberalizzato l’accesso alla rete wi-fi escludendo qualsiasi obbligo di preventiva autenticazione da parte degli utilizzatori.

Le richieste del Garante Privacy sulle linee guida Agid WiFi Free

Si può già anticipare sommariamente che il Garante nel proprio parere ha chiesto ad AgID di integrare lo schema partendo da tre assunti di massima:

  • le pubbliche amministrazioni destinatarie delle Linee Guida devono essere maggiormente rese edotte del fatto che l’offerta del servizio di wi-fi gratuito implica un trattamento di dati personali in tutte le sue fasi e ciò significa che si sta dedicando un servizio assolutamente apprezzabile ma potenzialmente esposto a rischi per ciò che riguarda i diritti e le libertà degli interessati;
  • l’offerta del servizio wi-fi free non legittima in nessun caso l’implementazione di sistemi di tracciamento degli utenti e solo in caso di condotte illecite devono essere previsti sistemi di individuazione dei responsabili nel rispetto di principi di proporzionalità e minimizzazione;
  • le Linee Guida non devono limitarsi ad indicare misure minime di sicurezza ma, in virtù dei principi del Regolamento, si rende necessario responsabilizzare le pubbliche amministrazioni quali titolari del trattamento e far valutare in concreto i rischi derivanti dalla diffusione illecita dei dati degli utenti e individuare misure di sicurezza adeguate ai livelli di rischio.

I tre ambiti di intervento

Il Garante si muove suggerendo all’AgID alcune direttrici di intervento con riferimento

  • alla progettazione del servizio wi-fi free;
  • al trattamento dei dati personali degli utenti;
  • alla sicurezza dei dati e dei sistemi.

Nell’ambito del primo ambito di intervento, il Garante parte dalla considerazione che l’attività di erogazione del servizio di Wi-Fi free comporta per i soggetti che ricadono nell’art. 2 comma 2 del CAD un trattamento di dati personali degli utenti che utilizzano il servizio nei vari step (registrazione, identificazione o autenticazione – torneremo su questo profilo non proprio secondario, accesso alla rete ed ai contenuti sul web) ed in considerazione dei diversi apparati e servizi impiegati (firewall, proxy server, DNS server).

Viene quindi chiesto all’AgID di integrare lo schema per rendere maggiormente consapevoli le pubbliche amministrazioni circa gli obblighi e soprattutto i rischi che incombono in qualità di titolari del trattamento in ordine tipologia di dati personali di coloro i quali fruiscono del Wi-Fi free.

Il Garante peraltro suggerisce una integrazione allo schema nella parte in cui richiede un framework normativo afferente gli obblighi che gravano sul titolare del trattamento per garantire la conformità al Regolamento 679/16 con specifico riferimento alla necessità di garantire la fruzione di un servizio progettato a monte in coerenza con la normativa sulla protezione dei dati opportunamente evidenziando che qualora il servizio fosse oggetto di un bando di gara di configurare il servizio al fine di attuare in modo efficace i principi di protezione dei dati.

Il trattamento dei dati

In ordine al secondo ambito di intervento, il Garante prova a sgomberare il campo da un possibile equivoco distinguendo chiaramente i compiti e responsabilità dei soggetti di cui all’art. 2 comma 2 del CAD dai cc.dd. service provider.

In particolare, il Garante chiede che le Linee Guida chiariscano che le pubbliche amministrazioni non hanno obblighi di identificazione degli utenti e di conservazione dei dati di traffico telefonico che gravano esclusivamente in capo agli operatori di telecomunicazione in forza di norme primarie ed anche confermando che la messa a disposizione del servizio Wi-Fi free deriva automaticamente una assimilazione della PA ad un fornitore di servizi di comunicazione elettronica.

Nel merito del processo di accesso alla rete Wi-Fi, il Garante prende atto che lo schema delle Linee Guida AgID raccomanda alle amministrazioni di dotarsi di sistemi di identificazione (e autenticazione) dell’utente ovvero consentano l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione e ciò per consentire di risalire all’autore di condotte illecite perpetrate attraverso l’utilizzo di una rete Wi-Fi free.

Sul punto però segnala che lo schema, pur prevedendo a carico delle amministrazioni un obbligo di identificazione degli utenti e di conservazione dei dati, per disciplinare adeguatamente il trattamento dei dati personali degli utenti nell’esecuzione di un compito di interesse pubblico debba essere integrato per fornire specifiche indicazioni per:

  • individuare i dati personali da raccogliere e conservare nell’ambito del predetto processo di identificazione nel rispetto del principio di minimizzazione;
  • minimizzare i dati conservati al fine di consentire la individuazione del responsabile solo in caso di condotte illecite senza quindi effettuare tracciamenti relativi al traffico;
  • individuare le modalità che devono implementare per impedire l’accesso a determinate tipologie di siti o servizi in rete (c.d. URL filtering);
  • individuare per ciascuna tipologia di dati adeguati tempi di conservazione;
  • adottare misure che assicurino il rispetto di principio di trasparenza nei confronti degli interessati con indicazione puntuale delle finalità perseguite, tipologie di dati trattati e tempi di conservazione.

Il parere del Garante da il via libera alla proposta contenuta nello schema di interoperabilità tra il servizio di wi-fi gratuito offerto dalle pubbliche amministrazioni e quello offerto ai turisti dalle strutture alberghiere anche se richiede una espressa precisazione sui ruoli assunti dai vari soggetti coinvolti, sugli ambiti di trattamento e le misure adottate a garanzia degli interessati fermo restando che detta inter-operatività Wi-Fi free pubblico/Wi-Fi hotel non debba prevedere la comunicazioni alle amministrazioni dei dati dei clienti delle strutture aderenti all’iniziativa e la possibilità di scelta da parte del cliente circa l’adesione al servizio inter-operativo o della sola struttura ospitante.

La sicurezza

Quanto infine al tema della sicurezza dei dati e dei sistemi, partendo dalla premessa che il servizio di wi-fi gratuito vede l’intervento di almeno due soggetti (la PA e il service provider) che trattano a vario titolo dati personali degli utenti il Garante rappresenta la necessità di carattere generale di configurare correttamente ruoli e responsabilità di coloro i quali sono coinvolti nell’erogazione del servizio specie per ciò che concerne l’obbligo di implementazione delle misure di sicurezza già ricadenti nell’ambito deli contratti di fornitura di servizi di comunicazione elettronica.

Si ritiene quindi di fondamentale importanza la corretta applicazione del Regolamento e conseguentemente integrare lo schema rispetto agli obblighi previsti in materia di sicurezza dei dati in ragione dei rischi che possono derivare agli utenti connessi a reti wi-fi pubbliche non protette.

Da questo punto di vista, il Garante sottolinea che il semplice richiamo alle misure minime di sicurezza non sia conforme al Regolamento ed allo spirito della normativa sulla protezione dei dati ma che vadano valutati in concreto i rischi che possono derivare dalla divulgazione o diffusione dei dati personali trattati e che quindi il titolare del trattamento debba approntare un livello di sicurezza adeguato al livello di rischio.

Quindi lo schema deve essere integrato nel senso di imporre un richiamo specifico agli obblighi di sicurezza di cui all’art. 32 del GDPR volto a esplicitare l’obbligo di adottare misure tecniche ed organizzative adeguate per assicurare la disponibilità ed integrità dei sistemi e per prevenire utilizzi indebiti, di adottare procedure per la gestione delle violazioni dei dati e per quanto riguarda il service provider di conformarsi all’art. 132 ter del Codice relativa alla sicurezza del trattamento nella fornitura di servizi di comunicazione elettronica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5