Gambling și GDPR – Ce trebuie să știe (și să facă) companiile din industria jocurilor de noroc pentru a proteja în mod real și eficient datele personale ale jucătorilor? 223o5k

► DE ADELA NUȚĂ, MANAGING ASSOCIATE, BACIU PARTNERS 3m4l4h

Industria jocurilor de noroc în integralitatea sa este supusă unei supravegheri legislative multiple și riguroase, cu roluri bine definite, care vizează nu numai conformitatea cu reglementările specifice industriei, ci și, de exemplu, necesitatea de a proteja viața privată a jucătorilor, în conformitate cu Regulamentul General privind Protecția Datelor (GDPR). h1y41

► DE ADELA NUȚĂ, MANAGING ASSOCIATE, BACIU PARTNERS

Astfel, pe măsură ce jucătorii interacționează cu diverse servicii de jocuri de noroc, fie că se află într-o locație fizică sau accesează platformele de joc online, devine imperativ să se asigure protecția deplină a drepturilor lor, inclusiv din perspectiva procesării datelor personale colectate în toate aceste forme de divertisment.

Indiferent de mediul de joc pus la dispoziție, operatorii de jocuri sunt cei cărora le revine sarcina funda­mentală de a asigura confidențialitatea și securitatea informațiilor personale ale jucătorilor.  În cele mai multe situații practice însă cererile de exercitare a drepturilor jucătorilor ridică anumite provocări, întrucât nu au un conținut clar definit și nu vizează doar aspecte legate de activitatea de joc, ci și aspecte ce privesc drepturile lor conferite de GDPR.

Acesta este și cazul solicitărilor venite din partea jucătorilor, prin care aceștia își doresc fie, auto­ex­cludere permanentă sau temporară, la care adaugă și elementul de ștergere a contului de joc (și implicit a tuturor datelor asociate acestuia), fie întreruperea accesului la jocul de noroc, completată de dezabo­narea de la notificările de marketing sau reclamă situații de utilizare neautorizată a contului său de joc și implicit a datelor personale, solicitând informații și acces la aceste date.

Deși, la o primă vedere, astfel de situații par să se refere exclusiv la exercitarea unor drepturi legate de activitatea de joc, în realitate, aceste solicitări prezintă o natură complexă și ambivalentă, care reclamă o abordare atentă și detaliată din partea operatorilor de jocuri de noroc, mai ales în ceea ce privește pro­tecția datelor personale ale jucătorilor.

În astfel de circumstanțe, este impor­tant să subliniem că, potrivit articolului 15 din GDPR, jucătorul, în calitatea sa de persoană vizată, deține dreptul de a solicita operatorului de date – operator de jocuri de noroc, o confirmare asupra prelucrării datelor sale personale. În cazul unei confirmări pozitive, per­soana vizată are dreptul să acceseze aceste date și să beneficieze de toate drepturile garantate de GDPR.

foto source: Pete Linforth / Pixabay

Confruntați cu astfel de solicitări, operatorii de jocuri de noroc, obișnuiți să prioritizeze mai degrabă aspectele operaționale, riscă să neglijeze obligațiile ce le revin din perspectiva protecției datelor, fiind imperativ ca în cazul oricăror astfel de cereri să fie respectate câteva reguli fundamentale ale GDPR:

INFORMARE: Acest aspect implică, în primul rând, furnizarea de informații complete și corecte per­soanelor vizate (jucătorilor), o identificare precisă a conținutului cererii acestora, a drepturilor de care beneficiază și a intenției reale pe care o manifestă.

Astfel, se pot întâlni situații în care, în percepția comună a jucătorului, cererea sa de autoexcludere este înțeleasă ca incluzând automat și ștergerea contului de joc din sistemul operatorului, împreună cu toate datele personale aferente sau chiar acesta este cel care solicită ștergerea contului de joc.

Cu toate acestea, în realitate, o cerere de auto­excludere nu doar că nu implică vreo ștergere automată de date dar nici măcar nu poate fi procesată și soluționată imediat, deoarece operatorul are obligația legală de a păstra aceste date pentru o anumită perioadă, conform cerințelor legislative în materie de jocuri de noroc și/sau normelor AML (Anti-Money Launde­ring), aspecte cu privire la care trebuie să fie în mod clar informat.

Întregul proces de informare trebuie să fie aliniat și cu termenele de răspuns impuse de GDPR, care stipulează, în mod general, un interval maxim de răspuns de o lună. Acest termen poate fi prelungit doar în situații excepționale și pe baza unor motive bine justificate, care trebuie comunicate jucătorului cât mai detaliat posibil încă de la prima interacțiune sau într-un termen ulterior, apreciat ca fiind rezonabil.

TRANSPARENȚĂ: Conform articolului 12 din GDPR, operatorii trebuie să comunice în mod transparent și detaliat cu jucătorii cu privire la soluționarea cererilor lor.

Astfel, în situațiile obișnuite în care un jucător solicită informații sau semnalează utilizări neconforme ale contului său de joc, care implică inevitabil și pre­lucrarea datelor sale personale, operatorii trebuie să furnizeze jucătorilor informații complete, care încor­porează inclusiv detalii despre datele colectate, scopurile prelucrării și orice destinatari cărora le-au fost dezvăluite datele respective și să nu se limiteze doar la oferirea unor soluții operaționale sau tehnice.

Un impediment semnificativ în asigurarea unei comunicări eficiente și transparente cu jucătorii, având în vedere diversitatea culturală și lingvistică a acestora, poate fi reprezentat și de barierele ling­vistice. Oferirea unui răspuns într-o singură limbă, de obicei limba oficială a țării în care se prestează serviciile de joc nu este adesea suficientă pentru a satisface cerințele de transparență impuse de GDPR, fiind imperativ ca informațiile să fie traduse și adaptate corespunzător, astfel încât să fie accesibile și comprehensibile pentru toți jucătorii.

DOCUMENTARE: Chiar dacă operatorii de jocuri de noroc au obligația de a menține o evidență strictă a activității de joc, conform legislației specifice jocurilor de noroc este esențial să existe și o evidență distinctă cu privire la prelucrarea datelor, acesta fiind singurul instrument prevăzut de articolul 30 din GDPR, prin care operatorul poate demonstra în fața Autorității de Supraveghere că și-a îndeplinit obligațiile în această materie.

STANDARDIZAREA RĂSPUNSURILOR: Cu toate că provocarea de a crea și men­ține șabloane adecvate pentru cererile jucătorilor necesită resurse conside­rabile și o expertiză juridică semnificativă, în practică, imple­mentarea unor astfel de instrumente poate preveni numeroase neplăceri pentru operatori, mai ales că prima interfață a acestora cu jucătorul este reprezentată de personalul angajat al operatorului, care nu este întotdeauna suficient instruit sau suficient de receptiv spre a analiza circumstanțele specifice fiecărei cereri.

MONITORIZARE: Diversitatea canalelor prin care jucătorii pot transmite cererile lor (e-mail, telefon, platforme de online, sau chiar înregistrarea personală), poate conduce în practică, la riscul ca acestea să nu fie centralizate eficient sau să fie igno­rate de sistemele automatizate de prelucrare a datelor. De exemplu, un jucător poate solicita dez­abonarea de la comunicările de marketing printr-un e-mail sau printr-o altă opțiune de opt-out, însă în lipsa unei procesări corecte de către sistemul imple­mentat de operator, o astfel de cerere poate fi omisă, astfel încât jucătorul poate continua să primească mesaje de marketing, ceea ce contravine cerințelor GDPR.

Un alt exemplu frecvent întâlnit este acela în care operatorul este învestit cu o cerere de autoexcludere cu privire la care se pronunță strict din perspectiva confirmării acesteia, omițând însă să pună în aplicare și măsuri adecvate prin care să blocheze transmiterea de materiale publicitare către jucător, apreciind că beneficiază în continuare de consim­țământul acestuia exprimat conform GDPR, fapt ce constituie o încălcare gravă a obligațiilor ce îi revin, atât din perspectiva legislației de jocuri de noroc, cât și din perspectivă GDPR.

CONFORMITATE: Asigurarea conformității cu GDPR necesită și implementarea unor proceduri interne și utilizarea unor sisteme IT integrate care să gestioneze toate canalele de comunicare cu jucătorii. Sistemele trebuie să fie capabile să proceseze cererile venite din diverse surse și să le centralizeze într-un registru unic. Aceste sisteme trebuie să monitorizeze și să alerteze personalul asupra termenelor limită și să asigure că nicio cerere nu este ignorată, până la finalizare procesului de soluționare.

BACIU PARTNERS

Nu în ultimul rând trebuie să reamintim că încălcarea obligațiilor impuse de GDPR de către operatorii de date, care nu pot demonstra în mod documentat respectarea drepturilor persoanelor vizate, poate atrage aplicarea unor sancțiuni semnificative din partea autorităților de control. Exemple notabile includ amenda aplicată Spotify (în cuantum de aproximativ cinci milioane euro) pentru deficiențe în gestionarea drepturilor persoanelor vizate și amenda primită de Google Belgium (600.000 euro) pentru nerespectarea dreptului de a fi uitat al persoanelor vizate.

În concluzie, protejarea datelor personale ale jucă­torilor nu este doar o obligație legală, ci și un element esențial pentru menținerea încrederii acestora în serviciile oferite. Într-o eră în care confidențialitatea datelor este din ce în ce mai prețuită, operatorii de jocuri de noroc trebuie să trateze fiecare cerere a jucătorilor cu cea mai mare diligență, pentru a își proteja atât reputația, cât și viitorul afacerii.