Oggi è entrato in vigore il “Regolamento generale sulla protezione dei dati”: analizziamo le principali novità

da | Mag 25, 2018 | Antiriciclaggio | 0 commenti

La nuova normativa in materia di data protection cambia radicalmente il panorama legislativo europeo con riguardo al tema della protezione dei dati personali: vediamo come

 

Ci siamo. A partire da oggi, il nuovo Regolamento Europeo sulla protezione dei dati n. 679/16 noto anche con l’acronimo GDPR (“General data protection regulation”) è realtà: la rivoluzione voluta dall’Unione Europea con riguardo al trattamento dei dati personali entra finalmente in vigore.

L’obiettivo dichiarato del regolamento è quello di dare un “giro di vite” alla tutela della privacy, permettendo ai cittadini dell’UE di avere un rinnovato controllo circa il modo in cui i loro dati personali vengono trattati e utilizzati dagli enti pubblici, dalle aziende e dai singoli.

L’interessato viene sostanzialmente dotato di tutti gli strumenti necessari per essere edotto e poter intervenire (ove necessario) con riguardo al trattamento dei propri dati personali.

Vediamo ora, in estrema sintesi, alcune delle conferme e delle novità più rilevanti:

  • è sempre richiesto che il consenso dell’interessato sia libero, informato ed esplicito con riferimento ad ogni trattamento;
  • le informazioni richieste dal titolare non devono eccedere quanto necessario per le finalità del trattamento stesso;
  • in qualsiasi momento, l’interessato può richiedere l’accesso e/o la rettifica dei propri dati, nonché la portabilità degli stessi.

L’interessato può inoltre esercitare il c.d. “diritto all’oblio” ed ha il diritto ad essere informato in caso di violazione dei propri dati (c.d. “data breach”).

Per quanto riguarda i titolari del trattamento (ovverosia i soggetti che possono decidere finalità e mezzi del trattamento stesso) essi devono uniformarsi ad alcuni principi cardine, tra i quali i più rilevanti sono:

  • il principio di trasparenza, ovverosia il dovere di fornire al cittadino-consumatore informazioni comprensibili, chiare e trasparenti;
  • il principio di accountability, il dovere di applicare misure adeguate per garantire e poter dimostrare che il trattamento è conforme al GDPR;
  • i principi della privacy by default e della privacy by design. Laddove, il primo impone al Titolare il rispetto dei principi generali della protezione dei dati, mentre il secondo prescrive l’integrazione della data protection sin dal principio dell’impostazione del trattamento.

Vengono inoltre introdotti il registro dei trattamenti, contente le informazioni rilevanti circa il trattamento stesso, nonché gli strumenti della “valutazione d’impatto sulla protezione dei dati” insieme alla “consultazione preventiva” con il Garante.

Riveste, infine, grande importanza l’introduzione di una figura del tutto nuova nel panorama normativo europeo: stiamo parlando del Data Protection Officer (DPO), soggetto terzo ed eventuale rispetto al titolare del trattamento (e al responsabile, che tratta i dati per contro del Titolare stesso). Il DPO, in estrema sintesi, è un professionista che deve sorvegliare sulla corretta applicazione del Regolamento e che deve essere necessariamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

Le sanzioni per le infrazioni al GDPR possono arrivare fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Quali novità per il settore del gaming

Con riferimento al settore gaming, particolare attenzione deve essere posta nell’ottenimento del consenso da parte del cliente, che deve rispettare i requisiti precedentemente menzionati. In caso di raccolta tramite canali a distanza (giochi online), sarebbe consigliabile dunque predisporre una informativa “granulare” con un sistema di caselle (c.d. “checkbox”) da spuntare in modo da poter raccogliere il consenso dell’interessato differenziando le finalità del trattamento come quelle relative al marketing ed alla profilazione.

Anche in ambito gaming, peraltro, ogni operatore dovrà adottare sistemi in grado di garantire all’utente la portabilità e la sicurezza (ex art.32) dei propri dati e, laddove richiesto, nominare un DPO.

Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento (art.37 GDPR).

Per quanto riguarda il settore degli operatori di gioco online, occorre prestare particolare attenzione ai temi inerenti la profilazione degli utenti. Da un lato l’art. 22 del GDPR, infatti, vieta la possibilità di sottoporre l’interessato a una decisione basata unicamente sul trattamento automatizzato dei dati personali (compresa, per l’appunto, la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tuttavia, tale prescrizione non si applica in alcuni casi previsti all’interno della norma stessa, tra i quali rientra il consenso esplicito dell’interessato. Dall’altro lato, occorre prestare particolare attenzione ai termini massimi di conservazione tanto in merito ai dati conservati per finalità di profilazione, quanto a quelli conservati per finalità di marketing diretto. A tal proposito, occorre seguire le informazioni contenute dalle diverse fonti legislative e regolamentari.

In conclusione, per gli operatori concessionari che gestiscono piattaforme per la raccolta del gioco a distanza è consigliabile nominare un DPO se il numero di utenti registrati è considerevole e vista la possibile attività sistematica di monitoraggio delle loro preferenze di gioco.

Gli impatti del nuovo Regolamento potrebbero non limitarsi ai soli operatori di gioco a distanza. Per quanto attiene agli operatori di gioco terrestre, si rileva che l’intera filiera è obbligata a rispettare le norme del GDPR nel momento in cui si trovi a raccogliere i dati personali dei giocatori le cui vincite abbiano superato i 500 euro che come previsto dalla normativa antiriciclaggio devono essere identificati dagli operatori di sala.

È infine necessario ricordare che, in ogni caso, il regolamento vincola tutti gli operatori di gioco che trattano dati personali dei soggetti residenti nell’Unione Europea e ciò a prescindere dal luogo dove sia stabilita la loro sede legale.