Inserisci una parola chiave per iniziare la ricerca
Ricerca in corso...
Immaginate un utente che, dopo anni di gioco online su una piattaforma concessionaria ADM, decide di interrompere ogni rapporto: chiude il conto, ottiene l'autoesclusione, e poi chiede alla società di cancellare tutti i suoi dati personali. La piattaforma risponde che non può farlo. Chi ha ragione?
La domanda non è retorica. È una delle questioni più concrete e meno esplorate del diritto digitale applicato al settore del gambling, e si trova oggi al crocevia di tre sistemi normativi distinti: il GDPR, la disciplina ADM sulle concessioni di gioco online, e la normativa antiriciclaggio. Un groviglio che riguarda migliaia di giocatori italiani — e che il recente ciclo di enforcement europeo ha reso urgente.
Il diritto alla cancellazione nel settore gambling: la cornice normativa
L'art. 17 del Regolamento UE 2016/679 (GDPR) garantisce all'interessato il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo. La norma, però, non è assoluta: prevede eccezioni precise, tra cui l'adempimento di un obbligo legale che richieda il trattamento ovvero la conservazione per finalità di accertamento, esercizio o difesa di un diritto in sede giudiziaria.
Ed è proprio su queste eccezioni che si gioca la partita nel gambling online. I gestori di piattaforme concessionarie ADM sono soggetti a un ventaglio di obblighi conservativi che derivano da fonti normative concorrenti: il D.Lgs. 231/2007 in materia di antiriciclaggio impone la conservazione di dati relativi alle operazioni finanziarie per un periodo di dieci anni; la disciplina fiscale esige la tracciabilità delle transazioni di gioco; le condizioni delle concessioni ADM prevedono obblighi di monitoraggio delle sessioni di gioco, delle vincite e delle perdite ai fini di audit e controllo.
Il punto critico — raramente segnalato — è che questi obblighi di conservazione non coincidono con una legittimazione indiscriminata a trattare qualsiasi categoria di dato per qualsiasi finalità. Un conto è conservare i dati delle transazioni finanziarie per dieci anni per esigenze antiriciclaggio. Un conto completamente diverso è continuare a utilizzare quei dati per profilazione commerciale, per inviare comunicazioni di marketing, per costruire profili comportamentali del giocatore da riutilizzare in futuro.
Questa distinzione è fondamentale e spesso ignorata dagli operatori. Il principio di limitazione della finalità sancito dall'art. 5, par. 1, lett. b) del GDPR impone che i dati raccolti per una finalità determinata non vengano poi riutilizzati per scopi incompatibili. L'obbligo legale di conservare i dati di gioco ai fini fiscali e antiriciclaggio non autorizza affatto il gestore a continuare a profilare l'ex giocatore a fini di marketing o a trasmetterne i dati a soggetti terzi.
L'attualità: il CEF 2025 sul diritto alla cancellazione e il nodo del gambling
Il contesto si è fatto più urgente nel corso del 2025. Il 5 marzo 2025, l'EDPB ha avviato il Coordinated Enforcement Framework (CEF) per l'anno in corso, spostando l'attenzione sull'attuazione del diritto alla cancellazione, ovvero il "diritto all'oblio" ai sensi dell'articolo 17 GDPR. Il comitato ha selezionato questo argomento in quanto è uno dei diritti GDPR esercitati più frequentemente e su cui le autorità di protezione dei dati ricevono più reclami; nel corso del 2025, 32 autorità di protezione dei dati in tutta Europa partecipano all'iniziativa.
Le precedenti edizioni del CEF avevano esaminato l'utilizzo dei servizi cloud nel settore pubblico (2022), il ruolo del Responsabile della protezione dei dati (2023) e il diritto di accesso (2024): l'edizione 2025 è dunque dedicata al diritto alla cancellazione, i cui risultati saranno pubblicati nei prossimi mesi.
Questo ciclo di enforcement ha una ricaduta diretta sul settore gambling. Le autorità di protezione dei dati contatteranno una serie di titolari del trattamento di diversi settori, avviando nuove indagini formali o svolgendo attività di accertamento; in particolare, controlleranno come i titolari gestiscono e rispondono alle richieste di cancellazione ricevute e come applicano le condizioni e le eccezioni per l'esercizio di questo diritto.
Gli operatori del gambling online — storicamente tra i titolari del trattamento che raccolgono le maggiori quantità di dati comportamentali per utente — sono tra i soggetti più esposti a questo tipo di scrutinio.
Sul piano della giurisprudenza nazionale, la Cassazione ha nel frattempo rafforzato il quadro processuale che governa il diritto all'oblio. L'ordinanza n. 34217/2025 si è confrontata con l'art. 64-ter disp. att. c.p.p., introdotto dalla riforma Cartabia, che riconosce alla persona definitivamente prosciolta o destinataria di archiviazione la facoltà di chiedere l'annotazione del provvedimento "ai sensi e nei limiti dell'art. 17 GDPR", al fine di precludere l'indicizzazione o ottenere la deindicizzazione dei dati personali. Il principio — la norma GDPR come strumento concreto di tutela della persona contro la permanenza digitale di dati non più necessari o proporzionati — vale anche fuori dal perimetro penalistico.
Sul fronte della relazione tra legittimo interesse e gioco d'azzardo, una pronuncia della Corte di Giustizia UE del 4 ottobre 2024 nella causa C-621/22 ha già chiarito un aspetto rilevante: non c'è spazio per il legittimo interesse se i dati degli interessati vengono trasmessi a un esercente giochi d'azzardo, con il pericolo di esporre quelle persone ai rischi connessi allo sviluppo di ludopatie. Il principio è formulato in modo netto e si proietta sulle basi giuridiche invocabili dagli operatori per giustificare il trattamento.
Infine, con la sentenza del 22 gennaio 2026 (causa R.G. n. 54031/2025), il Tribunale di Roma — Sezione diritti della persona e immigrazione civile — ha stabilito che i procedimenti sanzionatori avviati davanti al Garante Privacy devono concludersi entro il termine perentorio di nove mesi dalla ricezione del relativo reclamo, pena l'annullamento della determinazione emessa a conclusione del procedimento. Una pronuncia che, sul piano pratico, impone al Garante una risposta più rapida anche ai reclami relativi al mancato riscontro delle richieste di cancellazione nel settore gambling.
Vale qui richiamare il brocardo vigilantibus iura subveniunt: il diritto assiste chi agisce, non chi attende. Il giocatore che non formalizza la propria richiesta di cancellazione per iscritto, documentandola con precisione, rischia di trovarsi in una posizione di debolezza processuale anche quando la legge sarebbe dalla sua parte.
Come scrisse il giurista Rudolf von Jhering, il diritto non è una contemplazione astratta ma una lotta: ogni diritto conquistato è il risultato di uno sforzo concreto. Nel contesto del gambling digitale, questo significa che l'ex giocatore che vuole essere davvero "dimenticato" deve attivarsi con precisione, conoscendo la mappa dei propri diritti e i limiti entro cui l'operatore può legittimamente opporsi.
Cosa può fare concretamente il giocatore: distinzioni operative
Il punto di partenza è distinguere tre situazioni radicalmente diverse.
La prima: il giocatore chiede la cancellazione dei dati di profilazione, marketing e comportamento di gioco. Qui il diritto all'oblio opera in modo tendenzialmente pieno. L'obbligo antiriciclaggio o fiscale non copre questi dati; il gestore non ha base giuridica valida per conservarli dopo la chiusura del conto e la richiesta dell'interessato. Il rifiuto configura una violazione del GDPR suscettibile di reclamo al Garante.
La seconda: il giocatore chiede la cancellazione delle registrazioni finanziarie delle transazioni (versamenti, prelievi, scommesse). Qui l'eccezione dell'art. 17, par. 3, lett. b) GDPR — obbligo legale — opera con maggiore forza, e il gestore può legittimamente rifiutare, ma solo per il periodo strettamente necessario e solo ai fini per i quali l'obbligo esiste. Al termine del periodo di conservazione (generalmente dieci anni per i dati antiriciclaggio), la cancellazione deve avvenire senza ulteriori ritardi.
La terza — la più insidiosa: il giocatore ottiene la cancellazione formale, ma i dati vengono "recuperati" da sistemi paralleli o da piattaforme CRM terze durante migrazioni tecnologiche. Questo è esattamente lo scenario documentato da un provvedimento del Garante del 12 febbraio 2026: richieste di cancellazione non correttamente implementate perché, nel cambio della piattaforma di gestione email di marketing, i dati del reclamante risultavano ancora presenti nel CRM da cui erano stati estratti. Il rischio è reale e sistematico: la cancellazione "formale" non equivale a cancellazione effettiva se i sistemi dell'operatore non sono allineati.
Gli errori più comuni da parte dei giocatori sono: non formulare la richiesta per iscritto con PEC o mezzo tracciabile; non specificare il tipo di dati di cui si chiede la cancellazione; non rispettare i termini per il reclamo al Garante (tre mesi dalla risposta insoddisfacente o dal silenzio dell'operatore); e non distinguere tra autoesclusione dal gioco — misura di protezione che non implica la cancellazione dei dati — e la vera richiesta ex art. 17 GDPR.
Gli errori più comuni da parte degli operatori sono speculari: invocare genericamente l'"obbligo legale" come scudo totale contro qualsiasi cancellazione, senza distinguere categoria per categoria; non rispondere entro il termine di un mese previsto dall'art. 12 GDPR; e non adeguare i sistemi CRM alle cancellazioni effettuate in modo che queste abbiano effetto reale e non solo formale.
Il panorama regolatorio del gambling online italiano è in rapida evoluzione: tra il 13 novembre 2025 e il 13 maggio 2026, il mercato italiano del betting ha completato un cambio di architettura complessiva, con nuove concessioni e nuove regole tecniche. Questo riassetto strutturale — che include l'introduzione di SPID e CIE come strumenti di verifica identità — comporta nuove e più massicce raccolte di dati personali dei giocatori, rendendo ancora più urgente la chiarezza sui diritti di cancellazione. Nel medio periodo, questa convergenza allinea il betting a qualsiasi altro servizio digitale evoluto, eliminando quella zona grigia in cui il gioco d'azzardo sembrava vivere al di fuori dei circuiti economici ordinari. Ma allinearsi ai servizi digitali evoluti significa anche allinearsi alle loro responsabilità in materia di protezione dei dati — incluso il pieno rispetto delle richieste di cancellazione.
La vera riflessione che emerge da questo quadro è una: nel settore gambling, il principio di minimizzazione dei dati e quello di limitazione della conservazione — entrambi previsti dall'art. 5 GDPR — sono sistematicamente sottovalutati dagli operatori, che tendono a costruire database sempre più ampi e profondi dei profili utente, giustificandosi con obblighi normativi che coprono solo una porzione di quei dati. Il diritto all'oblio del giocatore non è un ostacolo alla compliance ADM: è, semmai, parte integrante di una compliance GDPR che ancora molti operatori del settore non hanno adeguatamente strutturato.
Redazione - Staff Studio Legale MP