Informativa sulla Privacy e Trasparenza nella Gestione dei Dati

Il rispetto della tua privacy è un principio fondamentale per Winnita Casino. Questa informativa ti fornisce tutti i dettagli su come raccogliamo, conserviamo, utilizziamo e proteggiamo i tuoi dati personali nell'ambito della fornitura dei nostri servizi di gioco online. Siamo completamente conformi al Regolamento GDPR e alla normativa italiana vigente, con un approccio proattivo alla protezione dei dati che va oltre i minimi richiesti dalla legge.

Identità e contatti del titolare: Winnita Casino opera sotto licenza MGA/CRP/123456/2023 della Malta Gaming Authority e dal AAMS italiano con autorizzazione numero AGCOM-IT-00123-2023. Il titolare del trattamento è Winnita Entertainment Ltd, con sede legale a Sliema, Malta, e presenza in Italia tramite filiale a Roma. Il nostro rappresentante locale per le questioni privacy è Mario Rossi, contattabile a [email protected]. Rispondiamo a tutte le richieste entro i termini stabiliti dal GDPR (massimo 30 giorni, prorogabili a 60 per casi complessi).

Raccolta dati e minimizzazione: seguiamo rigorosamente il principio di minimizzazione dei dati, raccogliendo solo le informazioni strettamente necessarie per fornire i nostri servizi. Durante la registrazione raccogliamo dati anagrafici essenziali: nome completo come da documento ufficiale, data di nascita verificata, cittadinanza, indirizzo di residenza certificato. Non richiediamo dati sensibili come orientamento politico, religione, o stato di salute, né abbiamo mai fatto ricorso a questa categoria di dati. Per i pagamenti raccogliamo solo informazioni parziali sui metodi di pagamento: ultime 4 cifre della carta, BIN per identificazione emittente, IBAN parziale per bonifici. I numeri completi vengono gestiti esclusivamente dai nostri partner di pagamento certificati Level 1 PCI-DSS.

Analytics e performance monitoring: utilizziamo piattaforme di analytics per monitorare le performance del sito e migliorare l'esperienza utente. I dati sono raccolti in forma completamente anonimizzata e aggregata: non è possibile risalire all'identità individuale dai dati di analytics. Utilizziamo Google Analytics 4 configurato in modalità privacy-enhanced con anonimizzazione IP, Hotjar per mappe di calore e session recordings con opt-in esplicito e cancellazione automatica dopo 30 giorni, New Relic per monitoring delle performance tecniche senza raccolta di dati personali identificabili. Tutti i fornitori di analytics sono conformi GDPR e hanno sottoscritto Standard Contractual Clauses con noi.

Dati per finalità marketing e profilazione: rispettiamo rigorosamente la tua libertà di scelta riguardo alle comunicazioni commerciali. Prima di inviare qualsiasi email promozionale o di marketing, richiediamo un consenso esplicito e specifico che puoi revocare in qualsiasi momento. Il consenso è registrato in forma timestamp con prova di quando e da quale dispositivo è stato fornito. I dati di profilazione per personalizzazione dell'esperienza sono derivati esclusivamente dalle tue azioni sul sito: giochi preferiti, orari di accesso, importi medi di gioco. Questi dati non vengono mai condivisi con terze parti per scopi pubblicitari esterni alla nostra piattaforma. Non facciamo uso di vendita di list di email né permettiamo ad advertiser esterni di utilizzare i nostri dati utente per campagne proprie.

Disaster recovery e continuità operativa: abbiamo implementato un sistema di backup multipli per garantire che i tuoi dati non vengano mai persi. Backup quotidiani incrementali vengono effettuati ogni 24 ore, con backup completi settimanali. Ogni backup è crittografato con chiavi separate dal sistema principale e conservato su storage ridondante in 3 locations geograficamente separate Milano, Malta, Londra. In caso di emergency abbiamo procedure di ripristino testate mensilmente che garantiscono recupero dei dati entro 4 ore dall'incidente. Documentiamo tutti i test di recovery e rendiamo disponibili le prove agli auditors su richiesta.

Cooperazione con autorità e obblighi legali: come operatore regolamentato, ci teniamo a sottolineare che possiamo essere obbligati a condividere informazioni con autorità pubbliche quando richiesto dalla legge italiana o comunitaria. Questo include ma non si limita a richieste dall'Agenzia delle Entrate, Guardia di Finanza, AGCOM, AAMS per verifiche di conformità. Ogni richiesta legale viene verificata dal nostro ufficio legale prima di essere esaudita, garantendo che rispetti i limiti della legalità e proporzionalità. Manteniamo registri di ogni disclosure a terze parti come richiesto dalla legge.

Formazione del personale e cultura della privacy: tutti i dipendenti di Winnita che hanno accesso a dati personali ricevono formazione obbligatoria sulla protezione dei dati all'arrivo e training di aggiornamento semestrale. I training coprono principi del GDPR, procedure di gestione sicura dei dati, riconoscimento e gestione di data breach, e ultimi sviluppi normativi. Il rispetto della privacy è un obiettivo di performance valutato per tutti i dipendenti. Manteniamo log di tutti i training e certificazioni ottenute dal personale.

Breach notification e trasparenza incidenti: nel caso estremamente improbabile di un data breach che esponga i tuoi dati personali, provvederemo immediatamente alle seguenti azioni: notificheremo l'Autorità Garante italiana entro 72 ore come richiesto dal GDPR, ti informeremo personalmente via email entro 48 ore se il breach comporta rischio per i tuoi diritti, forniremo dettagli sull'incidente, rischi potenziali, e misure da intraprendere. Teniamo un registro dettagliato di ogni incidente di sicurezza anche minore, anche quelli che non richiedono notifica obbligatoria, per migliorare continuamente le nostre difese.