Articulo 21 Régimen Administrativo y Fiscal del Juego

1. En los casinos de juego, establecimientos de juego y zonas de apuestas deberán aplicarse sistemas de control de admisión de visitantes en los términos previstos en esta ley y en los casos y condiciones que reglamentariamente se determinen.

2. Se entiende por control de admisión el sistema que, mediante el empleo exclusivo de medios técnicos, efectúa la comprobación del cumplimiento de los requisitos y criterios de admisión de las personas y les permita acceder a los distintos tipos de locales a que se refiere el apartado anterior.

3. A efectos de las funciones de identificación previa de los usuarios para el cumplimiento de los requisitos de control de acceso y participación en los locales mencionados en el apartado 1, el servicio de control de admisión se realizará mediante sistemas biométricos, en las condiciones establecidas en la legislación europea y estatal de protección de datos personales y garantía de los derechos digitales. Los datos biométricos obtenidos solo podrán utilizarse para las finalidades y con las limitaciones que se determinan en los apartados 5 y 6 del artículo 15 y en el apartado 2 del artículo 18 en relación con las prohibiciones de acceso y participación de los usuarios y sus obligaciones.

La utilización de este sistema de acceso basado en datos biométricos requiere con carácter previo el consentimiento expreso por parte de la persona usuaria, si bien las empresas titulares de los establecimientos deberán respetar el derecho de la persona usuaria a decidir que su identificación y registro se realice a través de la exhibición de un documento de identidad válido o sistemas de identificación electrónica.

Los medios técnicos deberán estar previamente homologados por el órgano competente en materia de juego.

4. La utilización de estos sistemas de identificación biométrica se declara de interés público esencial con la finalidad de impedir el acceso y participación de menores de edad y de las personas que lo tienen prohibido. Este interés se fundamenta en principios y derechos recogidos constitucional y legalmente, como la protección de la salud, de los consumidores y usuarios, así como muy especialmente de la infancia, adolescencia, juventud y la de otros colectivos vulnerables, como aquellas personas que han solicitado su exclusión en juegos y apuestas por causas de adicción al juego, se hallen incapacitadas legalmente o sometidas a tutela o curatela, a defensor judicial o cualquier otra medida de apoyo que afecte a su libre participación en los juegos y apuestas.

5. De conformidad con la normativa de protección de datos y teniendo en cuenta el principio de minimización de datos, el sistema de control ha de abrir a cada visitante, en su primera visita al local o zona, un registro en el que deben figurar los siguientes datos:

a) Nombre y apellidos.

b) NIF o documento equivalente.

c) Fecha de nacimiento.

d) Fecha de apertura del registro.

e) Datos biométricos para la autenticación y verificación de cada visitante.

En las sucesivas visitas el sistema recogerá la información indicada en las letras a), b) y c), así como la fecha y hora del acceso. También servirá para transmitir electrónicamente las comunicaciones de inscripción que se efectúen en el correspondiente local. Estos datos tendrán carácter reservado y se conservarán durante seis meses, debiendo cumplir en todo momento la legislación sobre tratamiento de datos de carácter personal.

6. Las funciones de este sistema de control de admisión serán realizadas mediante un sistema íntegramente informatizado que cumpla con la normativa vigente en materia de protección de datos, contando con elementos físicos o electrónicos, así como sensores de paso y aviso acústico, que impida el acceso efectivo sin el previo registro, estando conectado en todo momento con el Registro de Interdicción de Acceso al Juego de esta comunidad autónoma.

7. Los tratamientos de datos de categorías especiales declarados de interés público esencial deberán respetar las garantías previstas en la normativa europea relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y en particular las siguientes:

a) Atendiendo al principio de responsabilidad desde el diseño y por defecto, deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

b) Se deberá realizar una evaluación de impacto relativa a la protección de datos con carácter previo a la implantación de sistemas de identificación biométricos. Periódicamente o, al menos, cuando exista un cambio del riesgo que representen estas operaciones de tratamiento, el responsable examinará si el tratamiento es conforme con la evaluación de impacto.

c) Deberán adoptarse las medidas de seguridad necesarias que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos biométricos, cuya regulación en materia de protección de datos considera de categoría especial.

Entre dichas medidas se incluirán, al menos, las siguientes:

La protección contra programas o copias maliciosas.

La reevaluación bienal del sistema mediante auditoría externa, con base en el Esquema Nacional de Seguridad, sobre la idoneidad de las medidas de seguridad y organizativas del sistema y su eficacia frente a la constante evolución de los riesgos.

El establecimiento de mecanismos que permitan asegurar la trazabilidad de los accesos y auditar su uso adecuado, garantizando su integridad y asociación temporal a fuentes de tiempo fiables.

El refuerzo del control de acceso a los sistemas operativos y a las aplicaciones que dan soporte al tratamiento de datos biométricos.

En caso de que el propietario del local de juego utilice un sistema técnico ofrecido por un tercero, el cumplimiento de dichas medidas de seguridad por éste se entenderá suficiente a los efectos de garantizar la seguridad del sistema. No obstante, el establecimiento de juego mantendrá la plena responsabilidad, sin perjuicio de que la empresa de servicios aporte la documentación y evidencias adecuadas para su cumplimiento.

d) Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías necesarias.

8. Cada una de las entradas de las que disponga el local deberá contar con un sistema de control de admisión, a los efectos de impedir el paso a quien lo tenga prohibido.

En todo caso, el sistema tendrá que estar permanentemente actualizado con los datos contenidos en cada momento en el Registro de interdicción de acceso al juego.

9. Las empresas comercializadoras y organizadoras que exploten modalidades de juego por medios electrónicos, informáticos, telemáticos o interactivos dispondrán de un sistema de control que permita identificar a la persona jugadora y comprobar que no está incursa en las prohibiciones para la práctica de los juegos.