La Autoridad Nacional del Juego de Francia (ANJ) ha elaborado nuevas directrices en materia de protección de datos aplicables a los operadores de juegos de azar, en las que se describe cómo se aplican los principios del RGPD a los datos de los jugadores.
Esta guía, que consta de 59 páginas y ha sido elaborada en colaboración con la Comisión Nacional de Informática y Libertades Civiles, está dirigida a todos los operadores de juegos de azar legales en Francia.
Esto incluye apuestas en línea, carreras de caballos, operadores de póker, Française des Jeux (FDJ), PMU, casinos y clubes de juego.
Presentado como directrices más que como instrucciones, el documento pretende describir las obligaciones que han estado vigentes desde que el RGPD entró en vigor en 2018.
El artículo tiene en cuenta que los operadores de juegos de azar trabajan con una cantidad extremadamente grande de datos que pueden considerarse información sensible.
Los operadores de juegos de azar utilizan datos de identificación personal, información de contacto, datos relacionados con el pago, historial de juego, historial de transacciones, información sobre ofertas promocionales proporcionadas por el operador e incluso señales de juego responsable.
Uno de los mensajes clave de la guía actualizada se refiere a la rendición de cuentas.
Según sus autores, los operadores de juegos de azar deben nombrar un responsable de protección de datos, elaborar un mapa de sus operaciones de procesamiento de datos, desarrollar políticas de privacidad, registrar los procedimientos y realizar evaluaciones de impacto cuando sea necesario.
El documento ofrece un análisis detallado del marketing comercial. Para los clientes, el consentimiento se considera la base legal para la prospección comercial relacionada con los juegos de azar, independientemente del canal utilizado.
Esto incluye correo electrónico, SMS, teléfono, correo postal y llamadas automatizadas. Los operadores deben obtener el consentimiento por separado de los términos y condiciones generales de la cuenta.
Además, necesitan el consentimiento antes de enviar los datos de los jugadores a socios comerciales con fines de marketing, y dichos socios deben estar claramente identificados.
Las cookies, la elaboración de perfiles y las normas contra el blanqueo de capitales añaden capas adicionales de cumplimiento normativo.
La guía también aborda el tema de las cookies y tecnologías de seguimiento similares. Indica que, por lo general, se requiere el consentimiento antes de almacenar o leer información en el dispositivo del usuario.
Se exceptúan de esto las herramientas estrictamente necesarias, los rastreadores de autenticación y ciertas herramientas de medición de audiencia limitadas a estadísticas anónimas. Rechazar las cookies debe ser tan sencillo como aceptarlas.
El juego responsable recibe una sección importante. La guía señala que identificar a un jugador como excesivo o patológico puede equivaler al procesamiento de datos de salud, ya que dicha clasificación podría revelar una adicción conductual.
Los operadores pueden utilizar herramientas algorítmicas para evaluar el riesgo, pero cualquier medida restrictiva que afecte al acceso del jugador debe ser revisada por un ser humano.
El documento también indica que los operadores deben explicar claramente la elaboración de perfiles, incluyendo las clasificaciones de riesgo, los criterios utilizados y las posibles consecuencias para los jugadores.
En materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, la guía indica que el tratamiento de datos se basa generalmente en una obligación legal.
Los operadores pueden recabar documentos de identidad, información de pago, historial de transacciones y, cuando las alertas lo justifiquen, pruebas sobre el origen de los fondos. La CNIL indica que dichas solicitudes no deben ser sistemáticas ni indiscriminadas.
Los extractos bancarios y las copias de tarjetas no se consideran datos válidos para este fin.
Las normas de retención varían según la finalidad. Los datos de las cuentas de jugadores sujetos a la normativa francesa sobre juegos de azar se conservan generalmente durante seis años tras el cierre de la cuenta. Ciertos registros relacionados con la lucha contra el blanqueo de capitales se conservan durante cinco años.
Por último, la guía también establece que los derechos de acceso de los jugadores están restringidos para el procesamiento de AML, mientras que los derechos de supresión, oposición y portabilidad no se aplican cuando el procesamiento es requerido por ley.
