Oggi è entrato in vigore il “Regolamento generale sulla protezione dei dati”: analizziamo le principali novità

Oggi è entrato in vigore il “Regolamento generale sulla protezione dei dati”: analizziamo le principali novità

Oggi è entrato in vigore il “Regolamento generale sulla protezione dei dati”: analizziamo le principali novità

La nuova normativa in materia di data protection cambia radicalmente il panorama legislativo europeo con riguardo al tema della protezione dei dati personali: vediamo come

 

Ci siamo. A partire da oggi, il nuovo Regolamento Europeo sulla protezione dei dati n. 679/16 noto anche con l’acronimo GDPR (“General data protection regulation”) è realtà: la rivoluzione voluta dall’Unione Europea con riguardo al trattamento dei dati personali entra finalmente in vigore.

L’obiettivo dichiarato del regolamento è quello di dare un “giro di vite” alla tutela della privacy, permettendo ai cittadini dell’UE di avere un rinnovato controllo circa il modo in cui i loro dati personali vengono trattati e utilizzati dagli enti pubblici, dalle aziende e dai singoli.

L’interessato viene sostanzialmente dotato di tutti gli strumenti necessari per essere edotto e poter intervenire (ove necessario) con riguardo al trattamento dei propri dati personali.

Vediamo ora, in estrema sintesi, alcune delle conferme e delle novità più rilevanti:

  • è sempre richiesto che il consenso dell’interessato sia libero, informato ed esplicito con riferimento ad ogni trattamento;
  • le informazioni richieste dal titolare non devono eccedere quanto necessario per le finalità del trattamento stesso;
  • in qualsiasi momento, l’interessato può richiedere l’accesso e/o la rettifica dei propri dati, nonché la portabilità degli stessi.

L’interessato può inoltre esercitare il c.d. “diritto all’oblio” ed ha il diritto ad essere informato in caso di violazione dei propri dati (c.d. “data breach”).

Per quanto riguarda i titolari del trattamento (ovverosia i soggetti che possono decidere finalità e mezzi del trattamento stesso) essi devono uniformarsi ad alcuni principi cardine, tra i quali i più rilevanti sono:

  • il principio di trasparenza, ovverosia il dovere di fornire al cittadino-consumatore informazioni comprensibili, chiare e trasparenti;
  • il principio di accountability, il dovere di applicare misure adeguate per garantire e poter dimostrare che il trattamento è conforme al GDPR;
  • i principi della privacy by default e della privacy by design. Laddove, il primo impone al Titolare il rispetto dei principi generali della protezione dei dati, mentre il secondo prescrive l’integrazione della data protection sin dal principio dell’impostazione del trattamento.

Vengono inoltre introdotti il registro dei trattamenti, contente le informazioni rilevanti circa il trattamento stesso, nonché gli strumenti della “valutazione d’impatto sulla protezione dei dati” insieme alla “consultazione preventiva” con il Garante.

Riveste, infine, grande importanza l’introduzione di una figura del tutto nuova nel panorama normativo europeo: stiamo parlando del Data Protection Officer (DPO), soggetto terzo ed eventuale rispetto al titolare del trattamento (e al responsabile, che tratta i dati per contro del Titolare stesso). Il DPO, in estrema sintesi, è un professionista che deve sorvegliare sulla corretta applicazione del Regolamento e che deve essere necessariamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

Le sanzioni per le infrazioni al GDPR possono arrivare fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Quali novità per il settore del gaming

Con riferimento al settore gaming, particolare attenzione deve essere posta nell’ottenimento del consenso da parte del cliente, che deve rispettare i requisiti precedentemente menzionati. In caso di raccolta tramite canali a distanza (giochi online), sarebbe consigliabile dunque predisporre una informativa “granulare” con un sistema di caselle (c.d. “checkbox”) da spuntare in modo da poter raccogliere il consenso dell’interessato differenziando le finalità del trattamento come quelle relative al marketing ed alla profilazione.

Anche in ambito gaming, peraltro, ogni operatore dovrà adottare sistemi in grado di garantire all’utente la portabilità e la sicurezza (ex art.32) dei propri dati e, laddove richiesto, nominare un DPO.

Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento (art.37 GDPR).

Per quanto riguarda il settore degli operatori di gioco online, occorre prestare particolare attenzione ai temi inerenti la profilazione degli utenti. Da un lato l’art. 22 del GDPR, infatti, vieta la possibilità di sottoporre l’interessato a una decisione basata unicamente sul trattamento automatizzato dei dati personali (compresa, per l’appunto, la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tuttavia, tale prescrizione non si applica in alcuni casi previsti all’interno della norma stessa, tra i quali rientra il consenso esplicito dell’interessato. Dall’altro lato, occorre prestare particolare attenzione ai termini massimi di conservazione tanto in merito ai dati conservati per finalità di profilazione, quanto a quelli conservati per finalità di marketing diretto. A tal proposito, occorre seguire le informazioni contenute dalle diverse fonti legislative e regolamentari.

In conclusione, per gli operatori concessionari che gestiscono piattaforme per la raccolta del gioco a distanza è consigliabile nominare un DPO se il numero di utenti registrati è considerevole e vista la possibile attività sistematica di monitoraggio delle loro preferenze di gioco.

Gli impatti del nuovo Regolamento potrebbero non limitarsi ai soli operatori di gioco a distanza. Per quanto attiene agli operatori di gioco terrestre, si rileva che l’intera filiera è obbligata a rispettare le norme del GDPR nel momento in cui si trovi a raccogliere i dati personali dei giocatori le cui vincite abbiano superato i 500 euro che come previsto dalla normativa antiriciclaggio devono essere identificati dagli operatori di sala.

È infine necessario ricordare che, in ogni caso, il regolamento vincola tutti gli operatori di gioco che trattano dati personali dei soggetti residenti nell’Unione Europea e ciò a prescindere dal luogo dove sia stabilita la loro sede legale.

Nuovo decreto antiriciclaggio: prime indicazioni operative da ADM-AAMS

Nuovo decreto antiriciclaggio: prime indicazioni operative da ADM-AAMS

Nuovo decreto antiriciclaggio: prime indicazioni operative da ADM-AAMS

L’Agenzia delle Dogane e dei Monopoli fornisce le prime indicazioni agli operatori del settore giochi sul nuovo decreto antiriciclaggio. L’articolo 4 del Decreto Legislativo n. 90/2017 ha sostituito il Titolo IV del Decreto Legislativo n. 231/2007, dettando alcune specifiche disposizioni per i prestatori dei servizi di gioco, mentre l’articolo 5, sostituendo l’articolo 64, ha introdotto un nuovo impianto sanzionatorio.

L’intervento dell’Autorità di Piazza Mastai si è reso necessario per chiarire i non pochi problemi interpretativi posti dagli operatori del settore giochi.

 

Il ruolo di governance dei Monopoli

In primo luogo, una importante novità è costituta dal ‘ruolo di governance’ attribuito all’Agenzia, la quale, pur non assumendo il ruolo di vigilanza (che permane in capo a Banca d’Italia, CONSOB e IVASS, come confermato dall’art. 1, co. 2 lett. c) del decreto), “riveste un importante ruolo di indirizzo e coordinamento” che prevede:

  • “ l’elaborazione di standard tecnici di regolamentazione, anche sulla base dell’analisi nazionale del rischio di riciclaggio e di finanziamento del terrorismo, elaborata dal Comitato di sicurezza finanziaria;

  • l’emanazione, previa presentazione al Comitato di sicurezza finanziaria, di linee guida ad ausilio dei concessionari, in ordine alle procedure e ai sistemi di controllo adeguati a mitigare e gestire i rischi di riciclaggio e finanziamento del terrorismo

  • la verifica dell’osservanza, da parte dei concessionari, degli adempimenti previsti;

  • l’adozione di ogni iniziativa utile a sanzionarne l’inosservanza;

  • l’adozione di protocolli d’intesa con il nucleo speciale di polizia valutaria della Guardia di Finanza, per assicurare lo scambio di informazioni, necessario a garantire il coordinamento, l’efficacia e la tempestività delle attività di controllo e verifica dell’adeguatezza dei sistemi di prevenzione e contrasto del riciclaggio di denaro e di finanziamento del terrorismo, adottati dai prestatori di servizi di gioco;

  • il riscontro dell’autenticità dei dati, contenuti nei documenti presentati dai richiedenti l’apertura dei conti di gioco, anche attraverso la consultazione del sistema pubblico per la prevenzione del furto di identità di cui al Titolo V bis del D. Lgs. 141/2010, come integrato dal D.Lgs. 64/2011”.

L’ambito applicativo

In secondo luogo, i Monopoli chiariscono l’ambito applicativo della nuova disciplina che comprende:

  • gioco online;

  • apparecchi da intrattenimento di cui all’art. 110 comma 6 lettera b) del T.U.L.P.S.;

  • bingo;

  • tutte le tipologie di scommesse, ivi incluse quelle su eventi simulati, con esclusione di quelle rientranti nella citata tipologia di concorsi pronostici.

Restano, pertanto, esclusi:

  • lotterie nazionali, sia ad estrazione istantanea che differita;

  • giochi numerici a totalizzatore;

  • giochi numerici a quota fissa;

  • concorsi pronostici su base sportiva ed ippica (Totocalcio, Il 9, Totogol, tutte le tipologie di Big, V7)”;

Entrata in vigore

Quanto alla data di entrata in vigore, ADM-AAMS ha precisato che le disposizioni del decreto sono in vigore dal 4 luglio scorso, con la sola eccezione dell’articolo 9, comma 4, che prevede l’ulteriore termine di 12 mesi (i.e.: 4 luglio 2018) per gli adeguamenti tecnologici dei processi necessari a dare attuazione alle disposizioni contenute nel Titolo IV.

Nuovi obblighi immediatamente applicabili per gli operatori VLT

Risultano, pertanto, immediatamente applicabili tutte le disposizioni che obbligano concessionari, distributori ed esercenti della filiera VLT a:

(i) verificare l’identità dei clienti;

(ii) conservare i dati di ogni singolo “ticket” di importo pari o superiore a 500 euro.

Ma non solo, distributori ed esercenti VLT sono tenuti ad inviare al concessionario i dati relativi al cliente e all’operazione, entro 10 giorni dall’effettuazione della giocata.

Per quanto riguarda i gestori di case da gioco (casinò) e di scommesse in agenzia, questi sono altresì tenuti ad identificare e verificare i clienti che richiedono o effettuano, presso il medesimo operatore, una o più operazioni di gioco, per un importo complessivo pari o superiore a 2.000 euro.

Rimane, inoltre, il generale obbligo di procedere all’adeguata verifica della clientela “in tutti i casi in cui vi sia anche solo il sospetto di riciclaggio o di finanziamento del terrorismo”.

Non da ultimo, “diventa effettivo l’obbligo dei concessionari della verifica del possesso e del controllo dei requisiti reputazionali di distributori ed esercenti, laddove le convenzioni di concessione prevedano tali adempimenti e i meccanismi di immediata estinzione del rapporto contrattuale, a fronte del venir meno dei requisiti medesimi, ovvero di gravi o ripetute infrazioni riscontrate”.

Inasprimento del regime sanzionatorio e relativi dubbi interpretativi

Per concludere, alcune brevi considerazioni sui nuovi profili sanzionatori introdotti dalla novella, nonché sulla relativa problematicità interpretativa di alcune formulazioni introdotte (ad es.: il generico concetto di ‘violazioni gravi’).

Come accennato in apertura, l’articolo 5 del nuovo decreto – ridisegnando interamente il Titolo V del Decreto Legislativo n. 231/2007 – ne ha sostituito l’art. 64 che, nello specifico, regolava la ‘inosservanza delle disposizioni di cui al Titolo IV commesse da distributori ed esercenti nel comparto del gioco’. La principale criticità di questa nuova norma è contenuta nel quarto comma, laddove è previsto che “nei casi di violazioni graviripetute o sistematiche ovvero plurime, tenuto conto della rilevanza della violazione, le sanzioni amministrative pecuniarie di cui ai commi 1, 2 e 3 sono raddoppiate nel minimo e nel massimo edittaliIn tali ipotesi, il concessionario è tenuto, in solido con il distributore o esercente contrattualizzato, al pagamento della sanzione amministrativa pecuniaria irrogata”. Emerge in maniera evidente come la ‘solidarietà’ del concessionario sia legata alla ‘gravità’ della violazione posta in essere dai distributori e/o esercenti contrattualizzati. Tuttavia, se i concetti di ‘ripetizione’, ‘sistematicità’ e ‘pluralità’ della violazione sono di facile interpretazione, lo stesso non può dirsi per la ‘gravità’. Pertanto, per ovviare a tale gap interpretativo, non resterebbe che percorre la via analogica facendo riferimento alla comune definizione di gravità contenuta negli articoli 56, 57 e 58 – che riguardano rispettivamente le sanzioni amministrative in tema di inosservanza degli obblighi di adeguata verifica e dell’obbligo di astensione e di conservazione dei dati raccolti, nonché l’obbligo di segnalazione delle operazioni sospette – laddove, con una formulazione che lascia comunque una certa discrezionalità, si precisa che “la gravità della violazione è determinata anche tenuto conto:

a) dell’intensità e del grado dell’elemento soggettivo, anche avuto riguardo all’ascrivibilità in tutto o in parte, della violazione alla carenza, all’incompletezza o alla non adeguata diffusione di prassi operative e procedure di controllo interno;

b) del grado di collaborazione con le autorità di cui all’articolo 21, comma 2, lettera a);

c) della rilevanza ed evidenza dei motivi del sospetto, anche avuto riguardo al valore dell’operazione e al grado della sua incoerenza rispetto alle caratteristiche del cliente e del relativo rapporto;

d) della reiterazione e diffusione dei comportamenti, anche in relazione alle dimensioni, alla complessità organizzativa e all’operatività del soggetto obbligato”.

Il nostro team è a disposizione per approfondimento e confronto sul tema.