La European Gaming and Betting Association (EGBA) ha lanciato una consultazione pubblica, aperta agli operatori del settore, sulla propria bozza di codice di condotta relativa alla corretta applicazione dei principi del GDPR da parte degli operatori del gioco d’azzardo online e, più in generale, per gli stakeholder che lavorano con tali operatori. La bozza di codice, in consultazione fino al 25 febbraio 2020, mira fornire una guida specifica per le società di gambling online, attraverso esempi e buone prassi applicabili al settore gaming.
La bozza suggerisce che il trattamento dei dati personali da parte degli operatori deve rispettare i principi generali del GDPR, con applicazione del principio di minimizzazione dei dati e di responsabilità che consegue all’eventuale trattamento illecito dei dati dei giocatori: a questi ultimi, infatti, deve essere consegnata l’informativa privacy prima dalla finalizzazione della registrazione al gioco online.
Le informazioni sul trattamento saranno omesse solo in presenza di eccezioni giustificate (ad es., per prevenire reati, nel caso di violazione di trade secrets, etc.). In particolare, la bozza si concentra sul consenso del giocatore, indicando le misure inadeguate in conformità con il GDPR (ad es., check-box precompilata, utilizzo di un linguaggio ingannevole o vago, che non informa precisamente sul trattamento cui i giocatori stanno fornendo il consenso, etc.).
Inoltre, non solo gli operatori devono garantire agli interessati i diritti di cui agli articoli dal 15 al 22 del GDPR, ma questi ultimi dovranno inoltre assicurarsi di informare i terzi a cui abbiano trasferito i dati dei giocatori circa l’avvenuto esercizio di tali diritti.
Infine, in merito al profiling, la bozza chiarisce che tale trattamento (i) non deve essere basato unicamente su processi automatizzati, che è generalmente vietato dal GDPR, e (ii) deve essere basato su un comprovato risk assessment, in ragione del fatto che il trattamento dei dati dei giocatori nel contesto del gaming online potrebbe comportare anche la deduzione di informazioni relative all’interessato per il cui trattamento l’operatore non avrebbe una valida base giuridica.