La Malta Gaming Authority in vista della prossima entrata in vigore il 25 maggio del regolamento generale sulla protezione dei dati (GDPR) ha pubblicato un documento di orientamento per gli
La Malta Gaming Authority in vista della prossima entrata in vigore il 25 maggio del regolamento generale sulla protezione dei dati (GDPR) ha pubblicato un documento di orientamento per gli operatori.
Il presente regolamento mira ad armonizzare la normativa sulla protezione dei dati in tutta Europa, per proteggere e responsabilizzare tutti i cittadini dell’UE alla privacy dei dati e per rimodellare il modo in cui le organizzazioni di tutta la regione si avvicinano alla privacy dei dati.
Il GDPR si basa sui fondamenti dell’attuale legislazione sulla protezione dei dati aumentando gli oneri per le organizzazioni in termini di responsabilità per l’uso e la conservazione dei dati personali e migliora i diritti dei cittadini alla propria privacy.
La maltese MGA riconosce le preoccupazioni del settore circa la conformità al GDPR e il modo in cui avrà un impatto sull’industria del gioco, quindi ha intrapreso il compito di produrre questo documento di orientamento dopo un processo di consultazione con l’Ufficio del Commissario per la protezione delle informazioni e della protezione dei dati (IDPC), che è l’autorità di controllo responsabile per la regolamentazione dell’applicazione della legislazione sulla protezione dei dati. Rimane la responsabilità dei licenziatari MGA per garantire che siano conformi al GDPR e al quadro normativo del gioco.
Queste linee guida sono considerate un documento vivente e saranno ulteriormente sviluppate nel tempo in quanto emergeranno problemi pratici con l’effettiva attuazione del GDPR. Devono essere letti in parallelo con i requisiti legali imposti agli operatori in virtù delle leggi di gioco maltesi e non pregiudicano la suddetta legislazione. Inoltre, tali orientamenti e le interpretazioni in essi contenute non pregiudicano le decisioni che il Commissario può prendere in merito a reclami e, o qualsiasi altra questione specifica relativa alla protezione dei dati.
Tali interpretazioni non pregiudicano eventuali ulteriori orientamenti o pareri che potrebbero essere emessi dal gruppo di lavoro sulla protezione dei dati ai sensi dell’articolo 29 e, a decorrere dal 25 maggio 2018, dal comitato europeo per la protezione dei dati.
Come spiega l’Authority, ai sensi del GDPR, i dati personali possono essere elaborati solo se, e nella misura in cui, si applica almeno una base legale per l’elaborazione elencata di seguito:
a) l’interessato ha acconsentito al trattamento;
b) è necessario per l’entrata o l’esecuzione di un contratto con l’interessato o per prendere provvedimenti su sua richiesta prima dell’avvio di un contratto;
c) è necessario per adempiere a un obbligo legale ai sensi del diritto dell’UE o nazionale;
d) è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica;
e) è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri affidati al responsabile del trattamento;
f) è necessario ai fini degli interessi legittimi perseguiti dal responsabile del trattamento dei dati (o da una terza parte), tranne nel caso in cui gli interessi del responsabile del trattamento siano esclusi dagli interessi, dai diritti fondamentali o dalle libertà degli interessati interessati.
Queste linee direttrici si concentreranno su quattro basi specifiche, “Obbligo giuridico”, “Contratto”, “Consenso” e “Interesse legittimo” poiché si prevede che, in genere, la maggior parte delle attività di trattamento degli Operatori si svolgerà basandosi su uno o più di tali basi. È fondamentale che gli operatori stabiliscano fin dall’inizio la base giuridica appropriata (o le basi), poiché, come indicato di seguito, la base giuridica su cui i dati personali vengono elaborati deve essere comunicata alle rispettive persone interessate.
Come spiega MGA, è previsto un obbligo legale imposto all’Operatore in virtù della legislazione sui giochi, della legislazione AML o di qualsiasi altra legge specifica, che può essere determinato come base appropriata su cui elaborare i dati personali dei giocatori. I riferimenti a tale base sono riportati in tutto il documento.
Cosa dovrebbe includere una politica sulla privacy?
Le politiche sulla privacy dovrebbero includere le seguenti informazioni minime:
a) Identità e dettagli di contatto del responsabile del trattamento dei dati, ovvero l’operatore, che determina lo scopo del trattamento e, se del caso, del rappresentante del responsabile del trattamento, nonché i dettagli di contatto del responsabile della protezione dei dati dell’operatore (DPO).
b) Finalità del trattamento e fondamento giuridico per il trattamento – compreso il “legittimo interesse” perseguito dal responsabile del trattamento (o da terzi) se questa è la base giuridica scelta, cioè l’interesse specifico in questione deve essere identificato. Inoltre gli operatori dovrebbero chiarire ai giocatori che possono ottenere informazioni sul test di bilanciamento, sulla base dell’interesse legittimo, su richiesta5.
c) La politica sulla privacy di un Operatore dovrebbe anche informare i giocatori o potenziali giocatori che quando un conto è aperto, i dati personali dei giocatori possono essere trattati per finalità antiriciclaggio (AML), in particolare alla luce dell’eccezione descritta di seguito.
d) Destinatari o categorie di destinatari. Ciò include altri responsabili del trattamento dei dati, controllori congiunti e responsabili dei dati ai quali i dati sono trasferiti o divulgati. La posizione predefinita è che un controller di dati dovrebbe fornire informazioni sui destinatari effettivi (denominati) dei dati personali. Ciò significa che i processori di dati dovrebbero essere elencati nell’informativa sulla privacy. Laddove un controllore dei dati opta per fornire solo le categorie di destinatari, il responsabile del trattamento deve essere in grado di dimostrare perché è giusto che adotti questo approccio. In tali circostanze, le informazioni sulle categorie di destinatari dovrebbero essere il più specifiche possibile indicando il tipo di destinatario, ad esempio facendo riferimento alle attività che svolge.
e) Informazioni dettagliate sui trasferimenti di dati al di fuori dell’UE e il riferimento alle garanzie appropriate o adeguate. L’interessato dovrà inoltre fornire i mezzi per ottenere una copia di tali dati o dettagli su dove sono stati resi disponibili (ad esempio il link alla pagina del sito web delle Clausole contrattuali standard).
f) Il periodo di conservazione per i dati o, se non è possibile impostare un periodo, i criteri utilizzati per impostare questo. Non è sufficiente che l’Operatore dichiari che i dati personali saranno conservati per il tempo necessario agli scopi legittimi del trattamento.
g) Che il giocatore ha il diritto di accedere ai propri dati, nonché di rettificarli, cancellarli e limitarli, nonché di “portarli” (vedere il diritto alla portabilità dei dati di seguito).
h) Che il giocatore ha il diritto di opporsi al trattamento o ai suoi dati e di ritirare il consenso, se il trattamento è basato sul consenso.
i) La possibilità per un giocatore di sporgere denuncia presso un’autorità di vigilanza. Queste informazioni dovrebbero spiegare che, ai sensi dell’articolo 77 del GDPR, il giocatore ha il diritto di presentare un reclamo all’autorità di controllo, in particolare nello Stato membro della sua residenza abituale, luogo di lavoro o luogo di un presunto violazione.
j) Se esiste un obbligo legale o contrattuale di fornire i dati e le conseguenze di non fornire tali dati (applicabile solo in relazione ai dati raccolti direttamente dall’interessato). Ad esempio, al momento della registrazione, i moduli online dovrebbero identificare chiaramente quali campi sono “obbligatori”, quali no, e quali saranno le conseguenze della mancata compilazione dei campi richiesti.
k) Se ci saranno o meno decisioni automatiche, e in tal caso, informazioni sulla logica coinvolta e sul significato e le conseguenze dell’elaborazione per il giocatore. Inoltre, l’interessato deve essere informato dell’esistenza della profilazione e delle conseguenze di tale profilazione insieme a informazioni significative sulla logica in questione e sulle conseguenze significative e previste del trattamento per l’interessato.
PressGiochi