Il nostro impegno Privacy

Sisal S.p.A. (“Sisal”) è la società Capogruppo che si occupa della direzione e del coordinamento di un insieme di società controllate che operano, sia in Italia che all’estero, nel settore dei giochi.
In ottica privacy, ciascuna società che compone il gruppo si inquadra quale “Titolare del Trattamento” secondo il regolamento europeo sulla protezione dei dati personali n. 2016/679 (“GDPR”) e la normativa italiana sulla protezione dei dati. 
Le società del gruppo Sisal sono responsabili di definire le modalità con cui i dati personali dei loro clienti (anche potenziali), rivenditori, dipendenti e fornitori vengono raccolti e trattati e gli scopi per cui essi vengono utilizzati, e garantire che tali modalità siano conformi a quanto previsto dalla normativa e descritto in questa pagina.
Per ulteriori informazioni sul tipo di attività svolte dalle società del gruppo Sisal, sul loro assetto societario e sui competenti degli organismi di regolamentazione, si rimanda alla lettura della pagina web.

• Liceità, correttezza e trasparenza: quando trattiamo i tuoi dati rispettiamo le leggi e le norme applicabili (liceità), senza scorrettezze o raggiri (correttezza) e utilizzando, per quanto possibile, un linguaggio semplice, chiaro e comprensibile, evitando di fornirti informazioni in maniera confusa o parziale (trasparenza);
• Limitazione della finalità del trattamento: raccogliamo e utilizziamo i dati personali esclusivamente necessari al perseguimento degli scopi e delle finalità per cui sono stati raccolti o per consentire l’erogazione dei servizi specifici richiesti;
  • Ad esempio, quando eserciti i tuoi diritti, non ti chiederemmo dati superflui o eccessivi rispetto a quelli necessari per dare seguito alla tua richiesta. Questi dati includono:
    - nome e cognome
    - recapito telefonico ed email: per consentirci di contattarti
    - codice fiscale 
    - copia di un documento d’identità: per consentirci di verificare che tu sia in possesso delle caratteristiche richieste dalla legge come, ad esempio, la maggiore età, che non sussistano condizioni contrastanti con quanto richiesto dalla normativa antiriciclaggio e che le informazioni personali inserite nel form di registrazione corrispondano realmente all’identità dichiarata.
• Minimizzazione: raccogliamo e utilizziamo i dati personali in maniera adeguata e limitata alle finalità per le quali sono raccolti e trattati;
  • Ad esempio, quando eserciti i tuoi diritti, non ti chiederemmo dati superflui o eccessivi rispetto a quelli necessari per dare seguito alla tua richiesta.
• Esattezza: adottiamo tutte le misure ragionevoli per cancellare o rettificare tempestivamente i tuoi dati personali, qualora inesatti o incompleti;
  • Ad esempio, accedendo alla tua area riservata sui siti web di Sisal, puoi verificare se i dati che hai inserito, come il tuo indirizzo, la tua email o il tuo numero di cellulare, sono quelli giusti e, nel caso di errori o cambiamenti, puoi modificarli o aggiornarli.
• Limitazione della conservazione: conserviamo i dati personali per un arco di tempo non superiore al periodo necessario per il conseguimento delle finalità per le quali sono stati raccolti e devono essere trattati;
  • Ad esempio, tutti i tuoi dati sono archiviati e conservati secondo il tempo richiesto dalla legge oppure per erogarti il servizio che ci hai richiesto, come ricevere una newsletter, fino alla tua richiesta di disiscrizione.
• Integrità e riservatezza: trattiamo i dati personali in modo tale da garantirne un'adeguata sicurezza, mediante l’implementazione di misure tecniche e organizzative adeguate.
  • Ad esempio, tutti i tuoi dati sono protetti da misure di sicurezza specifiche secondo quanto descritto e riportato rispettivamente nella sezione 11.
• Responsabilizzazione: in conformità al principio di accountability, ci impegniamo a trattare i dati personali, acquisiti direttamente o indirettamente, esclusivamente per gli scopi preventivamente definiti e approvati e rispettando i principi di protezione dei dati, in termini di precisione, verifica, costante aggiornamento, non eccedenza e necessità rispetto agli scopi e alle finalità dichiarate.
  • Ad esempio, Sisal adotta un modello dedicato alla gestione e al governo della privacy secondo quanto indicato rispettivamente nella sezione 4.

• Governance Privacy: Sisal ha adottato un modello organizzativo strutturato e integrato al fine di definire e diffondere la responsabilità e l’accountability in tutta l’azienda sulle tematiche privacy e data protection. Qui le principali figure:
  • Responsabile della Protezione dei Dati (detto anche “Data Protection Officer”): figura responsabile di supervisionare la conformità di Sisal rispetto alla legge vigente;
  • Funzione Privacy: dipartimento con professionisti esperti dedicati alla privacy dei nostri utenti;
  • Data Manager: professionisti nominati e formati per la gestione sicura e conforme dei singoli trattamenti svolti sui dati personali.
• Formazione e Training Privacy: il personale Sisal viene periodicamente aggiornato su temi e novità in ambito Privacy, Compliance e Cyber Security tramite corsi e iniziative formativi;
• Policy e Procedure Privacy: il personale e i collaboratori esterni di Sisal sono tenuti a conoscere e rispettare le policy e le procedure interne in materia di privacy;
• Valutazione degli impatti dei trattamenti su diritti e libertà: i trattamenti svolti da Sisal vengono sottoposti regolarmente ad una rigorosa attività di analisi per la gestione dei rischi e l’identificazione degli impatti sui diritti e libertà dei nostri utenti;
• Ispezioni e audit sicurezza: i sistemi aziendali utilizzati per il trattamento dei dati personali vengono sottoposti con cadenza regolare ad attività di audit e analisi del rischio;
• Rispetto di standard internazionali di sicurezza e data protection: Sisal possiede una serie di certificazioni internazionali che dimostrano la sua rispondenza a misure di sicurezza tecniche e organizzative stringenti, atte a tutelare i dati personali trattati.

1. Nominato un Responsabile della Protezione dei Dati (anche detto “Data Protection Officer", contattabile all'indirizzo dpo@sisal.it), le cui principali mansioni, come previste dalla normativa applicabile, includono, ad esempio:
   • Supervisionare le politiche e pratiche di Sisal in ambito Privacy per garantire la conformità alla normativa applicabile;
   • Fornire pareri e supportare Sisal nel prendere le migliori decisioni per proteggere i dati degli utenti.
2. Istituito una funzione Privacy, le cui principali mansioni includono, ad esempio:
   • Rispondere ai dubbi, domande e richieste di chiarimento Privacy ricevute dagli utenti Sisal;
   • Prendere in carico le richieste di esercizio dei diritti privacy da parte dei suoi utenti (per maggiori informazioni sui diritti, vedere sezione 5);
   • Fornire l’elenco aggiornato delle terze parti a cui sono stati trasmessi dati, in caso di richiesta da parte di un utente. 

• Un giocatore iscritto a www.sisal.it richiede una copia dei dati personali relativi al proprio conto di gioco e delle relative transazioni compiute nel corso dell’ultimo anno;
• Un giocatore chiede conferma se sia o meno in corso un trattamento di dati personali che lo riguardano;
• Un giocatore richiede informazioni su quali categorie di dati personali siano trattate, l’origine degli stessi (ovvero il soggetto o la specifica fonte dalla quale essi sono stati acquisiti) e il relativo periodo di conservazione.

• In ragione di un errore nella compilazione del modulo di iscrizione alla piattaforma di gioco, un giocatore richiede la rettifica delle informazioni anagrafiche relative al proprio account.

• Dopo aver ottenuto una copia dei propri dati personali trattati da Sisal, un giocatore richiede la cancellazione di alcuni dati personali e operazioni che lo riguardano.

Sisal raccoglie le seguenti categorie di dati personali :

• Dati anagrafici e di contatto: nome, cognome, luogo e data di nascita, indirizzo e-mail, codice fiscale;
• Dati relativi a documenti di identificazione e riconoscimento: carta di identità, patente, passaporto;
• Dati per l’accesso al sito: username, codice conto di gioco;
• Immagini: “foto profilo” caricate direttamente da te sulle piattaforme online;
• Dati reddituali, di pagamento o relativi a transazioni: valore e mezzi di pagamento usati nelle operazioni di apertura / ricarica / riscossione effettuata sui conti di gioco, IBAN, storico dei pagamenti e, nei limiti richiesti dalla normativa in materia di antiriciclaggio, disponibilità economica annua, origine dei fondi e professione;
• Dati relativi a gusti, abitudini, interessi: preferenze di navigazione, interessi di gioco;
• Dati di navigazione: indirizzo IP, tipo di dispositivo e sistema operativo utilizzato;
• Dati relativi a condanne penali e reati: nei limiti e secondo le regole previste dalla normativa antiriciclaggio;
• Dati comunicati volontariamente attraverso qualsiasi canale di contatto come chat on line, contact center;
• Dati relativi a problematiche derivanti dal gioco di cui Sisal può venire a conoscenza nell’ambito dell’attività di vigilanza sull’adozione di comportamenti responsabili di gioco.

Per maggiori informazioni circa le modalità e finalità di raccolta dei dati: vedere sezione 7 e 8.

• Apertura e gestione di un gioco di gioco: 
  • presso uno dei nostri punti di vendita 
  • tramite www.sisal.it
• Riscossione di una vincita;
• Esercizio di uno dei diritti fondamentali;
• Invio di richieste di assistenza tecnica, recapitate al call center piuttosto che al team Privacy;
• Invio di una scommessa;
• Invio di un reclamo;
• Iscrizione alle newsletter;
• Invio di una candidatura per una posizione lavorativa in Sisal.

• La consultazione di banche dati esterne o fonti pubblicamente accessibili (es. testate giornalistiche cartacee o digitali).

1. Esecuzione di obblighi contrattuali o risposta alle richieste dell’utente: ad esempio, Sisal raccoglie e tratta i dati personali necessari per garantire:
   • La stipula di un contratto di gioco;
   • La risposta alle richieste ricevute tramite call center o team privacy;
   • La creazione o la gestione di un account su uno dei nostri siti web o app mobile;
   • L’ottenimento di punti o bonus;
   • La riscossione di vincite;
   • La ricezione di comunicazioni informative sui servizi di gioco.
2. Adempimento di obblighi di legge: Sisal raccoglie e tratta i dati personali per essere conforme alla legge e alla normativa applicabile (es. antiriciclaggio), al fine di:
   • Identificare comportamenti di gioco problematici da parte dei giocatori;
   • Supportare le persone identificate a rischio;
   • Identificare e verificare l'identità dei giocatori: 
     - all'apertura del conto di gioco e nel caso di modifica delle informazioni ad esso associate;
     - alla registrazione delle sessioni di gioco e delle operazioni di avvaloramento e prelievo dal conto di gioco alla richiesta di riscossione delle vincite ottenute. 
3. Legittimo interesse: Sisal effettua trattamenti che avvengono sulla base del suo legittimo interesse, a fronte del quale è sempre possibile opporsi mediante opportuna richiesta.  

1. Profilazione: Sisal tratta i dati personali, raccolti sulla base del rilascio del consenso libero, specifico, informato ed inequivocabile, ad esempio al fine di consentire:
   • La personalizzazione dell’esperienza sul sito web, anche sulla base dell’attivazione dei Cookies di profilazione;
   • Elaborare dati riferibili alle abitudini e agli interessi degli utenti durante il gioco o sulla base dell’analisi delle opinioni e preferenze espresse durante la partecipazione a ricerche di mercato.

In particolare i dati personali sono conservati, ad esempio, per:

• 10 anni dalla scadenza dei contratti in essere con gli interessati: (in assenza di procedimenti giudiziari) per adempiere a obblighi di legge derivanti, ad esempio, dalla normativa Antiriciclaggio;
• 2 anni: per vigilare sulla adozione di comportamenti responsabili di gioco;
• 2 anni: a fini di profilazione;
• Fino alla cessazione del servizio richiesto per l’invio di informazioni inerenti il funzionamento e le caratteristiche dei servizi di gioco o l’esistenza di nuovi prodotti e/o servizi.

Navigando sul nostro sito / app:
Sisal offre la possibilità di modificare il consenso all’utilizzo di varie categorie di cookie. Interagendo infatti col “cookie banner” o visitando l’informativa dedicata alla gestione dei cookie è possibile avere informazioni sui cookies utilizzati da Sisal e modificare il consenso al loro utilizzo.
È anche possibile visitare la sezione di informativa SDK delle app di Sisal per avere informazioni su quali SDK Sisal utilizza e modificare il consenso al loro utilizzo.

Gestione account Sisal:
Sisal offre la possibilità di creare un account personale su alcuni siti, ad esempio www.sisal.it, tramite cui è possibile accedere ad un’area riservata e modificare le impostazioni privacy relative ad esempio alla profilazione o alla recezione di newsletter.

• Cifratura dei dati personali; 
• Tecniche di anonimizzazione dei dati; 
• Backup e ripristino dei sistemi e dati in caso di incidenti o eventi disastrosi; 
• Controllo degli accessi fisici e logici per limitare l’accesso ai dati ai soli soggetti autorizzati. 

• Prevenzione delle minacce e degli attacchi, per ridurre al minimo la possibilità del verificarsi dei rischi di indisponibilità, accesso non autorizzato e perdita dell’integrità dei dati;
• Individuazione dei requisiti di sicurezza sin dalle fasi di progettazione e sviluppo di nuovi servizi/soluzioni;
• Monitoraggio delle nuove tecnologie e delle nuove strategie emergenti per il trattamento dei rischi informatici;
• Sensibilizzazione del personale sulle tematiche, sulle regole comportamentali e sulle politiche di sicurezza informatica adottate da Sisal;
• Identificazione degli eventi potenzialmente in grado di materializzare il verificarsi di un rischio;
• Registrazione e Conservazione degli eventi verificatisi per la loro analisi anche a posteriori e delle informazioni ad essi correlate anche a fini di accountability;
• Reazione agli eventi di rischio, onde evitarne, contenerne o minimizzarne i danni.

• Predispone e mantiene un inventario delle risorse informatiche aziendali al fine di garantire la protezione, in termini di integrità, disponibilità e riservatezza, dei dati memorizzati, trattati o trasmessi, implementando livelli di sicurezza definiti sulla base del loro valore;
• Verifica che l’utilizzo delle risorse informatiche avvenga, da parte del personale, nei limiti delle autorizzazioni assegnate, per esclusive finalità lavorative e in base ai principi di diligenza e correttezza che rappresentano i valori da seguire in ogni atto o comportamento posto in essere nell'ambito del rapporto professionale;
• Classifica tutte le risorse informatiche assegnando una classe di rischio calcolato sulla base del loro valore conseguente alla perdita della disponibilità, integrità e riservatezza dei dati personali. Questa classificazione consente di determinare il livello di protezione e di tutela che deve essere garantito per la gestione delle risorse aziendali classificate.

• Pubbliche autorità e/o organismi di vigilanza (es. Agenzia delle dogane e dei Monopoli, autorità giudiziaria, autorità di pubblica sicurezza, Ufficio Indagini Finanziarie, ecc.);
• Società che confrontano la veridicità dei dati forniti con quelli disponibili su pubblici registri, banche dati, elenchi, atti o documenti in ottemperanza agli obblighi imposti dalla normativa antiriciclaggio;
• Società di gestione di sistemi nazionali e internazionali per il controllo delle frodi;
• Soggetti che collocano e/o gestiscono i prodotti e i Servizi di Sisal (ad es. i Punti Vendita Sisal);
• Soggetti che forniscono servizi per la gestione del sistema informativo di Sisal ivi compresi i servizi di mailing e di chat;
• Soggetti che svolgono servizi bancari e finanziari;
• Soggetti che svolgono attività di assistenza (es. call center);
• Soggetti che effettuano servizi di acquisizione, lavorazione, elaborazione e archiviazione dati;
• Soggetti che gestiscono l’invio di informazioni commerciali;
• Soggetti che svolgono attività di assistenza e consulenza di comunicazione (es. società che svolgono indagini di customer satisfaction e ricerche di mercato relative ai servizi e prodotti di gioco);
• Soggetti che eseguono per conto di Sisal attività di profilazione;
• Soggetti che pubblicano sui propri siti web le quote e le offerte commerciali di Sisal;
• Soggetti che gestiscono piattaforme di gioco online;
• Soggetti che gestiscono la partecipazione a programmi di loyalty;
• Soggetti che svolgono adempimenti di controllo, revisione e certificazione delle attività poste in essere da Sisal;
• Studi professionali o società di assistenza e consulenza (es. studi commercialisti, studi legali, ecc.);
• Altre società del Gruppo Sisal situate anche all’estero;
• Soggetti che a vario titolo possono succedere nella titolarità dei rapporti giuridici (es. cessionari o potenziali cessionari di beni e/o contratti).

Sisal potrebbe trasferire alcuni dati personali in paesi nei quali non si applica il Regolamento Europeo sulla protezione dei dati (cd. “GDPR”). Ove si rendesse necessario, Sisal si impegna di garantire che tale trasferimento avvenga in conformità con le normative e con gli strumenti messi a disposizione dall’Unione Europea.

È possibile richiedere una copia dei dati personali oggetto di trasferimento all’estero, nonché l’elenco dei soggetti terzi e/o delle organizzazioni internazionali destinatarie dei dati personali, scrivendo all’indirizzo email privacy_sisal@legalmail.it.