Il parere del Garante Privacy sul decreto dell’ADM sulla tessera sanitaria “E’ il risultato di una proficua interlocuzione tra i due enti. Adm aveva infatti presentato una prima bozza di decreto ma ha poi accolto favorevolmente i rilievi posti dai concessionari”. Lo spiega a Agimeg Luca Giacobbe, legale esperto in materia di protezione dei dati, riferendosi al regolamento che impone – a partire dal 1 gennaio 2020 – di dotare tutte le vlt di un lettore per verificare l’età di chi gioca . “La norma primaria di riferimento ossia l’art 9 quater del decreto dignità ha reso obbligatoria la verifica da parte dei sistemi vlt della maggiore età del giocatore tramite l’introduzione della tessera sanitaria”. Occorreva però rispettare il GDPR – General Data Protection Regulation, ovvero il Regolamento Ue 2016/679 – che ha seguito i principi di privacy by design e di privacy by default: il primo impone al titolare del trattamento di realizzare processi aziendali coerenti con il GDPR, mentre il secondo prescrive di raccogliere e elaborare solo i dati strettamente necessari. Giacobbe spiega che di conseguenza “L’Amministrazione nella seconda versione del decreto ha correttamente eliminato l’obbligo di memorizzazione dei dati del giocatore per tutte le sessioni di gioco. Conseguentemente il sistema si limita a estrarre dalla tessera sanitaria solo la data di nascita e ad abilitare l’apparecchio solo se il giocatore è maggiorenne. La scelta dell’Amministrazione e il via libera del Garante è stata fatta nell’ottica del principio di minimizzare il trattamento dei dati personali e rappresenta una garanzia per i giocatori”. In sostanza la tessera sanitaria diventa una sorta di interruttore: se il titolare è maggiorenne, la macchina si accende, altrimenti non accetta giocate. Ma poi non viene salvato alcun dato del giocatore. In questa fase, in cui l’obiettivo principale del Legislatore è tutelare i soggetti a rischio, sarebbe forse stato utile conservare i dati strettamente necessari a tracciare un profilo del giocatore (come età e provenienza geografica, oltre che i dati della sala), cancellando tutti quelli che potessero consentire di individuare il giocatore. Secondo Giacobbe tuttavia, i Monopoli non avrebbero potuto seguire questa strada: “C’è prima di tutto un problema di norma primaria, quella del decreto dignità, appunto. Questa punta a eliminare il gioco minorile, e non riguarda invece i giocatori problematici adulti. Di conseguenza, se il decreto fosse andato oltre, sarebbe stato illegittimo, e l’ADM si sarebbe esposta a facili ricorsi”. Ma poi secondo Giacobbe, anche il salvataggio di alcuni dati solamente potrebbe rappresentare un rischio per la privacy: “In determinati contesti potrebbe comunque consentire di risalire all’identità del giocatore, rendendo di fatto il gioco non più anonimo. Ci sarebbe quindi un evidente contrasto con la normativa antiriciclaggio che prevede identificazione oltre determinate soglie oppure in presenza di indici di anomalia. E ancora, i sistemi avrebbero dovuto memorizzare milioni di dati personali al giorno associandoli a ogni sessione di gioco”. gr/AGIMEG
