privacy

Videolotteries e minori: le novità 2020 su tessera sanitaria e trattamento dati

Dal primo gennaio 2020, le videolotteries potranno attivarsi solo attraverso la lettura della tessera sanitaria. La norma nasce per impedire il gioco ai minori ma alcuni profili critici relativi al trattamento dei dati hanno reso necessario un parere del Garante privacy

23 Gen 2020
Luca Giacobbe

Avvocato


Dal primo gennaio 2020 tutti i giocatori italiani appassionati di videolottery non devono dimenticare di portare con sé la tessera sanitaria: analogamente a quanto già accade da anni per i distributori automatici di sigarette, le videolotteries (note anche come VLT o per gli addetti ai lavori apparecchi con vincita in denaro di cui all’art. 110 comma 6 lett. b) del RD 773/1931 c.d. TULPS) potranno infatti attivarsi solo attraverso la lettura della tessera sanitaria.

Il settore del gioco lecito ha visto debuttare questa importante novità con il nuovo anno su cui alcuni profili critici relativi al trattamento dei dati della tessera sanitaria hanno reso necessario nel luglio scorso un parere dell’Autorità Garante per la Protezione dei Dati.

Ma andiamo con ordine.

Decreto dignità e prima bozza di decreto direttoriale dell’agenzia delle dogane e monopoli

L’art. 9 quater del decreto legge 12 luglio 2018, n.87, convertito con modificazioni dalla legge 9 agosto 2018, n. 96 (per semplicità “Decreto Dignità”) stabilisce espressamente che L’accesso agli apparecchi di intrattenimento di cui all’articolo 110, comma 6 lettere a) e b), del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, è consentito esclusivamente mediante l’utilizzo della tessera sanitaria al fine di impedire l’accesso ai giochi da parte dei minori”.

La norma nasce con l’obiettivo del legislatore di impedire ai minori di poter giocare con le videolotteries benché il divieto di gioco dei minori sia stato negli anni già presidiato da severe sanzioni amministrative che prevedono per i trasgressori oltre a una pena pecuniaria anche la chiusura temporanea dell’esercizio commerciale.

Per dare attuazione alla norma primaria, l’Agenzia delle Dogane e dei Monopoli (“ADM”) ha predisposto una prima bozza di Decreto Direttoriale (“Decreto Direttoriale”) denominata Decreto di modifica della Determinazione del Vicedirettore dell’agenzia Area Monopoli del 4 aprile 2017, Prot. n. 37100/RU – requisiti tecnici e di funzionamento degli apparecchi e congegni da divertimento ed intrattenimento di cui al comma 6, lett. b), dell’art. 110 del Testo unico delle leggi di Pubblica sicurezza (T.U.L.P.S.)”.

In altre parole, l’ente regolatore è dovuto intervenire sulle regole di funzionamento dei sistemi di gioco dettando nuove prescrizioni finalizzate all’aggiornamento dei sistemi da parte dei produttori e delle società concessionarie affinché ogni videolottery potesse dotarsi entro il 1° gennaio del lettore della tessera sanitaria.

L’art. 3 di questa bozza di Decreto Direttoriale ADM modificava l’art. 7 della Determinazione del Vicedirettore dell’agenzia Area Monopoli del 4 aprile 2017, Prot. n. 37100/RU (“Determinazione”), ha inserito la lettera f), prevedendo che ogni apparecchio videoterminale avrebbe dovuto “essere dotato di un dispositivo di lettura bidirezionale della banda magnetica della tessera sanitaria per l’accertamento della maggiore età del giocatore con le seguenti modalità:

  • estrarre il codice fiscale e l’identificativo della tessera sanitaria, inserita nell’apposito dispositivo di lettura, memorizzati nelle prime due tracce della banda magnetica della tessera stessa avendo cura di non memorizzare le informazioni estratte;
  • verificare la correttezza formale del codice fiscale e dell’identificativo della tessera;
  • verificare la maggiore età del giocatore, attraverso la differenza tra la data corrente e quella estratta dal codice fiscale della tessera sanitaria”;

Prima bozza del decreto e obbligo di memorizzare i dati della tessera sanitaria

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Analizzando la bozza di Decreto emergeva che l’art. 2, modificando l’art. 3, comma 1 della Determinazione e inserendovi la lettera p), introduceva l’ulteriore obbligo di memorizzare sul sistema centrale del concessionario: “il valore relativo al message digest del codice fiscale presente nella tessera sanitaria, calcolato con l’algoritmo di hash SHA-1”.

Questa previsione, nella pratica, obbligava i produttori ad aggiornare il sistema di gioco delle videolotteries affinché lo stesso memorizzasse e conservasse nei propri sistemi informatici il codice fiscale di ogni giocatore (quindi un dato personale) per ogni sessione di gioco.

A ben vedere, le perplessità rispetto alla proporzionalità di questo trattamento dei dati nascevano dal fatto che la ratio normativa dell’art 9-quater del Decreto Dignità era esclusivamente quella di evitare l’accesso agli apparecchi di gioco AWP e VLT da parte di minori, mentre le modalità di raccolta e di memorizzazione dei dati imposte dalla bozza di Decreto Direttoriale senza alcun dubbio determinavano che l’apparecchio avrebbero rilevato non solo la data di nascita del giocatore, ma l’intero codice fiscale, con identificazione personale univoca del giocatore stesso.

Il parere del Garante e la modifica del decreto direttoriale

La bozza di Decreto nella sua iniziale stesura ha destato non poche perplessità con particolare riferimento al rischio di una possibile “schedatura dei giocatori” derivata dalle operazioni di conservazione e memorizzazione dei dati della tessera sanitaria per ciascuna sessione di gioco.

A tal proposito, è stata la stessa Amministrazione a rendersi parte diligente e richiedere il 5.07.2019 un parere all’Autorità Garante sulla prima bozza di Decreto.

Anche i concessionari sono intervenuti con proprie memorie nell’interlocuzione con gli uffici del Garante segnalando come la raccolta di dati imposta dalla bozza iniziale di Decreto Direttoriale fosse eccedente rispetto alle finalità di prevenzione imposta dal Decreto Dignità (violando il principio di minimizzazione imposto dall’art. 5, par. 1, lett. c) GDPR) e che la conservazione del dato relativo al codice fiscale del giocatore, abbinata all’eventuale identificazione dello stesso in occasione di una vincita da riscuotere (secondo quanto previsto dal D.LGS. 231/2007), avrebbe potuto esporre il giocatore stesso al rischio di una profilazione auspicando quindi una modifica sostanziale dell’art. 2.

La condivisione dei profili critici presenti nella prima bozza di Decreto ha portato ad una fruttuosa interlocuzione tra le parti che ha visto l’Agenzia delle Dogane proporre una seconda versione del Decreto Direttoriale su cui si è espressa positivamente l’Autorità Garante con il parere n. 151 del 24.07.2019.

In estrema sintesi, il testo della seconda versione del Decreto Direttoriale pubblicato ufficialmente sul sito istituzionale dell’Agenzia il 31.07.2019 e quindi oggi vigente appare rispettoso del parere espresso dal Garante avendo escluso espressamente la conservazione e memorizzazione da parte dei sistemi gioco dei dati presenti sulla tessera sanitaria.

Il parere del Garante ha ritenuto coerente il testo con i principi di minimizzazione e di privacy by design e by default prevedendo che:

  • le modalità di accertamento della maggiore età avvengano mediante l’estrazione delle informazioni registrate nelle prime due tracce della banda magnetica della tessera sanitaria (codice fiscale ed identificativo della tessera) senza che le stesse siano memorizzate nelle banche dati del sistema di gioco VLT;
  • dopo aver constatato la correttezza formale del codice fiscale e dell’identificativo della tessera, la verifica della maggiore età del giocatore sia effettuata confrontando la data corrente con quella estratta dal codice fiscale della tessera sanitaria;
  • siano previsti meccanismi idonei ad impedire l’avvio di una sessione di gioco in tutti i casi in cui non sia accertata la maggiore età del giocatore tramite lettura della tessera sanitaria;
  • siano introdotte soluzioni tecniche in grado di visualizzare a video la presenza/assenza della tessera sanitaria nell’apposito dispositivo di lettura e l’esito della verifica della maggiore età del giocatore e che, al termine di ciascuna sessione di gioco, sia necessario procedere ad una nuova verifica della maggiore età del giocatore per consentire l’accesso al gioco.

Le preoccupazioni dei giocatori

La stampa di settore ha dato ampio risalto alle preoccupazioni dei giocatori raccolte dai gestori delle sale dove sono ubicate le videolottery legate all’utilizzo della tessera sanitaria. Tra i principali riscontri raccolti sul campo la maggiore preoccupazione riguarda una temuta memorizzazione dei dati della tessera sanitaria finalizzata ad una profilazione dei giocatori.

Sul punto, il parere espresso dal Garante e le previsioni del Decreto Direttoriale dell’Agenzia delle Dogane e Monopoli portano ad escludere ogni sorta di trattamento consistente nella conservazione o memorizzazione dei dati personali dei giocatori.

È indubbio che un trattamento dei dati sia pure residuale viene effettuato dai sistemi in quanto la verifica della maggiore età del giocatore da cui dipende l’attivazione dell’apparecchio è resa possibile con l’estrazione delle cifre del codice fiscale riportanti la data di nascita ma tale operazione non comporta secondo quanto riportano le informative fornite dai concessionari nessuna attività di memorizzazione o conservazione dei dati.

D’altra parte, qualsiasi operazione che possa comportare un trattamento che vada oltre l’estrazione temporanea del dato configurerebbe un trattamento illecito dei dati punito dall’art. 167 del novellato codice privacy.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 3