Informativa sulla privacy di Sisal

In vigore da: Dicembre 2024

1. Termini e loro significato

Per agevolare la comprensione dei termini utilizzati nel presente documento, si forniscono le seguenti definizioni:

  • Dati Personali: Qualsiasi informazione che, singolarmente o in combinazione con altri dati, consenta l’identificazione di una persona fisica. Esempi includono: nome, indirizzo, recapiti, identificativi come il codice fiscale, numeri di conto bancario, registri delle transazioni, attività di gioco, cronologia degli accessi all’account e informazioni analoghe.
  • Titolare del Trattamento: Sisal assume il ruolo di Titolare del Trattamento, ovvero il soggetto che determina le finalità e i mezzi del trattamento dei dati personali.
  • Responsabile del Trattamento: Qualsiasi soggetto esterno — persona fisica o giuridica — che tratta dati personali per conto di Sisal, sulla base di istruzioni specifiche.
  • Interessato (Soggetto dei Dati): Le persone fisiche i cui dati vengono trattati, come clienti o potenziali clienti che utilizzano i servizi Sisal, compresi eventuali rappresentanti o delegati.
  • DPO (Data Protection Officer – Responsabile della Protezione dei Dati): Figura interna nominata in conformità al GDPR, incaricata di monitorare il rispetto della normativa, fornire consulenza, mantenere i rapporti con le autorità di controllo e fungere da punto di contatto per gli interessati.
  • Identità Digitale (SPID): Sistema di autenticazione sicura che utilizza credenziali personali per consentire l’accesso all’account e la verifica dell’identità sulle piattaforme.

2. Canali di Raccolta dei Dati Personali

La raccolta dei dati degli utenti può avvenire attraverso diversi canali legittimi:

  • Direttamente dagli individui: ad esempio, durante la registrazione di un conto gioco sul sito web, contatti con i servizi di assistenza o la fornitura di dati presso punti vendita fisici.
  • Tramite rappresentanti autorizzati: come il personale dei punti vendita o operatori dei call center che raccolgono dati per conto dell’azienda.
  • Attraverso banche dati ufficiali e registri pubblici: ad esempio, fornitori di identità digitale come Poste Italiane o Aruba PEC che condividono dati in caso di registrazione e accesso tramite SPID.
  • All’interno della struttura aziendale: i dati possono essere ottenuti da altre entità dello stesso gruppo societario per garantire l’integrità delle attività di gioco e prevenire frodi.
  • Piattaforme online e applicazioni: informazioni raccolte tramite l’uso dei portali digitali, inclusi sito web e app mobile.

In ogni caso, la raccolta avviene nel pieno rispetto delle normative vigenti e dei diritti alla privacy degli interessati.

3. Finalità e Basi Giuridiche del Trattamento

Il trattamento dei dati personali ha scopi legittimi e ben definiti:

  • Adempimento di obblighi contrattuali e precontrattuali: i dati sono trattati per attivare e gestire conti gioco, partecipare a programmi fedeltà, gestire vincite e fornire assistenza. Include anche la verifica dell’identità e le operazioni di pagamento. La base giuridica è l’esecuzione del contratto con l’interessato.
  • Conformità normativa e interesse pubblico: è necessario trattare alcuni dati per rispettare normative quali la normativa antiriciclaggio e obblighi imposti da autorità come l’Agenzia Dogane e Monopoli. Tali trattamenti supportano anche pratiche di gioco responsabile e il monitoraggio degli utenti per prevenire dipendenze. La base giuridica è l’obbligo di legge.
  • Servizi di marketing e informazione: previa esplicita autorizzazione, è possibile utilizzare i dati per comunicazioni promozionali, offerte e aggiornamenti personalizzati via email o SMS, nel rispetto delle preferenze degli utenti. La base legale è il consenso.
  • Creazione di profili comportamentali (profilazione): con il consenso dell’utente, i dati sono analizzati per individuare preferenze e abitudini al fine di offrire contenuti personalizzati, includendo anche risposte a sondaggi di mercato e dati storici.
  • Interesse legittimo: in alcuni casi, il trattamento si basa sull’interesse legittimo dell’azienda o di terzi per analizzare dati di performance, prevenire abusi, identificare inefficienze, e gestire controversie legali o commerciali, sempre nel rispetto della proporzionalità e dei diritti degli interessati.

4. Categorie di Dati Personali Trattati

L’azienda si occupa del trattamento di diverse tipologie di dati personali per adempiere a obblighi contrattuali, normativi e operativi. Le categorie di informazioni gestite includono, senza limitarsi a:

  • Dati identificativi e anagrafici: comprendono dati come nome e cognome, data e luogo di nascita, indirizzo di residenza, nazionalità e dettagli dei documenti di identificazione forniti durante la registrazione o le fasi di verifica.
  • Dati di contatto e comunicazione: numeri di telefono, indirizzi email e ogni corrispondenza scambiata tra l’utente e il servizio clienti, sia tramite email, telefono, chat o altri canali di comunicazione.
  • Dati finanziari e di pagamento: per la gestione degli account e il monitoraggio delle transazioni vengono trattati dati quali coordinate bancarie (ad esempio IBAN), metodi di pagamento, storici delle transazioni, prelievi, depositi e relativi registri finanziari.
  • Informazioni sulle attività di gioco: vengono monitorati dati come accessi all’account, durata delle sessioni, modelli di scommessa, preferenze di gioco, esiti di vincite/perdite e partecipazione a programmi fedeltà o promozionali.
  • Dati comportamentali e tecnici: per prevenire frodi, migliorare i servizi e promuovere il gioco responsabile, possono essere raccolti indicatori comportamentali (frequenza e variazioni nel gioco), dati tecnici dai dispositivi utilizzati (indirizzi IP, tipo di browser, tracce digitali) e log di utilizzo delle piattaforme.
  • Dati sensibili e biometrici: pur non essendo raccolti attivamente dati sensibili come origine etnica, credo religioso o orientamento sessuale, in casi particolari si può procedere al trattamento incidentale, ad esempio per la verifica biometrica a tutela della sicurezza dell’identità e per evitare impersonificazioni. Tali dati sono gestiti con rigore e solo se strettamente necessari, nel rispetto delle norme vigenti.

In generale, non vengono richiesti né accettati dati sensibili se non nei casi previsti dalla legge o per controlli specifici relativi al comportamento di gioco o alla sostenibilità finanziaria dell’utente. Anche in tali situazioni, i dati sono trattati in forma aggregata o anonimizzata ove possibile.

5. Tecniche e Sistemi Utilizzati per il Trattamento dei Dati

Sisal utilizza una varietà di metodi di trattamento dei dati che combinano tecniche manuali e automatizzate per gestire in modo sicuro ed efficiente le informazioni personali degli utenti. Questi processi sono regolati da controlli tecnici e organizzativi volti a garantire i principi di riservatezza, integrità e disponibilità.

  • Trattamento Manuale: Include le attività svolte da personale qualificato che accede, analizza o aggiorna i dati degli utenti in condizioni di sicurezza. Il personale autorizzato al trattamento dei dati personali è soggetto a rigorosi accordi di riservatezza e riceve formazione continua in materia di conformità alla protezione dei dati.
  • Trattamento Automatizzato: Sisal utilizza sistemi basati su algoritmi per eseguire compiti ripetitivi o analisi su larga scala, inclusi classificazione del rischio, controlli di identità, rilevamento di anomalie e funzioni decisionali. Questi sistemi sono calibrati secondo standard internazionalmente accettati e sono monitorati costantemente per mantenere precisione ed efficacia.
  • Misure di Sicurezza: Sono in atto misure protettive per prevenire eventi come violazioni dei dati, accessi non autorizzati, furto di identità o uso improprio delle informazioni. Esempi includono crittografia dei dati, pseudonimizzazione, autenticazione a più fattori per l’accesso agli account e diritti di accesso controllati in base ai ruoli del personale.
  • Strumenti di Profilazione e Decision Making: Alcune decisioni possono essere influenzate da meccanismi di profilazione che categorizzano gli utenti in base alla loro storia di interazioni, comportamento di pagamento o uso del gioco. Ad esempio, Sisal può implementare la profilazione per anticipare problemi di gioco o per personalizzare i servizi secondo le abitudini degli utenti. Nel caso in cui tali profilazioni comportino decisioni con conseguenze legali o similmente significative, gli utenti hanno il diritto di richiedere un intervento umano, esprimere il proprio punto di vista e contestare i risultati.
  • Identificazione Biometrica e Verifica Documentale: Sisal utilizza tecnologie biometriche, tra cui il riconoscimento facciale o il matching delle impronte digitali, quando vengono rilevate anomalie o quando richiesto dai protocolli antiriciclaggio. Inoltre, i documenti di identità sono verificati tramite sistemi in grado di identificare manomissioni, scadenze e altre incongruenze.
  • Analisi dell’Impronta Digitale: Sisal analizza i metadati e i comportamenti specifici dei dispositivi per convalidare la legittimità della creazione degli account e monitorare potenziali minacce. Ciò include la valutazione della geolocalizzazione, degli orari di accesso e delle caratteristiche tecnologiche per determinare l’affidabilità dell’utente e prevenire frodi.

Questi sistemi e protocolli operano secondo il principio di minimizzazione dei dati, ovvero che vengono raccolti e conservati solo i dati necessari per ciascuna finalità specifica. I soggetti interessati sono informati sulla logica utilizzata nel processo decisionale automatizzato, quando applicabile, nonché sulle possibili conseguenze di tale trattamento.

6. Divulgazione dei Dati e Trasferimenti Internazionali di Dati

Sisal mantiene un quadro strutturato per la condivisione dei dati personali con soggetti interni ed esterni, assicurando il pieno rispetto delle normative sulla privacy e degli interessi legittimi delle parti coinvolte. La diffusione delle informazioni personali è regolata da protocolli rigorosi che definiscono le categorie di destinatari, le circostanze in cui avvengono le divulgazioni e le garanzie legali applicabili.

  • Processori e Partner Terzi: Sisal può fornire accesso ai dati personali a soggetti terzi che svolgono servizi per suo conto. Questi possono includere fornitori di infrastrutture IT, piattaforme di pagamento, strumenti di monitoraggio delle frodi, società di ricerche di mercato e servizi di gestione delle relazioni con i clienti. Ogni terza parte opera sotto vincoli contrattuali che prevedono il trattamento dei dati in modo confidenziale, sicuro e conforme.
  • Società Affiliate del Gruppo Aziendale: I dati possono essere condivisi con altre entità affiliate a Sisal, incluse la capogruppo e le società collegate, per finalità quali iniziative antifrode, business intelligence o integrazione di servizi cross-platform. Tali trasferimenti di dati seguono procedure di governance interne e mantengono livelli di protezione coerenti.
  • Autorità di Vigilanza e Regolatorie: Sisal è tenuta a condividere i dati degli utenti con enti governativi, autorità giudiziarie e agenzie regolatorie quando previsto dalla legge o necessario per conformarsi a specifiche normative o indagini. Esempi includono divulgazioni a organismi di controllo finanziario, autorità di gioco o enti fiscali.
  • Co-Responsabili per i Contenuti in Streaming: Nei casi in cui gli utenti accedano a contenuti in streaming tramite le piattaforme Sisal, dati quali indirizzi IP e ID account utente possono essere trattati congiuntamente con i fornitori di contenuti (es. Sportradar AG). Questa responsabilità condivisa garantisce la funzionalità, l’applicazione di restrizioni geografiche e l’ottimizzazione del servizio, in conformità con accordi di co-responsabilità definiti.
  • Personale Autorizzato all’interno di Sisal: Internamente, solo i dipendenti o agenti debitamente formati e autorizzati possono accedere ai dati personali, esclusivamente per compiti pertinenti alle loro responsabilità. I permessi di accesso sono specifici per ruolo e soggetti a controlli periodici.
  • Pubblicazione per Trasparenza nel Gioco: In specifici casi, come la visualizzazione delle classifiche, i risultati di tornei o concorsi pubblicamente consultabili, il nickname, username o un’identità abbreviata dell’utente può essere mostrata sulle piattaforme digitali di Sisal. Questi casi si verificano quando la partecipazione all’evento implica il consenso a una limitata visibilità pubblica.

Scenari di Pubblicazione dei Dati

Sisal non diffonde pubblicamente i dati personali degli utenti senza una giustificazione legale o il consenso espresso. Le eccezioni includono:

  • Visualizzazione degli alias dei vincitori nelle classifiche online per trasparenza in competizioni di gioco.
  • Pubblicazione degli username dei vincitori di Bingo con i numeri delle carte vincenti per almeno 30 giorni, come previsto dalla legge italiana.
  • Visibilità dei contenuti generati dagli utenti (es. suggerimenti di scommesse, scommesse condivise) nelle community online di Sisal quando gli utenti vi contribuiscono volontariamente.

In ogni caso, Sisal esercita moderazione e aderisce ai principi di necessità e proporzionalità.

Gestione delle Vincite e Annunci ai Media

Se un utente vince un premio rilevante, i dettagli della vincita possono essere comunicati ai media per scopi promozionali e informativi. Tuttavia, tali comunicazioni sono progettate per preservare l’anonimato del vincitore salvo che l’interessato abbia espressamente autorizzato la divulgazione dei dati identificativi. Internamente, i dati delle vincite sono accessibili solo al personale autorizzato responsabile della gestione dei pagamenti e possono essere condivisi esternamente con punti pagamento designati e istituti finanziari sotto accordi di riservatezza.

Uso Commerciale dei Dati Personali

Sisal si impegna fermamente a non vendere mai le informazioni personali degli utenti a terzi, inclusi inserzionisti o operatori di marketing. L’utilizzo dei dati è limitato alla fornitura del servizio, al rispetto normativo o al miglioramento del rapporto con l’utente sulla base di finalità legittime o consenso esplicito.

Trasferimenti Internazionali Fuori dall’UE

Sisal può trasferire dati degli utenti a organizzazioni o processori situati al di fuori dello Spazio Economico Europeo (SEE). In tali casi, la società garantisce che vengano mantenuti gli stessi elevati standard di protezione dati tramite:

  • Decisioni di Adeguatezza: riconoscimento di paesi ufficialmente approvati dalla Commissione Europea come aventi leggi di protezione dati adeguate.
  • Clausole Contrattuali Standard (SCC): utilizzo di quadri contrattuali pre-approvati dall’UE per assicurare un trattamento appropriato dei dati.
  • Regole Aziendali Vincolanti (BCR): implementazione di politiche interne per gruppi multinazionali che garantiscono la protezione dei dati in tutte le sedi.

7. Politica di Conservazione dei Dati

L’azienda applica una strategia strutturata di conservazione dei dati progettata per rispettare obblighi legali, necessità operative e i principi di minimizzazione e limitazione delle finalità. I periodi di conservazione dei dati degli utenti sono definiti in base alla natura dei dati e al contesto del loro trattamento.

Obblighi Contrattuali e Pre-Contrattuali: Per le persone che iniziano la registrazione del conto presso un punto vendita ma non completano la procedura online, i dati forniti nella fase preliminare vengono conservati fino a 90 giorni. Se la registrazione è avviata online e abbandonata prima del completamento, non vengono memorizzate le informazioni inserite, fatta eccezione per l’indirizzo email, usato esclusivamente per un promemoria una tantum. Una volta completata la registrazione e aperto un conto, tutti i dati personali associati sono conservati per tutta la durata del rapporto contrattuale e per ulteriori 10 anni dalla chiusura del conto, in conformità ai termini legali e fiscali.

Requisiti Regolatori e Normativi: Per adempiere a normative come quelle antiriciclaggio e le licenze di gioco, alcuni dati sono soggetti a periodi di conservazione più lunghi:

  • I dati necessari per la conformità AML sono conservati per almeno 10 anni dalla chiusura del conto.
  • I dati comportamentali raccolti per il monitoraggio del gioco responsabile sono mantenuti fino a un massimo di 24 mesi o fino alla chiusura del conto, a seconda del caso.
  • Gli identificatori biometrici usati per la prevenzione delle frodi non sono conservati oltre la fase di elaborazione immediata e vengono eliminati in modo sicuro.
  • Le informazioni ottenute dall’analisi dell’impronta digitale, utilizzate per rilevare frodi durante l’onboarding, sono conservate solo per 7 giorni, mentre i risultati delle valutazioni di rischio basate su questi dati vengono mantenuti fino a 10 anni dopo la chiusura del conto.

Preferenze di Marketing e Comunicazione: Se l’utente acconsente a ricevere comunicazioni promozionali o informazioni su nuovi servizi, i dati di contatto rilevanti vengono conservati fino alla revoca del consenso o alla disattivazione del conto. Il ritiro del consenso può essere effettuato in qualsiasi momento senza influire sulla liceità del trattamento precedente.

Dati di Profilazione per Personalizzazione: Le informazioni raccolte per finalità di profilazione, come abitudini, preferenze e risposte a sondaggi di marketing, sono conservate per un massimo di 24 mesi dalla raccolta. In caso di ritiro del consenso o chiusura del conto, i dati vengono anonimizzati o cancellati tempestivamente.

Dati Trattati per Interessi Legittimi: Per scopi quali il miglioramento del servizio, la prevenzione delle frodi, la continuità aziendale e la difesa legale, i dati possono essere conservati finché persiste l’interesse legittimo, ma comunque non oltre 10 anni dalla chiusura del conto.

Anonimizzazione e Cancellazione: Al termine del periodo di conservazione, i dati personali vengono resi irreversibilmente anonimi o completamente cancellati dai sistemi. Queste operazioni sono documentate e sottoposte a verifiche interne di conformità per garantire il rispetto delle normative vigenti.

Questo piano di conservazione supporta il quadro generale di protezione dei dati dell’azienda e rispetta gli obblighi di responsabilità previsti dal GDPR.

8. Diritti degli Interessati ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR)

In conformità agli Articoli 15-22 del Regolamento Generale sulla Protezione dei Dati (UE) 2016/679, Sisal riconosce e garantisce i diritti delle persone i cui dati personali sono trattati. Questi diritti permettono agli utenti di mantenere il controllo sui propri dati personali e di richiedere trasparenza, rettifica, limitazione o cancellazione, quando applicabile.

Diritto di Accesso: Gli interessati hanno il diritto di ottenere conferma se i propri dati personali sono oggetto di trattamento e, in tal caso, di accedere a tali dati e alle seguenti informazioni:

  • Le finalità specifiche del trattamento.
  • Le categorie di dati personali coinvolti.
  • I destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati.
  • Il periodo di conservazione previsto o i criteri per determinarlo.
  • L’esistenza del diritto di rettifica, cancellazione, limitazione del trattamento o opposizione.
  • Il diritto di proporre reclamo all’autorità di controllo.
  • Quando i dati non sono raccolti direttamente, qualsiasi informazione disponibile sulla loro origine.
  • La presenza di processi decisionali automatizzati, compresa la profilazione, e informazioni significative sulla logica applicata.

Diritto di Rettifica: Gli interessati possono richiedere la correzione di dati inesatti o obsoleti e il completamento di dati incompleti.

Diritto alla Cancellazione (Diritto all’Oblio): In determinate condizioni, come quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti, il consenso è stato revocato o il trattamento è illecito, gli utenti possono chiedere la cancellazione permanente delle proprie informazioni personali. Sisal può rifiutare tali richieste se la conservazione è obbligatoria per legge.

Diritto di Limitazione del Trattamento: Gli interessati possono chiedere la limitazione del trattamento se:

  • Contestano l’esattezza dei dati.
  • Ritengono il trattamento illecito e si oppongono alla cancellazione.
  • Necessitano dei dati per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria, anche se Sisal non li necessita più.
  • Hanno sollevato opposizione e si attende la verifica dei motivi legittimi.

Diritto alla Portabilità dei Dati: Gli utenti possono ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e hanno il diritto di trasmetterli a un altro titolare del trattamento. Questo riguarda i dati:

  • Forniti dall’utente.
  • Trattati sulla base del consenso o di un contratto.
  • Trattati con mezzi automatizzati.

Diritto di Opposizione: Gli interessati possono opporsi al trattamento basato su interessi legittimi, in particolare in caso di marketing diretto o profilazione. Sisal cesserà il trattamento a meno che non dimostri motivi legittimi prevalenti o che il trattamento sia necessario per far valere, esercitare o difendere un diritto legale.

Diritto a Non Essere Soggetti a Decisioni Automatizzate: Gli utenti hanno il diritto di non essere soggetti a decisioni basate esclusivamente su un trattamento automatizzato, inclusa la profilazione, con effetti giuridici o rilevanti. Possono richiedere un intervento umano, esprimere la propria opinione e contestare la decisione.

Diritto di Revoca del Consenso: Qualora il trattamento si basi sul consenso, l’utente può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento svolto prima della revoca.

Diritto di Proporre Reclamo: Se gli utenti ritengono che i propri diritti siano stati violati, possono presentare un reclamo all’autorità per la protezione dei dati personali del proprio paese di residenza, lavoro o luogo della violazione. In Italia, tale autorità è il Garante per la Protezione dei Dati Personali.

9. Requisiti per la Fornitura dei Dati

La fornitura dei dati personali a Sisal è classificata in base alla loro necessità legale e allo scopo del trattamento. Alcuni dati sono obbligatori per adempiere agli obblighi contrattuali e normativi, mentre altri sono forniti volontariamente e dipendono dalla discrezione dell’utente.

  • Dati Obbligatori per l’Esecuzione Contrattuale: Per aprire e gestire un conto di gioco, l’utente deve fornire una serie di dati personali. Questi includono informazioni per la verifica dell’identità, dati di contatto e credenziali finanziarie. Senza tali dati, Sisal non potrà adempiere ai propri obblighi contrattuali né consentire l’accesso ai servizi. Il trattamento di queste informazioni è essenziale per funzioni quali la registrazione del conto, i trasferimenti di fondi, la partecipazione ai giochi e l’assistenza clienti.
  • Dati Obbligatori per Conformità Legale: In osservanza degli obblighi di legge, come le norme antiriciclaggio, le disposizioni sul gioco responsabile e le direttive delle autorità di vigilanza, è necessario raccogliere e trattare determinati dati. Ciò comprende procedure sensibili di verifica dell’identità, il monitoraggio delle transazioni e l’analisi del comportamento di gioco responsabile. Il rifiuto di fornire tali dati renderebbe impossibile, dal punto di vista legale, l’accesso o la permanenza dell’utente ai servizi di gioco.
  • Dati Facoltativi per Uso Promozionale e Analitico: Per attività quali comunicazioni di marketing o profilazione, la fornitura dei dati è completamente volontaria. Gli utenti possono acconsentire a ricevere contenuti personalizzati, aggiornamenti su promozioni e analisi basate sul loro comportamento di gioco. Il rifiuto di fornire il consenso a tali trattamenti non influirà sull’accesso ai servizi principali, ma potrà limitare la personalizzazione dell’esperienza utente.
  • Revoca e Conseguenze: Gli utenti possono revocare in qualsiasi momento il consenso precedentemente fornito per i trattamenti facoltativi, come la profilazione o le comunicazioni promozionali, senza pregiudicare la liceità dei trattamenti effettuati durante il periodo di validità del consenso. Sisal garantisce la possibilità di modificare le preferenze tramite le impostazioni del conto o mediante richiesta scritta.
  • Diritto di Opposizione al Trattamento Basato su Interesse Legittimo: Quando Sisal si basa sul proprio interesse legittimo per trattare dati personali (ad esempio per l’ottimizzazione dei servizi o la prevenzione delle frodi), l’utente ha il diritto di opporsi. In tal caso, Sisal interromperà il trattamento salvo dimostrare motivi legittimi prevalenti o la necessità di tutelarsi in sede legale.

In definitiva, Sisal rispetta l’autonomia degli utenti garantendo al contempo la piena conformità alle normative vigenti. Tutte le richieste di dati obbligatori sono chiaramente indicate al momento della raccolta, e gli utenti sono informati delle conseguenze derivanti dal rifiuto di fornire dati facoltativi.