Gambling online, criticità e codice di condotta privacy EBGA - Riskmanagement

Normative europee

Gambling online, criticità e codice di condotta privacy EBGA

Il Gambling Code, secondo quanto delineato dalla procedura di approvazione all’art. 40 del GDPR, è sottoposto all’attenzione dell’Autorità Garante per la protezione dei dati personali di Malta, scelta come Autorità di controllo competente per la stesura del Codice

29 Mar 2021

Francesco Saraniti

Francesco Nanni

consulente privacy and information security presso DGS S.p.A.

Per servizio di gioco d’azzardo online (gambling online) vale la definizione che si ricostruisce dalla lettura combinata della direttiva sul commercio elettronico e della direttiva 98/34/CE: “un servizio che implica una posta pecuniaria in giochi dipendenti dalla fortuna, comprese le lotterie e le scommesse, forniti a distanza, mediante strumenti elettronici su richiesta del singolo destinatario di servizi”.

Il termine gioco d’azzardo on-line indica un gran numero di servizi:

  • la fornitura online di servizi di scommesse sportive;
  • i giochi da casinò;
  • le scommesse con spread;
  • i giochi multimediali;
  • i giochi promozionali;
  • i servizi di gioco gestiti da associazioni di beneficienza e organizzazioni senza scopo di lucro;
  • servizi di lotteria.

In Europa è una vera e propria industria, caratterizzata da una crescita su base annua che spesso corre a due cifre, lo conferma Research and Markets.com che nel suo report dal titolo “Europe Online Gambling Market – Growth, Trends, and Forecast (2020-2025)”, sottolinea come il mercato europeo del gioco d’azzardo on-line farà registrare un tasso annuo di crescita composto del 9,20%.

Di conseguenza si assiste a una stringente regolamentazione da parte dei policy maker, i motivi sono diversi:

  • rappresenta una ingente fonte d’introiti per i governi;
  • il gioco può portare al c.d. problem-gambling, cioè comportamenti di dipendenza;
  • è caratterizzato da un elevato livello di contenuto tecnologico (si pensi allo sviluppo del gioco on-line);
  • gli operatori investono ingenti capitali nel marketing e nella comunicazione, cosa che porta ad una intensa competizione nel settore[1].

Gioco d’azzardo e Internet

Lo sviluppo della rete internet e la sempre più crescente offerta di servizi di gioco d’azzardo online ha reso più difficile la coesistenza di diversi modelli normativi nazionali, cioè uno basato su operatori autorizzati che forniscono servizi in un quadro rigidamente regolamentato e l’altro basato su un monopolio statale o di altra natura.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Questo ha portato il legislatore europeo, a seguito della relazione Schaldemose e della risoluzione adottata dal Parlamento europeo il 10 marzo 2009 sull’integrità del gioco d’azzardo online[2], a invitare la Commissione a interrogarsi, in stretta collaborazione con i governi nazionali, circa gli effetti economici e non economici della fornitura di servizi di gioco d’azzardo transfrontaliero in relazione alle seguenti questioni:

  • la pubblicità;
  • il marketing e i minori;
  • la frode e il comportamento criminale;
  • l’integrità, la responsabilità sociale, la tutela del consumatore;
  • la tassazione.

Nel 2011 la Commissione europea attraverso il «Libro verde sul gioco d’azzardo online nel mercato interno»[3], ha dato il via a una consultazione pubblica il cui intento è sondare i pareri di tutte le parti interessate circa le problematiche legate all’offerta di servizi di gioco d’azzardo on-line indirizzata ai consumatori stabiliti nell’UE. Esso mira a evidenziare:

  1. l’esistenza e l’entità dei rischi sociali e di ordine pubblico connessi al gambling online;
  2. stimolare gli Stati membri circa gli strumenti normativi e tecnici che utilizzano o potrebbero utilizzare per garantire i consumatori, l’ordine pubblico e gli altri interessi pubblici;
  3. accertare se le vigenti norme applicabili ai servizi di gioco d’azzardo online a livello UE sono idonee ad assicurare la coesistenza generale dei sistemi nazionali e appurare se una maggiore cooperazione a livello europeo permetta di aiutare gli Stati membri a conseguire in maniera più efficace gli obiettivi della politica nazionale in tale materia.

Tra i problemi sollevati dal presente Libro verde si affronta quello relativo l’identificazione del cliente, il quale è necessario per prevenire e impedire una serie di rischi collegati al gioco d’azzardo online, cioè:

  • la tutela dei minori;
  • la prevenzione delle frodi;
  • la gestione del rischio cliente, cioè i controlli legati al c.d. “obbligo di conoscere i propri clienti” (know-your-customer);
  • la prevenzione del riciclaggio di proventi di attività illecite.

Esso si solleva sia quando il prestatore di servizi e il cliente si trovano in luoghi diversi sia in relazione alla mancanza nell’UE di un riconoscimento reciproco dei servizi di identificazione e riconoscimento elettronici.

La Commissione evidenzia come l’identificazione da parte dei fornitori dei servizi di gioco d’azzardo on-line si basi sulle seguenti pratiche:

  1. preventiva identificazione effettuata dal fornitore di servizi di pagamento (è richiesto che il cliente sia titolare di un conto bancario);
  2. controlli sulla base delle informazioni e i dei documenti richiesti al potenziale cliente;
  3. controlli effettuati dai fornitori di servizi di verificazione (previsti dalla normativa sulla protezione dei dati).

Il controllo dell’età avviene prima che il giocatore possa iniziare a giocare, tuttavia è stato suggerito che un’ulteriore misura di sicurezza venga applicata al momento del pagamento delle vincite, in modo da dissuadere i minori che cerchino di registrarsi.

A seguito di questa consultazione pubblica che non ha portato a una proposta normativa europea specifica del settore, la Commissione presenta nel 2012 la “Comunicazione verso un quadro normativo europeo approfondito relativo al gioco d’azzardo on-line[4] che ha lo scopo di migliorare la certezza del diritto e di stabilire le politiche sugli elementi concreti disponibili. Tali interventi, alla luce dell’incremento del gioco a distanza, devono concentrarsi su cinque settori:

  • conformare i regimi normativi nazionali al diritto dell’UE;
  • potenziare la cooperazione amministrativa e l’applicazione effettiva della legge;
  • tutelare i consumatori e i cittadini, minori e i gruppi vulnerabili;
  • prevenire le frodi e il riciclaggio di denaro;
  • preservare l’integrità dello sport e impedire il fenomeno delle partite truccate.

Le conclusioni a cui giunge la Commissione è che la risposta alle varie sfide di tipo normativo e tecnico del settore del gioco d’azzardo a distanza richiede misure solide ed efficaci e una collaborazione con il Parlamento europeo, gli Stati membri e le parti interessate.

La Risoluzione del Parlamento europeo

Ne consegue che il 10 settembre 2013 il Parlamento europeo redige la Risoluzione sul gioco d’azzardo online nel mercato interno[5].

In alcuni suoi considerando sottolinea come:

  • il gioco d’azzardo on-line può comportare un rischio maggiore di dipendenza, in virtù della maggiore facilità di accesso e l’assenza di controllo sociale;
  • la fornitura di servizi di gambling a distanza non è soggetta a una regolamentazione settoriale specifica a livello UE, ma resta soggetta alla direttiva sulla protezione dei dati;
  • tale mercato presenta maggiori rischi in relazione alla tutela dei consumatori e alla lotta alla criminalità organizzata;
  • è necessaria una panoramica completa in termini di informazioni e dati relativi all’offerta nazionale e transfrontaliera autorizzata e non autorizzata;
  • il marketing assume forme diverse da uno Stato all’altro e non è regolamentata.

Per la specificità del settore e la tutela dei consumatori, il Parlamento mette in guardia sul fatto che il gioco d’azzardo provoca una pericolosa dipendenza (da tenere in conto in qualsiasi proposta legislativa) e che è necessario un costante monitoraggio dei fenomeni di dipendenza e di gioco problematico. Al riguardo invita la Commissione a continuare a studiare misure per proteggere i consumatori vulnerabili, quindi che sia impossibile l’accesso dei minori ai servizi di gambling online, imponendo agli operatori di far apparire un avvertimento chiaro, ben visibile ed esplicito, in cui si dichiara che la loro partecipazione al gioco d’azzardo online è illegale.
Chiede che la Commissione prenda in considerazione l’attuazione di un controllo obbligatorio dell’identificazione da parte di terzi (in modo da escludere dal gioco i minori o le persone che utilizzano false identità), che tale controllo venga effettuato prima dello svolgimento di ogni attività di gioco e che possa riguardare dati diversi (quali il numero di sicurezza sociale, i dati del conto bancario o altri identificativi univoci).

Infine, prevede la possibilità della creazione di registri nazionali di auto esclusione, in modo che ogni cliente si auto escluda o che oltrepassi i propri limiti di gioco presso un operatore venga automaticamente escluso da tutti gli altri operatori titolari di licenze di gioco d’azzardo, è chiaro che questo meccanismo di scambio di informazioni deve essere soggetto a norme rigorose in materia di protezione dei dati personali.

La Raccomandazione della Commissione europea sul gambling online

Nel 2014 la Commissione europea interviene, nuovamente, con la “Raccomandazione sui principi per la tutela dei consumatori e degli utenti dei servizi di gioco d’azzardo on-line e per la prevenzione dell’accesso dei minori ai giochi d’azzardo on-line[6].

Lo scopo è, pur lasciando impregiudicato il diritto degli Stati membri di regolamentare il servizio di gioco d’azzardo on-line, garantire ai consumatori, ai giocatori e ai minori un elevato livello di tutela (riducendo al minimo i danni economici che possono derivare da un gioco compulsivo o eccessivo).

Nella presente raccomandazione viene elencata una specifica procedura di registrazione per aprire dei conti di gioco, cioè il conto aperto dal giocatore in cui sono registrate tutte le transazioni con l’operatore.

L’utilità di questo strumento è di accertare l’identità della persona e consentire di tenere traccia del suo comportamento. I dati identificativi del giocatore dovrebbero essere verificati attraverso una identificazione elettronica, qualora questa non possa realizzarsi o facilitare l’accesso a registri, banche dati o altri documenti ufficiali nazionali oppure annullare l’operazione di creazione del conto di gioco. Nonostante la portata ampia di questa raccomandazione si è assistito ad una scarsa implementazione della stessa da parte di molti degli Stati membri, cosa che è stata evidenziato in uno studio del 2018 della City University London[7].

Ad oggi non è stata redatta dal Legislatore europeo una regolamentazione unitaria che regoli il settore delle scommesse e del gioco d’azzardo on-line, che permetta di riunire il vasto e frammentato quadro delle politiche dei singoli Stati membri, in modo da ovviare ai problemi dei consumatori, degli operatori e delle autorità di vigilanza[8].

Prima di introdurre il codice di condotta sulla protezione dei dati del gioco d’azzardo dell’EGBA, è opportuno descrivere, con brevi cenni, la tutela normativa approntata dal nostro Paese in ordine al gambling online.

La tutela normativa italiana sul gambling online

L’Italia è tra i paesi della UE che ha posto grande attenzione alla tematica del gioco d’azzardo.

Gli obiettivi principali del nostro legislatore, in ottemperanza alle indicazioni comunitarie, sono stati quelli di:

  • prevenire gli effetti dannosi del gioco d’azzardo sulla salute psichica, fisica ed economica della collettività;
  • prevenire le frodi;
  • tutelare i minori e proibirne l’accesso ai casinò reali e virtuali.

Per poter esercitare l’attività di gioco d’azzardo sul nostro territorio nazionale gli operatori devono essere in possesso della licenza AAMS (o ADM) rilasciata dall’Agenzia delle dogane e dei monopoli, lo scopo è la tutela dei consumatori.

In tema di marketing, che, come abbiamo visto, è stato oggetto di forte dibattito a livello europeo, l’Italia ha imposto un divieto totale alle attività pubblicitarie[9], cosa che ha penalizzato le piattaforme legali, l’art. 9 del decreto recita: “è vietata qualsiasi forma di pubblicità, anche indiretta, di sponsorizzazione, o di comunicazione con contenuto promozionale del gioco con vincita in denaro”.

A seguito di ciò, nel 2019 l’Agenzia per la Garanzia delle Comunicazioni pubblica le linee guida[10]sulle modalità attuative dell’art. 9 del Decreto-Legge 12 luglio 2018 n. 87, che ha l’obiettivo di coordinare le nuove regole con la normativa del settore e con i principi costituzionali ed europei.

Le linee guida mettono in chiaro che neanche il consenso preventivo rilasciato dall’utente/giocatore, stante la natura imperativa del divieto, ha efficacia scriminante all’invio di comunicazioni commerciali riguardanti il gioco a pagamento.

A titolo esemplificativo sono permesse alcune delle seguenti attività di mero carattere informativo, che quindi esulano il divieto ex art. 9 del decreto:

  • le informazioni limitate alle sole caratteristiche dei vari prodotti e servizi di gioco offerto;
  • le informazioni richieste dal cliente in ordine al funzionamento e alle caratteristiche del servizio di gioco ovvero dell’esistenza di nuovi prodotti o servizi;
  • i servizi gratuiti di indicizzazione mediante algoritmo forniti direttamente dal motore di ricerca o dai marketplace (Apple Store, Google Play) che consentono all’operatore di avere una maggiore visibilità nei risultati di ricerca dell’utente;
  • la pubblicità ed ogni altra forma di comunicazione commerciale relativa a eventi diversi dall’offerta di gioco a pagamento (ad es. la natura gratuita dell’evento).

Una politica del gambling online adeguata alla società attuale

Quello che si evince da quanto detto finora è la necessità di creare una politica del gambling online in linea con le sfide digitali della società attuale.

A questo scopo, il 10 giugno 2020, l’European Gaming and Betting Association (EGBA), l’associazione di categoria rappresentativa dei principali operatori di scommesse d’azzardo e del gambling online, autorizzati e regolamentati all’interno dell’UE e del Regno Unito, ha presentato il draft del “Code of Conduct on Data Protection in Online Gambling” (di seguito «Gambling Code» o «Codice»).

L’EGBA considera la protezione dei dati personali dei players un aspetto essenziale da tenere in considerazione ed una delle sfide principali imposte dal settore del gambling.

Il Regolamento UE 2016/679 (“GDPR”) promuove tramite l’art. 40 l’elaborazione di codici di condotta volti a regolamentare ulteriormente la protezione dei dati in compartimenti specifici[11]. Secondo quanto indicato dal combinato disposto degli artt. 40-41 del GDPR, il Gambling Code si applicherà sulla base di un’adesione libera e volontaria da parte delle Società operanti nel settore, nonché nei confronti dei membri regolarmente iscritti all’EGBA.

Il Codice di condotta sulla protezione dei dati nel gioco d’azzardo online rappresenta una prima manifestazione di autoregolamentazione specifica e sostenibile a supporto della conformità con il GDPR che, con l’insieme delle sue norme ad ampio respiro, vuole integrare la protezione dei dati per l’industria del gioco d’azzardo online in Europa e trasmettere fiducia ai player (persone fisiche – interessati al trattamento) garantendo, quindi, una maggiore trasparenza sull’utilizzo dei propri dati personali.

A monte vi è da parte dell’EGBA il lodevole intento di voler promuovere elevati standard nel settore del gaming e betting online, proponendo l’applicazione di norme specifiche e best practice e promuovendo, allo stesso tempo, alti standard condivisi di protezione dei dati nel comparto del gioco online.

Il Codice, la cui applicazione sarà monitorata da una terza parte indipendente, ha ad oggetto tutti quei trattamenti riferiti ai soli dati personali dei player (o utenti) e non esplicherà la sua efficacia in relazione alle attività offline svolte ad esempio dai casinò tradizionali. L’EGBA sottolinea la piena coerenza del Codice al solo GDPR e non, invece, alle normative nazionali applicabili in materia di protezione dei dati personali. Nel nostro caso, infatti, in ipotesi di conflitto tra queste ultime e il Codice privacy (D. Lgs. 196/2003 come modificato dal D.lgs. 101/2018), dovrà prevalere la normativa nazionale.

Avendo il Codice un approccio “pratico” e di supporto alla corretta applicazione delle sue disposizioni, si pone altresì l’obbiettivo di aiutare concretamente le Società del settore coinvolte, nella veste di Titolari del trattamento, a dimostrare la propria accountability. L’intento del Codice è proprio quello di fornire alle Società operanti nell’industria chiarezza sulle aree in cui è necessaria un’interpretazione ad hoc alla luce del GDPR (attraverso l’utilizzo di use case reali, affronta le caratteristiche specifiche del settore e in particolare si sofferma sull’utilizzo dei dati personali per identificare ed affrontare situazioni di gioco d’azzardo patologico), oltre a garantire che i player siano rassicurati sull’appropriato e corretto utilizzo dei propri dati personali (sono introdotte, infatti, delle indicazioni volte a migliorare i diritti di portabilità dei dati, la trasparenza e a prevenire e/o mitigare violazioni di dati personali).

Il Gambling Code, nel corpo del testo, elenca tutti gli adempimenti da rispettare per essere conformi al GDPR incanalandoli all’interno del settore del gioco d’azzardo online, quali ad esempio i principi generali di cui all’art. 5 GDPR, i diritti degli interessati, il trasferimento e la condivisione con terzi dei dati, la sicurezza del trattamento e la gestione dei data breach, i principi chiave di privacy by design e by default, la DPIA e i rapporti con i Garanti nazionali. Vengono poi fornite, come precedentemente anticipato, una serie di best practice e linee guida rispetto ad attività di marketing diretto e di prevenzione delle frodi.

Il quarto capitolo descrive la procedura di adesione al Codice ed elenca i requisiti e gli step da rispettare per ottenere la conformità, incluso l’organismo di monitoraggio che deve presiedere al controllo di conformità.[12]Il quinto e ultimo capitolo del Codice descrive le modalità di gestione, applicazione e revisione del Codice, inclusi i ruoli e gli obblighi dei suoi organi direttivi e dell’organo di monitoraggio.

Aspetti innovativi del Gambling Code

Il Gambling Code introduce alcuni aspetti innovativi, tra i quali è stato evidenziato[13] l’adozione di un framework costituito dai seguenti elementi:

  • data mapping[14];
  • analisi delle basi giuridiche;
  • analisi dei rischi;
  • documentazione;
  • revisione-valutazione-modifica.

Tale framework, con un approccio risk based, richiama l’adozione cooperativa del Modello Organizzativo Privacy («MOP»), una sorta di documento unico riassuntivo e centralizzato e definito come un «insieme di elementi correlati o interagenti di un’Organizzazione finalizzato a stabilire politiche, obiettivi e processi per conseguire tali obiettivi»[15].

In alcuni casi il Codice, pur aderendovi, va oltre il dettato normativo del GDPR, indicando diversi aspetti da approfondire ulteriormente: ad esempio impone all’operatore-titolare di essere in grado entro un tempo massimo di 24 ore di risalire esattamente a qualsiasi dato trattato e alle rispettive ubicazioni, evitando la ridondanza degli stessi dati su più dataset e imponendogli l’utilizzo di data-flow per ricostruire agilmente l’intero percorso dei dati. Quando un operatore si trova a dover svolgere una analisi delle basi giuridiche e a propendere per il legittimo interesse, gli impone l’utilizzo di una procedura di Legitimate Interest Assessment («LIA»)[16].

Anche in questo caso viene mantenuto un taglio pratico fornendo, inoltre, un elenco utile ed esemplificativo, di possibili attività costituenti interessi legittimi del titolare qualora l’interessato si opponga ex. art. 21 ad un trattamento (ad esempio nel caso di attività antifrode). In relazione alle basi giuridiche utilizzabili viene ribadita la non correttezza di un conto gioco la cui apertura sia «condizionata» ad eventuali consensi per finalità di marketing rilasciati dal player oltre alla necessità di essere chiari e trasparenti nell’indicazione di eventuali terze parti a cui sono comunicati i dati personali.

Il principio di trasparenza, ai sensi dell’art. 12 GDPR, viene ripreso dal Codice ribadendone l’importanza e la centralità. Gli operatori del settore, infatti, devono fornire ai player, in maniera chiara e facilmente accessibile, tutte le informazioni relative ai trattamenti effettuati sui dati personali, alle finalità e alle basi giuridiche a sostegno dei trattamenti. Il principio di trasparenza, secondo il dettato del Codice, potrebbe subire delle limitazioni da parte degli operatori stessi.

Il Gambling Code introduce, infatti, la possibilità di negare ai player l’accesso ai propri dati personali qualora, ad esempio, la disclosure di tali dati potrebbe compromettere l’attività investigativa da parte di un’autorità giudiziaria o influire sugli obblighi legali o sugli interessi commerciali dell’operatore. Quest’ultimo, nel comprimere tale principio, deve sempre giustificarne e documentarne le ragioni alla base, non essendo tale potere insindacabile.

Il Codice amplia e rafforza il diritto alla portabilità previsto dall’art. 20 GDPR, introducendo la possibilità, per i player, di trasferire il proprio conto gioco, da un titolare ad un altro, trasferendo quindi tutte le informazioni relative alla registrazione dell’account, lo storico delle transazioni effettuate nonché le preferenze, ovvero tutti quei dati personali che vengono trattati in modo automatizzato[17].

Alcuni use case del Codice

Merita un accenno l’ultima sezione del Codice che contiene all’analisi di alcuni Use Case, tra i quali:

  • Use Case «Marketing diretto»: gli operatori devono rispettare diversi elementi qualora vogliano intraprendere un’attività di direct marketing.
  • Use Case «Account VIP»: le aziende operanti nel settore devono rispettare una serie di linee guida comuni nella creazione di account destinati ai clienti più fedeli.
  • Legittimo interesse antifrode.

In relazione a quest’ultimo Use Case, particolarmente interessante per la delicatezza del tema trattato e in quanto aspetto essenziale del gioco d’azzardo online, si effettua un bilanciamento tra la tutela dei dati personali dei players coinvolti e la necessità di tutela da attività illecite e problematiche derivanti dal gioco d’azzardo. Sulla bilancia viene soppesato anche l’Anti Money Laundering (“AML”) e quindi l’insieme di normative specifiche che impongono alle aziende determinati controlli e accortezze per combattere l’attività di riciclaggio nel tentativo di raggiungere un punto di equilibrio tra gli obblighi imposti dalla normativa AML e il principio di minimizzazione del GDPR.

Tutte le informazioni relative alle problematiche causate dal gioco d’azzardo consistono in dati estremamente delicati (seppur non riconducibili all’interno dell’art. 9 del GDPR) e proprio per la loro “sensibilità” possono essere veicolo di conseguenze pregiudizievoli per gli interessati. Per questo motivo è raccomandata l’implementazione e la corretta manutenzione, da parte degli operatori coinvolti, di misure di sicurezza quali la cifratura o la pseudonimizzazione dei dati.

Il trasferimento e la condivisione con terze parti, invece, potrà avvenire solo per determinate finalità e sempre nel rispetto di tali misure di sicurezza. Per poter introdurre programmi di contrasto a problemi derivanti dal gioco d’azzardo gli operatori sono tenuti a svolgere un’analisi e valutazione d’impatto sui rischi sottesi (DPIA ex art. 35).

Conclusioni

A oggi il Gambling Code, secondo quanto delineato dalla procedura di approvazione all’art. 40 del GDPR, è sottoposto all’attenzione dell’Autorità Garante per la protezione dei dati personali di Malta, che è stata scelta come Autorità di controllo competente per la stesura del Codice (alla luce delle Linee guida sui Codici di Condotta dell’European Data Protection Board “EDPB”) e a capo del Office of the Information and Data Protection Commissioner (“IDPC”). La scelta è ricaduta su Malta non casualmente ma in quanto sede delle principali società multinazionali operanti nell’industria del gambling online ed essendo, inoltre, il Paese in cui l’Autorità di controllo aveva già sviluppato in passato diverse iniziative pertinenti, dimostrandosi particolarmente all’avanguardia sul tema.

L’iter di approvazione formale richiede tra i 18 e i 24 mesi e prevede il coinvolgimento di altre Autorità Garanti nazionali europee che, sempre su base volontaria coopereranno con l’IDPC e lo assisteranno nella valutazione sostanziale della conformità del Codice al GDPR. Al termine di tale valutazione, l’IDPC deciderà se approvare o meno il Codice e, in caso di esito positivo, verrà sottoposto al vaglio dell’EDPB per un parere sulla conformità della bozza di codice al GDPR. In caso di parere positivo da parte dell’EDPB, l’IDPC approverà formalmente il codice e comunicherà questa decisione a tutte le altre Autorità Garanti nazionali europee.

Infine, una volta approvato ufficialmente, diventerà vincolante per i suoi firmatari e potrà essere sempre soggetto ad aggiornamenti e modifica in vista di ulteriori linee guida emesse in seguito dalle Autorità competenti per la protezione dei dati. Il Codice dimostra un impegno concreto da parte dell’industria del gioco d’azzardo online per proteggere i dati personali di circa 16,5 milioni di utenti.

  1. Online Gaming, Il settore del gioco online: confronto internazionale e prospettive, Centro Arcelli per gli Studi Monetari e Finanziari dell’Università Luiss Guido Carli (CASMEF) e Deloitte Financial Advisory S.r.l.
  2. 2008/2215 (INI).
  3. COM (2011) 128 definitivo.
  4. COM (2012) 596 final.
  5. 2012/2322 (INI).
  6. 2014/478 UE.
  7. Dr Margaret Carran, City University London (2018).
  8. Manifesto: A EU Framework for Online Gambling 2.0, EGBA, 2020.
  9. Decreto Legge 12 Luglio 2018 n. 87, recante “Disposizioni urgenti per la dignità dei lavoratori e delle imprese”, convertito con modificazioni dalla Legge 9 Agosto 2018 n. 96.
  10. Allegato A alla delibera n. 132/19/CONS del 18 aprile 2019.
  11. Art 40 c. 1 GDPR: «Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese».
  12. Così dispone l’art. 41 del GDPR: «il controllo della conformità con un codice di condotta ai sensi dell’articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente».
  13. Gambling, ecco il Codice di condotta privacy del gioco d’azzardo online, Leonardo Carnacchia e Andrea Michinelli, cybersecurity360, www.cybersecurity360.it
  14. Il “data mapping”, che sarà parte integrante del framework, potrebbe corrispondere all’esito di un’analisi che confluisca poi in una corretta redazione e gestione del registro dei trattamenti secondo l’art. 30 GDPR.
  15. Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni, Monica Perego e Chiara Ponti, Agenda Digitale, www.agendadigitale.eu
  16. Similmente a quanto sviluppato dal Working Party ex art 29 nelle linee guida del 2014 sul tema e dall’ICO inglese https://ico.org.uk/
  17. Il Codice suggerisce, inoltre, l’introduzione di un portale online condiviso dagli Operatori consentendo in questo modo al player di avere accesso ai propri dati personali in piena autonomia e di poterne disporre come meglio crede.

EVENTO
16 Settembre 2021 - 17:00
Cybersecurity: la svolta dell’estate e come proteggersi al meglio
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
S
Francesco Saraniti
N
Francesco Nanni
consulente privacy and information security presso DGS S.p.A.

Articolo 1 di 5