DATA PROTECTION

Gambling, ecco il Codice di condotta privacy del gioco d’azzardo online: tutti i dettagli

È stato varato il Codice di condotta sulla tutela dei dati personali trattati nel gioco d’azzardo online, il cosiddetto Gambling: si tratta di uno dei primi Codici di condotta post-GDPR e il suo intento è quello di proporre norme specifiche per il settore e best practice per la conformità alla normativa privacy. Ecco tutti i dettagli

13 Lug 2020
C
Leonardo Cornacchia

Studio legale d’Ammassa & Partners

M
Andrea Michinelli

Studio Legale d’Ammassa & Partners, CIPP/E, CIPM, FIP (IAPP)


Il 10 giugno scorso l’European Gaming and Betting Association (EGBA), l’ente di categoria più rappresentativa per gli operatori delle scommesse d’azzardo online, Gambling, con sede in Europa, ha licenziato un Codice di condotta privacy sulla tutela dei dati personali trattati in questo settore.

L’intento dichiarato è quello di proporre norme specifiche per l’industria del gaming e betting online nonché best practice per garantire la conformità al Reg. UE 2016/679 (GDPR), oltre a promuovere alti standard di protezione dei dati nel comparto del gioco online.

Il Codice è volto al perseguimento di un triplice obiettivo:

  1. stabilire standard certi in materia di protezione dei dati per il settore del gioco d’azzardo online in Europa;
  2. fornire un utile strumento per le aziende ai fini della compliance con il GDPR;
  3. infondere fiducia nell’utente/interessato garantendo trasparenza sull’utilizzo dei propri dati personali.

Il testo, peraltro, rappresenta una delle prime iniziative volte all’autoregolamentazione specifica del comparto del gioco d’azzardo online, a supporto della normativa in materia di protezione dei dati personali.

E si tratta anche, a oggi, di uno dei primi Codici di condotta in assoluto post-GDPR, oltretutto di applicazione comunitaria. Non scordiamo che l’adesione a un Codice di condotta ex art. 40 GDPR dovrebbe aiutare a dimostrare la propria accountability, proprio perché nell’ambiguità e vastità di applicazioni possibili del GDPR dovrebbe fornire una lente per “una messa a fuoco”, per precisare– in un determinato ambito – quel che si dovrebbe compiere per agire nella legalità, oltre a schiarire i coni d’ombra proiettati da norme a volte fin troppo “elevate” se calate verso il concreto.

Non vi dovrebbe essere un testo più pratico di un Codice di condotta né meno teorico dello stesso, operazione – come vedremo infra – riuscita in parte.

Gambling: la struttura del Codice di condotta privacy

Nello specifico, il suddetto documento è suddiviso in cinque capitoli:

  1. Il primo, strutturato secondo il modello Q&A, fornisce un inquadramento generale dell’argomento. In particolare, il Codice, che si fonda sugli artt. 40 e 41 GDPR, trova applicazione nei confronti dei membri della EGBA, ma allo stesso tempo consente ad altri operatori esterni del settore un’adesione volontaria. Chiariamo che rientrano nella sfera di applicazione del Codice tutti quei trattamenti aventi ad oggetto i dati personali dei giocatori/utenti, restando esclusi invece i dati relativi ai propri dipendenti, oppure relativi alle attività svolte offline. Infine, viene sottolineata la piena coerenza del Codice con il GDPR, ma non con le normative nazionali applicabili in materia di protezione dei dati personali (pensiamo ad es. al D. Lgs. 196/2003 in Italia). In caso di conflitto tra queste ultime e il Codice, infatti, dovranno prevalere le norme nazionali.
  2. Il secondo capitolo è il più importante del Codice, in quanto elenca tutti gli adempimenti da rispettare per essere conformi al GDPR e li inquadra all’interno del settore del gioco d’azzardo online, quali ad esempio i principi generali di cui all’art. 5 GDPR, i diritti degli interessati, il trasferimento e la condivisione con terzi dei dati, la sicurezza del trattamento e la gestione dei data breach, i concetti di privacy by design e by default, la DPIA e i rapporti con i Garanti nazionali.
  3. Il terzo capitolo, invece, elenca una serie di esempi pratici tramite i quali vengono fornite linee guida utili agli operatori del settore, come nel marketing diretto e nella prevenzione delle frodi.
  4. Il quarto capitolo è dedicato alla procedura di adesione al Codice ed elenca i requisiti e gli step da rispettare per poter essere conformi al suddetto documento, incluso l’organismo di monitoraggio che deve presiedere al controllo di conformità, ai sensi dell’art. 41 GDPR.
  5. Il quinto e ultimo capitolo, invece, descrive le modalità di gestione, applicazione e revisione del Codice, inclusi i ruoli e gli obblighi dei suoi organi direttivi e dell’organo di monitoraggio.

In allegato al documento, infine, vengono forniti agli operatori del settore un template per la dichiarazione di adesione, la lista delle autorità di vigilanza interessate nonché una sorta di checklist non esaustiva rivolta agli operatori per dimostrare la conformità al Codice.

Il Codice, sebbene per molti aspetti riprenda in maniera pedissequa il dettato normativa previsto dal GDPR, per altri introduce alcune novità e suggerisce delle best practice alla luce del contesto di riferimento in cui si inserisce. Tra queste, quelle che più rilevano sono le seguenti.

Il Compliance framework per il gambling

L’operatore deve stabilire un proprio framework di trattamento dei dati personali, costituito da:

  1. data mapping;
  2. analisi delle basi giuridiche;
  3. analisi dei rischi;
  4. documentazione;
  5. revisione-valutazione-modifica.

L’idea si avvicina a quella del “MOP” (Modello Organizzativo Privacy) che alcuni esperti del settore suggeriscono come sorta di documento unico riassuntivo e centralizzato della gestione privacy aziendale.

Si rielaborano pertanto alcuni punti impliciti o presenti con altre dizioni nel GDPR, ad es. il data mapping potrebbe sembrare null’altro che il frutto di un’analisi che sfoci in una corretta redazione e gestione del registro dei trattamenti, ex art. 30 GDPR.

Tuttavia, l’accezione del Codice si spinge oltre, segnalando su quali aspetti andare più in profondità, ad es. specificando la “localizzazione” informatica nei sistemi e supporti dei dati (tanto che in massimo 24 ore si dovrebbe poter sapere esattamente ove sia ubicato un qualsiasi dato), evitando la ridondanza dello stesso dato in più dataset, imponendo l’uso di data-flow per capire facilmente l’intero percorso dei dati eccetera.

Si tratta di una delle sezioni ove è più tangibile uno sforzo di andare “oltre il GDPR”, a merito degli autori che, in tal caso, stanno imponendo agli operatori sforzi considerevoli di controllo e analisi della propria attività, tali da rammentare quanto previsto dallo standard ISO/IEC 29134:2017 in ambito di valutazione d’impatto privacy.

Così come nell’analisi delle basi giuridiche si impone l’utilizzo di una procedura di LIA (Legitimate Interest Assessment) in occasione del legittimo interesse, analogamente a quanto sviluppato dal WP29 in passate linee guida del 2014 sul tema e dall’ICO inglese.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Viene fornito anche un utile elenco, pur esemplificativo, di possibili attività costituenti interessi prevalenti su quelli dell’interessato qualora si opponga a un trattamento (così permette l’art. 21 GDPR), ad esempio nel caso di attività antifrode.

Il principio della trasparenza

Gli operatori del settore, ai sensi dell’art. 12 GDPR, devono fornire agli interessati in maniera chiara e facilmente accessibile tutte le informazioni relative ai trattamenti effettuati sui dati personali, in particolare le finalità e le basi giuridiche a sostegno dei trattamenti.

Quanto alle basi, si ribadisce la non correttezza di condizionare l’apertura di un account utente con consensi a fini di marketing, oltre alla necessità di essere specifici nell’indicare eventuali terzi a cui comunicare i dati eccetera.

Nulla di nuovo ma è da apprezzare il sostegno alla linea “integerrima” dell’EDPB e dei vari garanti nazionali, creando un efficace sunto delle regole che gli operatori devono rispettare soprattutto a fini marketing (si va dai cookies da poter scegliere specificamente all’utilizzo di un centro di gestione delle preferenze in ogni account, così da permettere con massima libertà e autonomia di cambiare idea e aggiornare le proprie scelte consensuali).

Il Codice introduce, inoltre, la possibilità per gli operatori di fissare limiti al principio di trasparenza, negando in tal modo l’accesso agli interessati ai propri dati personali, ad esempio qualora la divulgazione possa influire su un’indagine da parte dell’autorità giudiziaria, sugli obblighi legali del titolare del trattamento o sugli interessi commerciali dell’operatore.

Non ti tratta in ogni caso di un potere insindacabile, posto che grava su chi invoca tale limitazione l’obbligo di giustificare e documentarne le ragioni nonché di informare gli interessati.

Diritto alla portabilità

Il Codice fornisce un importante contributo al rafforzamento di questo diritto (previsto all’art. 20 GDPR).

In particolare, viene precisata agli interessati la possibilità di trasferire il proprio account, contenente i dati personali, da un titolare a un altro, potendo avere ad oggetto, ad esempio, le informazioni relative alla registrazione dell’account, lo storico delle transazioni effettuate nonché le preferenze di marketing, ovvero tutti quei dati personali che vengono trattati in modo automatizzato sulla base del consenso o di un contratto stipulato dalle parti.

Il Codice suggerisce quale best practice l’introduzione di un portale online condiviso dagli operatori tramite il quale il giocatore può in autonomia avere accesso ai propri dati e disporne come crede.

Il case study del legittimo interesse antifrode

Al termine del documento vengono analizzati alcuni pertinenti case studies, uno dei più interessanti è quello circa la prevenzione delle frodi, un aspetto fondamentale nel settore del gioco d’azzardo online, come già noto anche in altri settori (si pensi ad es. a quello bancario e assicurativo).

A tal fine il Codice elenca una serie di questioni che devono necessariamente essere affrontate dalle aziende a tutela dei dati dei giocatori:

  1. base giuridica: il legittimo interesse rappresenta la base giuridica più pertinente per autorizzare tale tipo di trattamento. Ciò comporta che il titolare del trattamento debba previamente svolgere un bilanciamento degli interessi contrapposti, anche nelle esigenze di minimizzazione del dato;
  2. fornitori: nel contesto della propria organizzazione gli operatori possono dover esternalizzare tale tipo di attività (con il probabile ruolo di responsabili esterni). A tal fine è necessario selezionare in anticipo e successivamente gestire i propri fornitori, effettuando una corretta valutazione del rischio e valutando la loro compliance al GDPR;
  3. processo decisionale automatizzato: gli operatori devono valutare se i trattamenti automatizzati condotti per il rilevamento delle frodi costituiscano un processo decisionale automatizzato e se del caso valutare le conseguenze giuridiche nei confronti dei giocatori. Vengono fornite indicazioni per distinguere tra processo del tutto automatizzato (come noto, soggetto alle limitazioni ex art. 22 GDPR) rispetto a quello dove vi sia un intervento umano significativo (che non trova gli stessi limiti);
  4. esattezza del dato: gli operatori, infine, devono predisporre misure di salvaguardia per garantire che i dati vengano raccolti in modo accurato e che possano essere facilmente corretti laddove vengano individuati errori. Dati imprecisi, invero, possono causare segnalazioni di frodi, dunque l’attenzione e l’accuratezza in tale frangente dovranno essere rafforzate.

Con l’antifrode non si confonda l’AML, cioè l’attività antiriciclaggio imposta da normative specifiche, basata su obblighi di legge. Il Codice menziona anch’essa, preoccupandosi di cercare un punto di equilibrio tra tali pervasivi obblighi e il contrapposto principio di minimizzazione del GDPR.

Il case study del marketing diretto

Nel diverso caso del marketing, gli operatori devono tenere a mente una serie di fattori qualora intendano condurre un’attività di marketing diretto:

  1. chiarezza e trasparenza: la trasparenza è un concetto fondamentale che non deve essere sottovalutato nelle campagne di marketing. Gli operatori, infatti, devono rendere facilmente comprensibili i meccanismi di consenso e le preferenze di marketing rivolte agli interessati, anche alla luce delle recenti linee guida pubblicate dall’European Data Protection Board (EDPB);
  2. opposizione: la scelta dei giocatori di auto escludersi da qualsiasi attività di betting e gaming online deve assolutamente inibire qualsiasi attività di marketing diretto rivolta a tali soggetti, anche se basata sul legittimo interesse del titolare;
  3. profilazione: sempre più spesso le campagne di marketing sono precedute da attività di profilazione al fine di segmentare in cluster gli utenti finali. Tali attività devono essere proporzionali alle finalità perseguite ed è necessario condurre una valutazione dei rischi insiti in tale tipologia di trattamento. Inoltre, le aziende sono tenute ad individuare la base giuridica più corretta per legittimare il trattamento dei dati degli interessati. Ad esempio, in presenza di un legittimo interesse del titolare, gli interessati devono essere messi nelle condizioni di poter esercitare il diritto di opposizione alla profilazione;
  4. disciplina nazionale: sebbene il GDPR si applichi indistintamente in tutti gli stati membri dell’UE, la disciplina normativa specifica relativa alle attività di marketing diretto condotte attraverso strumenti elettronici è rimessa alla discrezionalità degli Stati. Pertanto, le aziende, in particolare quelle che operano in più stati membri, devono diversificare il proprio approccio operativo in relazione alle differenti normative applicabili;
  5. limitazione delle finalità: il consenso ottenuto per finalità di marketing diretto non può essere utilizzato dagli operatori per legittimare trattamenti incompatibili con tali finalità. Pertanto, se la natura del trattamento originario dovesse cambiare, le aziende sarebbero tenute ad aggiornare i consensi ottenuti o in alternativa fondare il trattamento su un’altra base giuridica;
  6. giocatori inattivi: sebbene i giocatori possano sempre ricevere comunicazioni di marketing se fondate su una base giuridica legittima, il discorso si complica in presenza di giocatori inattivi. In tal caso, gli operatori sono tenuti in anticipo a chiarire nelle proprie policy le modalità di contatto rivolte verso tali soggetti.

Il case study degli account VIP

Il Codice, inoltre, fornisce linee guida comuni che le aziende sono tenute a rispettare nella creazione di account destinati ai clienti c.d. “VIP” (very important person/player), ovvero i giocatori più fedeli, una prassi molto comune nel settore e che può prestarsi a più abusi.

Gli operatori, infatti, devono tenere in considerazione alcuni aspetti, tra i quali:

  1. profilazione: al fine di qualificare un giocatore come VIP è necessario poter profilare le sue attività online. Tale attività può basarsi (ai sensi dell’art. 6 comma 1 lett. f GDPR) sul legittimo interesse del titolare, il quale però dovrà aver previamente svolto un bilanciamento sugli interessi in gioco;
  2. categorie particolari di dati personali: le aziende devono essere consapevoli che i giocatori VIP possono fornire ulteriori dati personali, quali ad esempio dati relativi all’etnia, religione o composizione familiare, e pertanto è opportuno individuare la base giuridica idonea al trattamento. Inoltre, le aziende devono garantire al personale incaricato della gestione degli account (ovvero gli autorizzati previsti dall’art. 29 GDPR) idonea formazione al trattamento di dati particolari;
  3. sicurezza: considerando la delicatezza dei dati personali che possono venire trattati in tale contesto, è opportuno che le aziende implementino misure di sicurezza rafforzate a tutela dei giocatori;
  4. valutazione dei rischi e d’impatto privacy: è necessario condurre un’analisi dei rischi insiti nel trattamento dei dati relativi agli account VIP e se del caso, una DPIA (data protection impact assessment), come anche previsto dagli artt. 32 e 35 GDPR.

Informazione sul gioco più sicuro

Il Codice arriva a toccare il bilanciamento, necessario, tra la protezione dei dati personali degli utenti con la necessità di tutelarli dai problemi derivanti dal gioco d’azzardo.

Le informazioni relative ai problemi derivanti dal gioco d’azzardo, infatti, sebbene non possano essere ricondotte all’interno della categoria di cui all’art. 9 GDPR, consistono in dati estremamente delicati che possono essere forieri di conseguenze pregiudizievoli per gli interessati.

Per tale ragione le aziende sono tenute a implementare misure di sicurezza ulteriori quali la cifratura o la pseudonimizzazione del dato, mentre il trasferimento e la condivisione a terze parti potrà avvenire solo per finalità predeterminate nel rispetto delle anzidette misure di sicurezza.

Le aziende, infine, ancora prima di introdurre programmi di contrasto ai problemi derivanti dal gioco d’azzardo, sono tenute a svolgere un’analisi dei rischi e, ove indicato, una DPIA.

Conclusioni

Il testo proposto è quello appena illustrato, ictu oculi non introduce nulla di particolarmente innovativo e, anzi, molti passaggi paiono pleonastici nel “riciclare” principi e norme del GDPR, pur a volte riformulati con maggiore sintesi e chiarezza.

L’occasione poteva forse essere ancor meglio sfruttata, con maggior coraggio nel guidare gli operatori verso una reale integrazione applicativa di una normativa che non manca di lasciare zone grigie e dubbi da sciogliere proprio in una disciplina di settore.

Ciononostante, si invita comunque alla lettura di un testo che presenta, come qui abbiamo potuto solo accennare, una riserva di interessanti precisazioni e schematizzazioni, utili anche al di fuori del settore Gambling (in particolare, viene anche da pensare a un suo possibile adattamento al gaming online in generale, non solo d’azzardo).

Per essere uno dei primi codici di condotta post-GDPR, non lo si può comunque considerare insoddisfacente, ricco com’è di esempi e linee guida che inducono a un maggior controllo della propria attività (si pensi al citato data mapping, un passo ulteriore rispetto al consolidato registro dei trattamenti dovuto per legge).

Il percorso del Codice, tuttavia, non è ancora terminato, anzi. In ossequio alla procedura di approvazione delineata all’art. 40 del GDPR, il Codice è stato sottoposto all’attenzione dell’Autorità garante per la protezione dei dati personali di Malta, la quale è stata reputata autorità competente alla luce delle Linee guida sui Codici di Condotta dell’EDPB.

La scelta ricaduta su Malta è dovuta in particolare al fatto che si tratti del Paese più all’avanguardia per quanto riguarda la legislazione sul gioco d’azzardo e in quanto sede di numerose multinazionali del gambling online.

L’iter di approvazione dovrà inoltre coinvolgere anche gli altri garanti nazionali e, in caso di esito positivo, il progetto di Codice dovrà superare il vaglio dell’EDPB.

In ultimo, spetterà alla Commissione Europea garantire al Codice validità generale all’interno dell’Unione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4