Adm rivendica il diritto di accedere ai dati sensibili dei giocatori
Dopo un singolare ping-pong a tre, il Consiglio di Stato dà via libera allo schema di decreto ministeriale sulle penali da applicare ai concessionari del gioco, ma il parere non
Dopo un singolare ping-pong a tre, il Consiglio di Stato dà via libera allo schema di decreto ministeriale sulle penali da applicare ai concessionari del gioco, ma il parere non convince appieno. Tutto ruota attorno alla privacy dei giocatori, una questione che probabilmente farà molto discutere quando partiranno le nuove concessioni dell’online, visto che gli operatori per rispettare degli obblighi, dovranno monitorare con attenzione i comportamenti dei giocatori. E dovranno intervenire quando ravvisino comportamenti a rischio.
In sostanza, i giudici sollevano il dubbio che Adm – vigilando sugli operatori – abbia bisogno di accedere ai dati sensibili degli utenti. Chiamano in causa il Garante della Privacy che però a sua volta chiede chiarimenti ad Adm. A voler essere puntigliosi, bisogna ricordare che Adm è una branca di quel Ministero che ha scritto il decreto controverso. L’Amministrazione comunque precisa che le penali riguardano solo degli adempimenti tecnici, e non c’è bisogno di esaminare dati dei giocatori. Puntualizza anche che in generale ha tutto il diritto di accedervi considerato che è titolare dell’Anagrafe dei conti di gioco. Però, a scanso di equivoci, “in alcun modo, tale Anagrafe è toccata dal presente regolamento”. Questa spiegazione convince il Garante che si limita a chiedere di inserire nello schema di regolamento “un comma aggiuntivo che chiarisca come gli accertamenti previsti dai commi 2 e 3 non comportino trattamenti di dati personali”. Anche se quello dell’Authority è un parere d’urgenza emesso dal solo Presidente – e deve quindi essere confermato collegialmente – il Consiglio di Stato prende per buona la soluzione del comma aggiuntivo.
Ora, Consiglio di Stato, Adm e Garante sembrano camminare un po’ sulle uova, ma bisogna riconoscere che la questione è completamente nuova. Lo sottolinea con una certa soddisfazione – nell’intervista pubblicata sull’ultima edizione di PressGiochi MAG, l’avvocato Luca Giacobbe, esperto di gaming, ma anche di tutela della privacy. “Lo stesso Consiglio di Stato” sottolinea, “prende atto che fino ad oggi – e stiamo parlando di rapporti concessori ultraventennali in alcuni casi – l’applicazione delle penali è avvenuta sulla base di ‘prassi consolidate’ e sopratutto ‘senza prevedere criteri specifici di applicazione che fossero conoscibili da parte degli operatori fin dal momento dell’assegnazione della concessione’”. Chiaramente non mancano i casi eclatanti, come “la determina del 2021 che individua ben otto anni dopo l’assegnazione del rinnovo della concessione di Awp e Vlt i criteri per la quantificazione delle penali. Mi pare una presa d’atto importante e in linea con quello che molti colleghi avvocati – compreso il sottoscritto – hanno sempre contestato”.
Ma sul tema della privacy, non dovrebbe essere scontato che Adm possa accedere ai dati dei giocatori?
“Su un piano generale le convenzioni di concessione prevedono che Adm rivesta il ruolo di titolare del trattamento (ossia di colui che determina mezzi e finalità del trattamento dei dati personali) relativamente a tutti gli aspetti inerenti finalità istituzionali e di controllo pubblico che le competono”.
Adm spiega che le penali previste dallo schema di decreto riguardano solamente ‘attività tecniche, informatiche, procedurali’. Ma il concessionario non ha anche degli obblighi specifici per tutelare i giocatori a rischio?
“Certo, il bando sul gioco online ne introduce diversi, alcuni sono specificatamente rivolti ai giocatori più giovani o a quelli che attivano per la prima volta un conto. Il generale, il concessionario deve adottare strumenti di analisi predittiva comportamentale – quindi anche modelli di Intelligenza Artificiale – per individuare i comportamenti a rischio, o adottare specifici alert che scattano quando vengono raggiunte determinate soglie di spesa e di tempo. E deve sviluppare sistemi di interazione con il giocatore che mostra segnali di rischio, mettendolo in contatto con i servizi di aiuto. C’è una previsione che impone agli operatori di attivare “misure restrizionali al gioco, in caso di superamento di indici di rischio da gioco patologico, attraverso, ad esempio, l’introduzione di limiti di spesa, di limiti di tempo di gioco e limiti di ricarica del conto di gioco”. La definizione di ‘misure restrizionali’ non è chiara, ma a mio avviso il concessionario non può arrivare alla sospensione o alla chiusura del conto”.
Ma questa previsione impone al concessionario di intervenire di propria iniziativa limitando le operazioni sul conto?
“Sì, esatto”.
L’obiettivo è perfettamente condivisibile, ma un controllo simile sembra eccessivo. Del resto, per fumo e alcol non c’è nulla del genere. Men che meno per le nuove dipendenze come quella da internet…
“Effettivamente, la norma sembra imporre di fatto un’ingerenza da parte di un concessionario di gioco eccessiva in relazione alle scelte del giocatore. Del resto nemmeno Adm ha il potere di bloccare un conto di gioco se ci sono utenti con comportamenti a rischio o chiaramente ludopatici”.
I concessionari dell’online insomma dovranno controllare costantemente le abitudini dei propri utenti. E di conseguenza avranno una forte ingerenza sulla privacy dei giocatori…
“Dovranno modificare i regolamenti di gioco e le informative sul trattamento dei dati fermo restando che il consenso del giocatore è e resterà l’elemento centrale e condizionante di ogni policy”.
Basterà oppure dei giocatori potrebbero avere a che ridire?
“Se ogni concessionario si attiene diligentemente a quelle che sono le regole tecniche della gara (nella misura in cui i giudici amministrativi riterranno legittime tutte le regole tecniche e le clausole del bando) attivando tutti gli strumenti e le soluzioni tecniche richieste il rischio di soccombenza nei contenziosi con i giocatori potrebbe essere limitato. Le recenti linee guida della commissione europea sui sistemi di intelligenza artificiale del 4 febbraio scorso, a mio avviso, aprono la strada anche a soluzioni tecnologiche innovative non solo nella individuazione dei giocatori con comportamenti patologici, ma anche di misure proattive di dissuasione dal gioco”.
Tornando al regolamento, Adm sostiene che – sebbene abbia il potere di accedere ai dati dei giocatori – per erogare le penali non dovrà farlo. Come potrà controllare che i concessionari abbiano rispettato tutti gli obblighi del bando?
“A mio avviso qualche dubbio può sorgere già quando l’Amministrazione in occasione della sua attività di verifica dei livelli di servizio di un concessionario si imbatta in dati personali degli utenti registrati sulla piattaforma di gioco. In quel caso il trattamento sussiste – basta solo la semplice visualizzazione dei dati – ma la base giuridica che legittima Adm a trattarli è tutta da interpretare. Quindi bene hanno fatto il Consiglio di Stato e il Garante a imporre – in un contesto di particolare urgenza nell’emanazione del decreto – di prescrivere che gli accertamenti previsti non comportino trattamento dei dati”.
