Privacy e Gambling: tutto quello che c’è da sapere

Il 10 giugno 2020, l’EGBA “European Gaming and Betting Association” ha varato un Codice di condotta di tutela per la privacy, quindi dei dati personali trattati nel settore Gambling. EGBA è l’ente più importante che rappresenta le società che operano nelle scommesse d’azzardo online. L’intento era chiaramente quello di proporre delle norme specifiche proprio per l’industria del betting e del gaming online, oltre che di promuovere degli standard sulla protezione dei dati in tutto il comparto del gioco online. Facciamo insieme il punto della situazione, e vediamo insieme tutto quello che c’è da sapere in materia di Privacy e Gambling.

Codice di condotta privacy: obiettivi

Come anticipato, di recente l’EGBA ha licenziato il Codice di condotta sulla tutela della privacy e dei dati personali per quanto concerne il settore gioco d’azzardo online. Tale codice nasce per perseguire un triplice obiettivo, ovvero:

  • Stabilire degli standard in materia di protezioni dei dati per tutto il comparto del gioco d’azzardo online su territorio europeo.
  • Fornire uno strumento efficace per le aziende in merito alla compliance con il GDPR.
  • Infondere fiducia negli utenti andando a garantire la trasparenza massima su come verranno utilizzati i dati personali, anche e soprattutto in materia di cyber security.

La cyber security definizione rappresenta un campo inerente la sicurezza informatica, dunque tutte le misure presenti nel Codice di condotta sono anche volte alla tutela dei dati da attacchi esterni. Il testo rappresenta una delle prime valide iniziative finalizzate all’autoregolamentazione del settore del gioco d’azzardo online, agendo a supporto della preesistente normativa sulla protezione dei dati personali. Ad oggi tra l’altro, si tratta anche di uno dei primi Codici di questo tipo, post GDPR.

Codice di condotta privacy: struttura

Entrando nel dettaglio, il Codice di condotta privacy è suddiviso in cinque capitoli:

Primo capitolo

Fornisce un inquadramento di natura generale. In particolare, il Codice trova le sue fondamenta sugli articoli 40 e 41 GDPR, e si rivolge ai membri EGBA, ma consente anche l’adesione volontaria da parte di operatori esterni al settore. Nella sfera di applicazione di tale codice rientrano tutti quei trattamenti che hanno come oggetto i dati personali degli utenti/giocatori. Resta invece esclusa ogni tipologia di dato inerente i propri dipendenti, ma anche quelli relativi ad attività tradizionali offline. Infine è opportuno precisare che il Codice non può prevalere sulle norme nazionali in materia di protezione dei dati, e in caso di conflitto saranno quest’ultime ad avere priorità.

Secondo capitolo

Elenca quali sono gli adempimenti da rispettare, quindi rappresenta il più importante del codice. Tra i principali dettami troviamo quelli sui diritti degli interessati, sul trasferimento e sull’eventuale condivisione con soggetti terzi dei dati personali, i rapporti con i rispettivi Garanti nazionali, la gestione dei data breach, e molto altro ancora.

Terzo capitolo

Elenca alcuni esempi pratici che meglio permettono di comprendere come deve avvenire l’applicazione del codice. In questo modo vengono fornite delle utili linee guida alle società del settore, ad esempio per il marketing diretto, ma anche per la prevenzione delle frodi.

Quarto capitolo

Riguarda la procedura per aderire al Codice, elencando step da seguire e requisiti da rispettare per essere conformi a quanto stabilito dal Codice stesso. Nel documento è incluso anche l’organismo di monitoraggio che presiederà al controllo di conformità (art.41 GDPR).

Quinto capitolo

L’ultimo capitolo descrive invece quali sono le modalità per gestire, applicare e revisionare il Codice, andando ad includere ruoli e obblighi sie degli organi direttivi che dell’organo di monitoraggio.

Il principio della trasparenza e il diritto alla portabilità

Le società del settore devono fornire ai diretti interessati, attraverso una modalità chiara e di facile comprensione, quelle che sono tutte le informazioni inerenti il trattamento dei dati personali, ai sensi dell’articolo 12 GDPR. In particolare dovranno essere indicate le basi giuridiche e le finalità a sostegno dei trattamenti. Proprio in merito alle basi, viene ribadita la non correttezza di condizionare l’eventuale apertura da parte dell’utente di un account con consenso ai fini di marketing.

Tutto questo senza dimenticare la necessità di dover essere specifici nel fornire indicazioni di eventuali soggetti terzi a cui effettuare comunicazione dei dati. In realtà il Codice non introduce nulla di nuovo, ma è comunque da apprezzare il sostegno alla linea dell’EDPB e dunque anche dei vari garanti nazionali, perché si è creato un sunto efficace su tutte quelle regole che tutte le società del settore devono rispettare, anche e soprattutto ai fini di marketing.

In secondo luogo il Codice fornisce anche un contributo molto importante circa il rafforzamento del diritto alla portabilità (art.20 GDPR). Viene dunque precisata la possibilità data agli utenti di effettuare il trasferimento del proprio account che al suo interno contiene i suoi dati personali, da un titolare del trattamento ad un altro. La trasparenza dunque, rimane un principio fondamentale che non dovrà essere minimamente sottovalutato all’interno delle campagne di marketing.

Le comunicazioni degli operatori dunque, dovranno essere facilmente comprensibili sotto ogni punto di vista, anche per i meccanismi di consenso e le eventuali preferenze di marketing che vengono rivolte agli interessati. In aggiunta dobbiamo precisare che nel momento in cui un utente dovesse autoescludersi dalle attività di gaming e betting, gli operatori dovranno anche inibire ogni attività di marketing, anche se queste fossero basate sull’interesse legittimo del titolare.

Diverso e più complicato è invece il discorso sui giocatori inattivi, che potranno comunque ricevere comunicazioni di marketing, sempre se fondate chiaramente su una legittima base giuridica. Ma in questo caso le società sono tenute a chiarire in anticipo quali siano le modalità di contatto nelle proprie policy.

Codice di condotta privacy: in conclusione

Il Codice come abbiamo potuto vedere, tocca più punti, e quelli elencati sono solamente alcuni dei principali. Si include anche il bilanciamento necessario tra quella che è la protezione dei dati personali, e la necessità di tutelare gli utenti dalle problematiche legate al gioco d’azzardo (ludopatia). Le informazioni inerenti a problemi di questo tipo infatti, si concretizzano in dati di estrema delicatezza, e che quindi possono essere portatori di conseguenze pregiudizievoli per gli utenti interessati.

Come detto, il testo del Codice non introduce nulla di nuovo. Al contrario in alcuni passaggi sembra quasi ricalcare le norme del GDPR, nonostante alcuni passaggi siano decisamente stati riformulati con maggior chiarezza ed efficacia. In conclusione possiamo dire che seppur questa occasione potesse essere sfruttata meglio, è comunque un primo passo verso una reale tutela dei dati personali degli utenti/giocatori.