E’ il giorno del GDPR. Le nuove norme sulla privacy e le implicazioni sulle società di gaming

25 Maggio 2018

Oggi è il giorno del Gdpr, la rivoluzione privacy che viene dall’Europa. A distanza di due anni dalla sua entrata in vigore, il General Data Protection Regulation, Regolamento dell’Unione Europea n. 2016/679 che costituisce un’evoluzione delle norme concernenti la protezione delle persone nel trattamento dei dati personali e la libera circolazione di tali dati all’interno dell’Unione Europea.

Il GDPR sostituisce ed abroga la precedente direttiva 95/46/CE sulla protezione dei dati personali che ha rappresentato fino ad oggi il testo di riferimento in materia di privacy, dando l’impulso fondamentale per lo sviluppo della disciplina normativa nazionale del settore.

Una normativa efficace, ma che a oltre vent’anni di distanza necessitava di un restyling, considerate le tante novità sopravvenute: il fenomeno internet e social media, la diffusione dei sistemi di sorveglianza elettronica e il gaming online.

Questo atto legislativo europeo non richiede un intervento attuativo da parte dei legislatori nazionali, ma impone regole automaticamente vincolanti, sia per le Autorità Pubbliche sia per i singoli cittadini. E’ però importante precisare che il nuovo regolamento comporta un’abrogazione implicita delle disposizioni nazionali soltanto se incompatibili o in contrasto con la nuova disciplina e non una loro automatica cancellazione. In Italia, il CdM ha abrogato il Codice Privacy (dlgs 196/2003).

Di fondo, sono state rese più stringenti le norme sulla sicurezza dei dati, imponendo specifici obblighi di comunicazione a fronte di violazioni ed irrobustendo l’impianto sanzionatorio. Il carnet dei dati personali è stato esteso a ogni informazione che può essere utilizzata per identificare una persona, compresi foto, indirizzi e-mail, post sui social network o sui website, indirizzi IP, dati bancari, ecc.

Le condizioni per il consenso al trattamento dei dati personali sono state rafforzate e le aziende non potranno più utilizzare termini e condizioni lunghe e illeggibili. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma facilmente accessibile. Inoltre, deve essere altrettanto facile e immediato revocare il consenso.

GDPR e il gioco: Nel nostro campo, un modo per implementare il consenso potrebbe essere una casella di controllo aggiuntiva quando si apre l’account di gioco, in base alla quale il giocatore accetta la politica di elaborazione dei dati distintamente dalle altre condizioni generali che approva.

Altra importante novità per il gaming online è il diritto alla portabilità delle informazioni: i diretti interessati (i giocatori) possono ottenere in modalità digitale i dati (ad es. cronologia delle giocate e situazione finanziaria) o trasmetterli a un altro titolare senza ostacoli (tecnici o finanziari).

Qualora il provider di gioco (controllore) che raccoglie i dati dei propri clienti si affidi a un’altra organizzazione (processore) per la registrazione, digitalizzazione e catalogazione di tutte le informazioni prodotte dal conto gioco, essi sono entrambi responsabili della gestione dei dati personali dei clienti.

Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati (DPO) per tutte le sedi, a condizione che sia facilmente raggiungibile da ciascun stabilimento. Nel Regolamento sono dettagliati attività, responsabilità e compiti del responsabile della protezione dei dati.

Il regime sanzionatorio è pesantissimo: per le violazioni più gravi una società può essere multata fino al 4% del fatturato annuale o a 20 milioni di euro, ma esiste un approccio a più livelli per le ammende: ad esempio, una società può essere multata al 2% per non aver ordinato i propri registri, per non aver notificato all’autorità di vigilanza e alla persona interessata una violazione o non aver effettuato la valutazione dell’impatto. Nulla per ora chiarisce il quesito se le violazioni più gravi possano comportare la sospensione o la revoca della licenza a una compagnia di gaming online. Né è chiaro se gli obblighi suddetti si estendano ai gestori di VLT, sale bingo, sale scommesse che raccolgono i dati dei giocatori in caso di vincite oltre i 500 euro nel rispetto delle norme sull’antiriciclaggio.

Comunque, non c’è dubbio che il GDPR avrà un grande impatto soprattutto sull’industria del gioco online a causa della sua applicabilità extra-territoriale.

Cosa significa? Il regolamento vincola le società che trattano i dati personali dei residenti nell’Unione, indipendentemente dal luogo in cui hanno sede. In pratica, a un cittadino comunitario che giochi su siti extracomunitari deve essere garantito lo stesso livello di protezione che otterrebbe giocando su siti di compagnie UE.

Oltre ai costi significativi che le società dovranno sostenere per attuare soluzione tecniche in linea con il GDPR, vanno tenuti in conto i risvolti commerciali. I nuovi controllori saranno in grado di indirizzare i giocatori da altre piattaforme offrendo bonus interessanti per convincerli a esercitare il diritto alla portabilità dei dati, analogamente a quanto accaduto dopo l’implementazione della portabilità dei numeri di cellulare. I controllori affermati dovranno, invece, sviluppare interessanti programmi di fidelizzazione dei clienti per i giocatori registrati sulle loro piattaforme di gioco.

Infine, non va sottovalutato che la normativa, pur non avendo connessioni con la prevenzione del GAP e dei crimini associati al gaming, lascia intendere all’articolo 6 che una diversa autorità (quali la ADM o la GdF) possa richiedere l’accesso allo storico dei movimenti dei singoli giocatori.