Noul Regulament privind protectia datelor personale ("GDPR" sau "Noul Regulament") a intrat in vigoare pe data de 24 mai 2016, insa aplicarea acestuia a fost suspendata pentru o perioada de 2 ani, pentru a permite procesatorilor de date cu caracter personal sa isi alinieze activitatea la noile standarde. Modificarile avute in vedere sunt substantiale si ambitioase, avand implicatii deosebite in special pentru sectorul online, care ofera servicii B2C. Incepand cu 25 mai 2018, noile reglementari privind protectia datelor vor avea aplicabilitate directa in toate statele membre SEE, iar sanctiunile prevazute in caz de nerespectare a acestora reclama o atentie sporita din partea agentilor economici.
Inainte de a prezenta implicatiile pentru sectorul de gambling din Romania, trebuie sa mentionam ca datele cu caracter personal reprezinta mai mult decat simple elemente de identificare (nume, prenume, numar de identificare, user, date de localizare, adrese IP sau MAC). Ele sunt definite drept "orice informatii privind o persoana fizica identificata sau identificabila", adica inclusiv comportamentul si istoria jucatorului in cadrul platformei, preferintele de joc, situatia financiara a jucatorului sau alte elemente care, impreuna sau separat, pot duce la identificarea persoanei fizice respective. Noul Regulament impune noi standarde in modul de colectare, de stocare, de dezvaluire si de circulatie a acestor date.
Prelucrarea datelor cu caracter personal reprezinta o componenta importanta a modului in care serviciile de jocuri de noroc online sunt oferite jucatorilor, datele acestora fiind procesate atat la deschiderea contului de joc, cat si pe tot parcursul activitatii pe care acestia o desfasoara pe platforma de joc. Comportamentul jucatorilor in cadrul platformei este deseori monitorizat, in vederea imbunatatirii serviciilor oferite, datele cu caracter personal capatand o valoare tot mai mare pentru operatori.
Implicatiile GDPR sunt complexe si pot varia semnificativ de la operator la operator, in functie de datele colectate si monitorizate, arhitectura actuala a sistemelor de automatizare a procesarii datelor cu caracter personal sau relatiile B2B cu alti furnizori de servicii specializate pentru piata jocurilor de noroc online care actioneaza in calitate de procesatori de date pentru operator (valabil pentru cei care externalizeaza serviciile de risk management, player profiling sau transfer al unor baze de date privind activitatea jucatorului in cadrul unor platforme independente de cea a operatorului, precum in cazul implementarilor SaaS in care prestatorul de servicii ofera inclusiv hosting si gazduirea datelor procesate).
Din ratiuni de spatiu, vom prezenta succint doar 4 dintre cele mai importante modificari cu implicatii semnificative pentru operatori de jocuri de noroc online din Romania.
1. Dreptul la portabilitatea datelor
Conform GDPR, jucatorii vor avea dreptul de a primi datele cu caracter personal care ii privesc si pe care le-au furnizat operatorului (adica inclusiv istoricul de joc, situatia financiara sau alte date care sunt in mod frecvent monitorizate de catre operator) intr-un format structurat, utilizat in mod curent si care poate fi citit automat. De asemenea, jucatorul va avea dreptul de a transmite aceste date altui operator, fara obstacole (tehnice sau financiare) din partea operatorului caruia i-au fost furnizate initial datele cu caracter personal.
Pe langa costurile semnificative pe care operatorii vor trebui sa le suporte pentru a implementa o solutie tehnica conforma GDPR, acest drept ar putea prezenta deopotriva un risc ori un avantaj comercial, dupa caz. Astfel, operatorii noi vor putea atrage jucatori de pe alte platforme, convingandu-i sa isi exercite dreptul la portabilitatea datelor prin oferirea unor pachete de bonusare atractive, similar fenomenului aparut dupa implementarea portabilitatii numerelor de telefonie mobila. In acelasi timp, operatorii consacrati vor fi nevoiti sa acorde o atentie sporita fidelizarii jucatorilor inregistrati pe platformele de joc.
2. Obtinerea consimtamantului jucatorului
Noul Regulament impune noi standarde in ceea ce priveste obtinerea consimtamantului jucatorului cu privire la procesarea datelor personale ale acestuia. Pana in prezent, informarea privind procesarea datelor cu caracter personal era prevazuta in Termenii si Conditiile acceptate global de jucator la crearea unui cont nou. Conform GDPR, consimtamantul obtinut va trebui sa constea "intr-o manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate". In cazul in care consimtamantul jucatorului este dat in contextul unei declaratii scrise, care se refera si la alte aspect (i.e. T&Cs), cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu. O varianta de implementare ar putea fi un checkbox suplimentar la deschiderea contului de joc prin care jucatorul accepta politica de procesare a datelor, separat de ceilalti termeni generali acceptati. De asemenea, operatorul va trebui sa ofere jucatorilor posibilitatea de a retrage acest consimtamant in orice moment. Nerespectarea acestor reguli va invalida consimtamantul jucatorului, operatorul riscand amenzi semnificative.
3. Sanctiuni
GDPR aduce modificari semnificative si in ceea ce priveste latura de preventie si sanctionare a activitatilor neconforme cu noile standarde de protectie a datelor personale. Autoritatile de reglementare (in Romania - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP) vor putea aplica sanctiuni de pana la 20.000.000 Euro sau pana la 4% din cifra de afaceri globala a grupului din care face parte operatorul, luandu-se in calcul cea mai mare valoare.
Avand in vedere nivelul extrem de ridicat al posibilelor sanctiuni, operatorii de jocuri de noroc vor trebui sa depuna toate eforturile necesare pentru a-si asigura nivelul de conformitate in acord cu noile prevederi GDPR.
4. Desemnarea unei persoane responsabile cu protectia datelor
Toti operatorii de date cu caracter personale ale caror activitati principale "constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga" vor trebui sa desemneze un responsabil cu protectia datelor ("DPO"). Este evident ca operatorii de jocuri de noroc online indeplinesc acest criteriu, monitorizarea pe scara larga a jucatorilor fiind o componenta de baza a industriei.
Functia de DPO va fi una importanta in cadrul activitatii operatorului, responsabilul fiind cel care va monitoriza buna implementare a standardelor GDPR si activitatea de procesare a operatorului in vederea identificarii riscurilor sau a incalcarilor. Operatorul va trebui sa puna la dispozitia DPO resursele necesare pentru executarea acestor sarcini, accesarea datelor cu caracter personal si a operatiunilor de prelucrare, precum si pentru mentinerea cunostintelor sale de specialitate.
Trebuie mentionat faptul ca GDPR permite operatorilor de date personale sa externalizeze aceste servicii catre terti specializati, fiind posibila contractarea serviciilor unor avocati sau specialisti in securitatea si protectia datelor. De asemenea, operatorii internationali au posibilitatea de a desemna un singur DPO la nivelul grupului de societati din care fac parte.
Un articol semnat de Cristian Radu, Partener alTuca Zbarcea & Asociatii(cristian.radu@tuca.ro) si Gabriel Ianculescu, Avocat alTuca Zbarcea & Asociatii
