| Informe | 2021-0073 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD (2021-0073)**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza un anteproyecto de modificación de la **Ley 13/2011 de regulación del juego**, destacando tres aspectos clave relacionados con la protección de datos personales:
—
#### **1. Refuerzo de las funciones de protección a jugadores vulnerables**
La modificación busca fortalecer la capacidad de la **Dirección General de Ordenación del Juego (DGOJ)** para evaluar las medidas de juego responsable implementadas por los operadores. La AEPD considera que estos tratamientos de datos están legitimados por:
– **Artículo 6.1.c) del RGPD**: Tratamientos necesarios para el cumplimiento de una obligación legal.
– **Artículo 6.1.e) del RGPD**: Tratamientos realizados en interés público o ejercicio de poderes públicos.
Se destaca la necesidad de evitar usos indebidos de los datos, asegurando que solo se empleen para detectar conductas de riesgo y aplicar las medidas correspondientes.
—
#### **2. Ejercicio de los derechos ARCO (acceso, rectificación, supresión, oposición)**
El informe identifica **discrepancias** en el texto:
– La **Exposición de Motivos** menciona el derecho a la **cancelación (supresión)**, pero el articulado solo se refiere al **acceso y rectificación**.
– El RGPD reconoce otros derechos como **limitación del tratamiento** y **portabilidad**, que no se incluyen.
La AEPD señala que, si se busca limitar derechos, debe justificarse conforme al **artículo 23 del RGPD** (requisitos de necesidad, proporcionalidad y garantías adicionales). De lo contrario, debe corregirse el texto para incluir **todos los derechos** (artículos 15-22 del RGPD). Además, aclara que los afectados deben ejercer sus derechos **ante el operador de juego**, como responsable del tratamiento en la **Unidad Central de Juegos** (establecida por ley como mecanismo de control).
—
#### **3. Creación del «Servicio de Investigación Global del Mercado de Apuestas» (Sistema de Alertas)**
Este servicio tiene como objetivo **prevenir y combatir el fraude en apuestas deportivas y la manipulación de competiciones**, mediante el intercambio de información entre autoridades y actores interesados.
La AEPD **valora positivamente** su inclusión en una norma con rango de ley, pero exige:
– **Garantías adicionales** basadas en un **análisis de riesgos** y, en su caso, una **Evaluación de Impacto en Protección de Datos (EIPD)**.
– **Limitación estricta de los derechos de los afectados** (acceso, rectificación, supresión, oposición) solo justificada si cumple los requisitos del **artículo 23 del RGPD**:
– Finalidad de interés público esencial (lucha contra el fraude).
– Proporcionalidad en el tratamiento.
– Plazos limitados de conservación (máximo **1 año**), prorrogables si hay indicios de irregularidad.
– Prohibición expresa del tratamiento de **datos especialmente sensibles** (salvo excepciones justificadas).
**Principios clave aplicables**:
– **Minimización de datos**: Solo recopilar información estrictamente necesaria.
– **Exactitud**: Suprimir datos cuando no haya indicios de irregularidad.
– **Seguridad**: Medidas técnicas para garantizar integridad y confidencialidad (cifrado, acceso restringido).
– **Deber de información**: Exento al obtenerse los datos directamente de la ley, pero debe informarse si se inicia un procedimiento judicial.
—
### **Conclusiones y recomendaciones de la AEPD**
1. **Corregir las omisiones** en el articulado relativas a los derechos ARCO y aludir a todos los reconocidos por el RGPD.
2. **Aclarar el rol de los operadores** como responsables del tratamiento en la Unidad Central de Juegos, así como los plazos y procedimientos para ejercer derechos.
3. **Profundizar en las garantías** para el Sistema de Alertas:
– Incluir la justificación detallada de las limitaciones a los derechos.
– Especificar qué datos se tratarán, excluyendo categorías especiales (salvo análisis previo que lo permita).
– Establecer protocolos para la **trazabilidad de accesos** y la **supresión oportuna** de datos irrelevantes.
4. **Incorporar una cláusula** que permita ejercer derechos una vez final