Tutte le informazioni sul GDPR nel mondo del casinò
In questa pagina ti spiegheremo come la nuova normativa sul GDPR andrà a impattare il mondo digitale, e in particolare, quello del casinò online.
Per avere più dettagli, controlla anche la nostra pagina informativa sul gioco online.
Che cos’è il GDPR?
Il regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) si occupa di tutelare i dati personali degli utenti internet ed è entrato in vigore in Europa il 24 maggio 2016.
La nuova normativa va a sostituire la direttiva 95/46/CE. Avete notato come i social abbiano già lanciato le prime misure utili ad adempiere i propri doveri? Parliamo del colosso Facebook, e non solo. Che ne sarà delle email a scopo di marketing, dunque? E quali sono le conseguenze per i giocatori del casinò?
GDPR e Italia – Il Regolamento europeo in materia di protezione dei dati personali
Fioriscono le guide per informarsi sul GDPR, ma anche i consigli su come adeguare le proprie compagnie alla nuova normativa in materia di dati personali. Ogni situazione si colloca in una cornice differente. Qual è quella del casinò e come la General Data Protection Regulation andrà ad influenzare i giocatori?
Vediamo come ha risposto l’Italia al cambiamento e successivamente cosa cambierà nell’industria del gaming.
Il 25 maggio 2018 è entrato in vigore il GDPR, il regolamento generale sulla protezione dei dati. Le aziende avranno quindi l’obbligo di rispettare i termini di questo regolamento, che sarà in vigore in tutta l’Unione Europea.
Oggetto delle modifiche sono i dati personali, quelli che rendono una persona identificata o identificabile tramite gli stessi.
La nuova normativa europea è volta a tutelare le persone fisiche mediante la regolamentazione del trattamento dei dati personali e della loro circolazione. Parliamo del processo di raccolta dei dati, ma anche di quello del loro utilizzo, ad esempio a scopo di marketing, oppure della loro cancellazione.
Il GDPR verrà applicato in tutte le circostanze che riguardino i dati personali, fatta eccezione per quelle in cui la loro libera circolazione sia dovuta alla protezione delle stesse persone fisiche.
I confini della normativa non si fermano quindi a quelli nazionali, ma vanno ben oltre.
Le autorità di tutela nazionali dovranno infatti coordinarsi con quelle internazionali, in una rete che, in alcuni casi, potrebbe richiedere l’intervento dello European Data Protection Board.
Cosa succederà a chi non osserverà gli obblighi previsti dalla normativa?
Si andrà incontro a sanzioni. Per quanto riguarda le cifre, andiamo ben oltre quelle finora previste dalla vecchia normativa del 1995. Parliamo infatti di 20 milioni di euro o, in alternativa, del 4% del fatturato mondiale totale della compagnia.
Terminologia intorno alla protezione dati
Quali nuovi termini verranno inseriti nel vocabolario delle aziende, una volta che il GDPR sarà entrato in vigore? Vediamo quelli più rilevanti.
- DPO (Data Protection Officer) o RPD (Responsabile della protezione dei dati) – Il DPO sarà un dipendente esterno alla compagnia, incaricato del controllo sulla conformità con il GDPR e quindi, in ultima analisi, della protezione dei dati. Le aziende saranno tenute a nominarne uno. Si tratta di una figura responsabile anche della formazione del personale in materia di GDPR.
- Data Breach – Parliamo in questo caso delle violazioni dei dati personali. È per evitare questa esatta evenienza che nasce il GDPR.
A cosa si sono dovute preparare le aziende nei mesi passati?
I punti fondamentali sono 3, e includono:
- La designazione del DPO;
- L’istituzione del Registro delle attività legate al trattamento dei dati, che descriva in particolare le procedure di sicurezza adottate;
- La notifica delle violazioni dei dati personali, che può essere omessa nel caso in cui le procedure di sicurezza siano adeguate a prevenire eventuali danni alla persona. I titolari del trattamento avranno sole 72 ore per avvisare l’Autorità di Controllo, una volta che il GDPR sarà in vigore.
Cosa dice il Rapporto Clusit 2018 in merito al GDPR?
L’Associazione Italiana per la Sicurezza Informatica ci dice che lo scorso 2017 non è stato un anno felice per i risultati ottenuti nella protezione contro il cyber-crime. È stata analizzata la tendenza degli ultimi anni, e si parla di perdite importanti per i privati cittadini di tutto il mondo.
Quando veniamo invece alla cyber security in Italia, vorremmo piangere, ma il nuovo GDPR ci mette di fronte ad una grande speranza. Grande almeno quanto le sanzioni alle quali le compagnie dovranno rispondere questo maggio quando il GDPR entrerà in vigore, se le loro procedure non dovessero conformi agli standard richiesti.
Dagli Osservatori del Politecnico di Milano emergono però dei dati interessanti, che evidenziano come in Italia la spesa in termini di security stia crescendo, e apparentemente il fattore trinante sarebbe proprio l’adattamento al GDPR!
L’information security ha infatti evidenziato una crescita del 12% rispetto al 2016. Sembrerebbe che una delle misure adottate dalle compagnie italiane per la protezione dei dati siano le polizze che vanno a coprire le violazioni dei dati personali di terze parti.
Inoltre, per il futuro, la spesa per la protezione dei dati da mobile è tra quelle che prevedono il maggiore aumento, sempre secondo dati riportati di recente dall’Osservatorio del Politecnico di Milano.
E pensare che i pessimisti già danzavano all’idea del fallimento delle compagnie italiane nel processo di adeguamento alle nuove misure europee!
GDPR e casinò – Cosa cambierà per i giocatori?
Il mondo del casinò in Italia online sta attraversando una fase di modifiche, tutte a favore dei giocatori. Abbiamo parlato qualche giorno fa della recente introduzione che riguarda le nuove procedure di auto-esclusione dei casinò italiani.
Cosa ne sarà ora del trattamento dei dati che i casinò hanno nel database? E cosa cambierà ad esempio nel processo di trasferimento verso giurisdizioni esterne a quella della Commissione europea, che non siano sullo stesso livello di quelle del GDPR?
I casinò si stanno certamente attrezzando per far fronte alle richieste, tramite una formazione adeguata e non solo, come abbiamo detto poco più sopra. Le compagnie che non si conformino alla normativa troveranno delle sanzioni di non poco conto a bussare alla loro porta.
Dovranno sicuramente poter dimostrare di essere in linea con quanto il GDPR richiede ed essere pronte a reagire in caso subiscano una violazione dei dati personali processati.
Piuttosto che stabilire cosa sarà possibile fare coi dati dei giocatori, è più semplice stabilire cosa non si potrà fare dal momento in cui il GDPR sarà entrato in vigore.
Gestione dati e KYC
I casinò raccolgono una quantità enorme di dati, ed è chiaro che questi siano stati tra i primi a dover fare i conti con la verifica delle loro procedure di sicurezza, già severissime.
Parliamo non solo delle procedure intese a proteggere i dati sensibili dei giocatori una volta raccolti, ma anche quelle della raccolta stessa dei dati.
Si tratta di quel processo conosciuto come KYC – Know Your Customer – che non si applica solo ai giocatori del casinò, ma rappresenta una procedura finanziaria messa in atto su più vasta scala, e intesa in particolar modo ad evitare tutti quei crimini che possano ricondursi ad esempio al riciclaggio di denaro.
Si tratta di dati personali e pertanto sensibili, e l’Unione Europea ha ritenuto che chiunque debba poter sapere precisamente dove vadano a finire e per quanto tempo, ma anche a quale scopo.
Inoltre, bisogna rendere possibile a chiunque ritirare il proprio consenso in qualsiasi momento.
Richiesta di consenso per email marketing
Il GDPR vuole che il consenso fornito sia esplicito, quindi non verranno considerati validi i consensi forniti prima del 25 maggio che non rispettino le linee guida della normativa per il trattamento dei dati personali. Niente più caselline nascoste, quindi, con richieste delle quali non si sia mai venuti a conoscenza.
Una volta dato il consenso a trattare (o processare) i propri dati, potremo richiederne la cancellazione in qualsiasi momento, come se non fossimo mai esistiti nel database della compagnia.
La massima trasparenza dovrà ancora una volta essere la chiave del trattamento dei dati dei giocatori, ma ora con normative e sanzioni che vanno oltre i confini nazionali.
Questo va a completo vantaggio dei giocatori, che potranno decidere di fare dei propri dati quel che vogliono, e potendo rinunciare alle dozzine di email di marketing in qualsiasi momento, fin dall’inizio, e con una facilità ancora maggiore.
Queste email contengono spesso le promozioni del giorno o quelle dedicate ad una fascia di giocatori in particolare. È bene riceverne, per questa ragione. Ma, se non dovessero interessarvi le novità e i prodotti del casinò, potrete cancellare il vostro consenso a riceverne.
L’informativa sulla privacy che deriverà dal GDPR dovrà obbligatoriamente indicare, tra le altre informazioni, i dati dell’RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ma anche se i dati raccolti vengano trasferiti a Paesi terzi e, se così fosse, attraverso quali modalità.
Un altro punto interessantissimo, al quale molto spesso però non si fa attenzione, è il tempo per il quale il titolare del trattamento dei dati – il casinò, nel nostro caso – li conserverà nel suo database. Questo pure dovrà essere chiaramente esplicitato nell’informativa.
Sanzioni e controlli del caso
Tutte le misure che il titolare del trattamento deciderà di adottare saranno sottoposte a controlli ex post da parte dell’Autorità, contrariamente a quanto avveniva invece secondo la direttiva del 1995, per la quale si procedeva ad un prior checking, o verifica preliminare, delle procedure adottate.
Questo non significa che i titolari saranno abbandonati e successivamente sanzionati se non dovessero soddisfare le richieste dell’Autorità. Il Comitato europeo della Protezione dei dati deve invece fornire delle linee guida ai titolari fin dall’inizio del processo.
In caso di violazione dei dati, i titolari del trattamento dovranno valutare il rischio per i diritti degli interessati e, qualora questo risultasse alto, informare l’autorità entro 72 ore dalla violazione. Qualora si trattasse di un rischio davvero elevato, si dovrà informare anche l’interessato, ossia la persona fisica titolare dei dati.
Conclusioni
Rispetto a quanto detto finora, ci sembra che emergano dei punti dall’impatto maggiore per i giocatori, che vogliamo elencare qui di seguito, in chiusura del nostro articolo:
- Prima di tutto, i giocatori potranno richiedere informazioni sui dati processati che li riguardano, anche accedere agli stessi e correggerli, con maggiore facilità rispetto al passato.
- Il cosiddetto “Diritto all’oblio”, invece, ove richiesto, prevede la cancellazione dei dati che segue il ritiro del consenso al trattamento degli stessi.
- “Profilazione” per il “marketing diretto” – Si può negare il consenso all’utilizzo dei dati forniti per campagne di marketing; anche in questo caso il consenso dovrà essere sempre richiesto in maniera chiara, mai ambigua.
- La riservatezza dei dati personali diviene ancora più severa, e può includere la crittografia dei dati, ma anche l’uso di pseudonimi che vadano a sostituire i dati reali, per aggiungere un ulteriore livello di protezione.
Aspettiamo il 25 di maggio, per vedere i risultati della nuova normativa in Italia e non solo.
Per maggiori informazioni sulle novità del casinò, visita la nostra sezione dedicata alle Notizie, sempre aggiornata con quelle più recenti, incluse le curiosità del mondo del gioco online.
