¿Se aplica la notificación de consentimiento del RGPD a los puntos de acceso destinados únicamente al mantenimiento?

No, no es necesario que muestre una política de privacidad solo para ejecutar un servidor de acceso público, siempre que los datos de tráfico , como las direcciones IP, solo se utilicen en la medida estrictamente necesaria para proporcionar el servicio solicitado por el usuario.

El trasfondo aquí es que si bien GDPR es una ley muy general, la directiva ePrivacy (ePD) proporciona más detalles para los servicios de telecomunicaciones y sociedad de la información, que también incluyen servidores SSH. De acuerdo con el artículo 6 de ePD, los datos de tráfico se pueden usar (1) con el propósito de la transmisión/servicio o cuando los datos se hayan anonimizado, (2) con fines de facturación, o (3) para marketing o servicios de valor agregado, cuando el usuario ha dado su consentimiento. La información sobre el procesamiento solo se requiere bajo ePrivacy para los casos (2) y (3), pero no para el procesamiento que es estrictamente necesario.

Ahora la pregunta difícil es en qué circunstancias puede registrar intentos de inicio de sesión (fallidos) o usar herramientas como fail2ban. Un argumento es que tales medidas son estrictamente necesarias para garantizar la seguridad de la comunicación, pero estas medidas evidentemente no son necesarias para realizar la transmisión en el sentido de ePD. Hay algunas maneras de resolver esto:

• la necesidad debe interpretarse de manera más amplia, y las medidas de seguridad son, de hecho, necesarias. Por ejemplo, ePD Art 6(5) menciona la detección de fraude, sin autorizarla explícitamente.

• una dirección IP se anonimiza de manera efectiva en el sentido de la ePD, ya que en realidad no tiene medios para vincular la dirección IP a una persona en particular.

  Este es un argumento bastante débil, pero podría ser respaldado por GDPR Considerando 26 que define los datos anónimos. Contrapunto: las direcciones IP son identificadores en línea que se incluyen explícitamente en la definición de datos personales en el artículo 4(1) del RGPD.

• una dirección IP no son solo datos de tráfico que se rigen por la ePD, sino también datos personales que se rigen por el RGPD. Cuando la dirección IP se usa simplemente para realizar una transmisión, no se procesa como datos personales y solo se aplican las preocupaciones de ePD. Pero cuando lo procesamos para prohibir la IP, se procesa como datos personales bajo un interés legítimo. Este procesamiento no se incluye en ninguna de las categorías del artículo 6 de ePD, por lo que solo se aplican las preocupaciones de GDPR. Estos incluyen el requisito de informar al interesado sobre el procesamiento en ese momento de acuerdo con el artículo 13 del RGPD, que podría cumplirse al mostrar un enlace a una política de privacidad durante el proceso de inicio de sesión.

  Para un argumento de interés legítimo, también depende de las expectativas del sujeto de datos típico. Dado que algunas medidas de seguridad, como los registros de seguridad, son normales y deben esperarse, es probable que un argumento de interés legítimo sea sólido.

  Creo que esta es la conclusión correcta, aunque el argumento de que “no son datos de tráfico, o al menos no se incluyen en la ePD” es bastante débil. Se basa en la suposición de que las medidas de seguridad no son "servicios de valor agregado". Esto se ajusta a la intención de la ePD, pero no a la definición real de servicios de valor agregado.

En cualquier caso, no es necesario que solicite el consentimiento a menos que esté obligado a obtenerlo, por ejemplo, en virtud del artículo 6 (3) de ePD o porque su procesamiento de datos personales se base en el consentimiento como base legal según el artículo 6 del RGPD.

También debe tenerse en cuenta que ePD no tiene un efecto inmediato, sino que debe ser implementado por cada estado miembro de la UE en la legislación nacional. Estas leyes pueden proporcionar una guía más específica.

Dado que estoy procesando la dirección IP del usuario cuando establece una conexión, ¿RGPD requiere que notifique al usuario de tal acción, por ejemplo, en un banner que se muestra al acceder al servidor?

Quizás. ¿Puedes identificar usuarios específicos solo por su dirección IP? Parece poco probable, especialmente si simplemente se están conectando al servidor sin poder iniciar sesión. En tal caso, se puede argumentar que no está "procesando" datos personales, por lo que no es necesario notificar, etc.

Tenga en cuenta que muchos bots automatizados escanearán puertos para servidores SSH abiertos y no pueden considerarse "personas físicas" a los efectos de la legislación. Es probable que la cantidad de tales bots supere la cantidad de personas físicas que acceden al servidor en la mayoría de los casos, por lo que sería suficiente mostrar el banner solo después de iniciar sesión.

¿Estoy obligado a tratar los posibles intentos de inicio de sesión y los datos introducidos como datos personales?

Eso depende. Si la mayoría de los intentos están automatizados, no están conectados a una persona física, pero los datos reales ingresados ​​​​podrían contar como datos personales si los usuarios reciben credenciales específicas. De lo contrario, si inician sesión con un nombre de cuenta y contraseña genéricos, podría decirse que no son datos personales, ya que no identifican específicamente a una persona.

¿Qué pasa si la interfaz procesa los datos del usuario, pero su tecnología no proporciona necesariamente una interacción legible por humanos, como una respuesta ICMP?

No sé lo suficiente sobre cómo funciona esto para dar una respuesta, me temo. Me imagino que podría estar sujeto a las mismas disposiciones, pero sería mucho más específico.

Una dirección IP no es necesariamente información personal.

'datos personales' significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona natural;

Si puede usar una dirección IP para identificar a alguien o si puede 'relacionarla' con alguien, son datos personales. Por ejemplo, en su escenario, el nombre de usuario jsmith inició sesión desde$ipaddress, you know jsmith is your employee John Smith of 1 Example Street etc, therefore you can relate $Dirección IP de ese John Smith, por lo que son datos personales. Pero si alguna entidad desconocida intenta iniciar sesión desde $ipaddress y no puede identificar a una persona con la IP o relacionar la IP con una persona, entonces la dirección IP no es información personal.

Presumiblemente, ha emitido o puesto a disposición de sus trabajadores un RGPD o un aviso de privacidad.

Su servidor SSH no necesita notificar a los usuarios que las direcciones IP están registradas.