328.6981199
0 items - €0.00 0
Menu
Close
Studio Legale Avv. Andrea Maggiulli Alfieri, Part. Iva 04544920756 © 2026 All rights reserved. Terms of use and Privacy Policy

Come richiedere la cancellazione dei propri dati personali a un sito di scommesse online: guida pratica

Posted on 9 Aprile 2026

Premessa: il diritto alla cancellazione nel contesto delle scommesse online

Il diritto alla cancellazione dei dati personali, riconosciuto dall’articolo 17 del Regolamento (UE) 2016/679 (GDPR), consente a ogni persona di ottenere dal titolare del trattamento — nel caso specifico, dall’operatore di gioco e scommesse online — la rimozione dei propri dati personali “senza ingiustificato ritardo” quando ricorrono determinate condizioni. Tuttavia, come già approfondito, nel settore delle scommesse online questo diritto incontra limiti significativi derivanti dagli obblighi di conservazione imposti dalla normativa antiriciclaggio, che impongono agli operatori di conservare i dati per dieci anni dalla cessazione del rapporto.

Ciononostante, la richiesta di cancellazione rimane uno strumento importante per l’interessato, sia per ottenere la cancellazione alla scadenza dei termini obbligatori, sia per rimuovere dati eccedenti o non necessari, sia per attivare i rimedi di tutela in caso di diniego illegittimo.

Quando è possibile richiedere la cancellazione

Secondo l’articolo 17, paragrafo 1, del GDPR, l’interessato ha il diritto di ottenere la cancellazione quando sussiste almeno uno dei seguenti motivi:

  1. I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati (lettera a);
  2. L’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico (lettera b);
  3. L’interessato si oppone al trattamento e non sussistono motivi legittimi prevalenti per procedere al trattamento (lettera c);
  4. I dati sono stati trattati illecitamente (lettera d);
  5. I dati devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o nazionale (lettera e).

Nel contesto dei siti di scommesse, il motivo più rilevante è quello di cui alla lettera a): i dati non sono più necessari. Questo si verifica tipicamente quando è trascorso il periodo di conservazione obbligatoria di dieci anni dalla chiusura del conto di gioco. Altro motivo frequente è il trattamento illecito (lettera d), che può verificarsi quando l’operatore conserva dati oltre il termine decennale senza giustificazione, tratta dati per finalità diverse da quelle antiriciclaggio, o viola i principi di minimizzazione e sicurezza.

Come individuare il titolare del trattamento e i suoi riferimenti

Prima di presentare la richiesta, è necessario identificare correttamente il titolare del trattamento e i suoi recapiti. In base all’articolo 13, paragrafo 1, lettera a), del GDPR, l’operatore di scommesse ha l’obbligo di fornire all’interessato, al momento della raccolta dei dati, “l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante”.

Tali informazioni devono essere disponibili in diverse sezioni del sito web dell’operatore:

  • Informativa privacy: ogni sito di scommesse è tenuto a pubblicare un’informativa dettagliata sul trattamento dei dati personali, ai sensi degli articoli 13 e 14 del GDPR. Tale informativa deve indicare l’identità del titolare, i suoi dati di contatto completi (indirizzo, email, telefono) e, se applicabile, i dati di contatto del Responsabile della Protezione dei Dati (Data Protection Officer – DPO).
  • Sezione “Contatti” o “Chi siamo”: spesso i siti commerciali riportano in queste sezioni la ragione sociale completa, la sede legale e i recapiti generali.
  • Termini e condizioni: il contratto di apertura del conto di gioco contiene di regola l’identificazione completa dell’operatore.

L’informativa privacy deve inoltre indicare espressamente “l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento” (articolo 13, paragrafo 2, lettera b).

Come formulare la richiesta di cancellazione

La richiesta di cancellazione può essere presentata in diverse forme. Il GDPR non impone una modalità specifica, lasciando ampia libertà all’interessato. Tuttavia, per ragioni probatorie e di efficacia, è consigliabile utilizzare modalità che consentano di documentare la presentazione della richiesta e il suo contenuto.

Modalità di invio

  1. Email: è la modalità più semplice e immediata. L’email deve essere inviata all’indirizzo indicato nell’informativa privacy o, in mancanza, all’indirizzo di contatto generale dell’operatore. È consigliabile utilizzare la propria email personale registrata presso l’operatore e richiedere ricevuta di lettura.
  2. Posta Elettronica Certificata (PEC): se si dispone di un indirizzo PEC e l’operatore ne ha uno pubblico (indicato di regola nella visura camerale), questa modalità offre valore legale pieno in termini di prova della trasmissione e ricezione.
  3. Raccomandata con ricevuta di ritorno: modalità tradizionale ma ancora valida, che garantisce certezza della data di invio e ricezione. Va indirizzata alla sede legale del titolare.
  4. Modulo online dedicato: alcuni operatori mettono a disposizione nell’area riservata del proprio sito web moduli specifici per l’esercizio dei diritti previsti dal GDPR. L’utilizzo di tali moduli, quando disponibili, può accelerare la gestione della richiesta, purché l’operatore rilasci conferma scritta della ricezione.
  5. Portale dell’Autorità Garante: in alcuni Stati membri, tra cui l’Italia, è possibile esercitare i diritti anche attraverso il portale del Garante per la protezione dei dati personali, che può fungere da intermediario.

Contenuto della richiesta

La richiesta deve essere chiara, completa e contenere almeno i seguenti elementi:

  1. Dati identificativi dell’interessato: nome, cognome, data di nascita, residenza, indirizzo email e numero di telefono registrati presso l’operatore, eventualmente username o numero identificativo del conto di gioco. Questi dati servono al titolare per identificare con certezza l’interessato e i dati da cancellare.
  2. Richiesta esplicita di cancellazione: indicare chiaramente che si richiede la cancellazione dei propri dati personali ai sensi dell’articolo 17 del Regolamento (UE) 2016/679.
  3. Motivazione: sebbene non obbligatoria, è consigliabile indicare il motivo per cui si ritiene di avere diritto alla cancellazione (ad esempio: “sono trascorsi dieci anni dalla chiusura del mio conto di gioco, avvenuta in data [XX/XX/XXXX], pertanto i dati non sono più necessari e devono essere cancellati”; oppure: “revoco il consenso prestato e richiedo la cancellazione di tutti i dati non soggetti a obbligo di conservazione per legge”).
  4. Indicazione dei dati da cancellare: se la richiesta riguarda solo determinate categorie di dati (ad esempio, dati non necessari per finalità antiriciclaggio, come preferenze di gioco, storico delle puntate oltre il periodo obbligatorio, dati di profilazione commerciale), è opportuno specificarlo.
  5. Recapito per la risposta: indicare l’indirizzo email o postale al quale si desidera ricevere la risposta del titolare.
  6. Data e firma: la richiesta deve essere datata e, se inviata in forma cartacea, firmata. In caso di email, è sufficiente l’indicazione del nome.

Esempio di richiesta

Oggetto: Richiesta di cancellazione dati personali ai sensi dell’art. 17 GDPR

Spett.le [Nome operatore di scommesse],
[Indirizzo sede legale]
[Indirizzo email o PEC]

Io sottoscritto/a [Nome Cognome], nato/a a [Luogo] il [Data], residente in [Indirizzo], codice fiscale [CF], con la presente Vi richiedo, ai sensi dell’articolo 17 del Regolamento (UE) 2016/679, la cancellazione di tutti i dati personali che mi riguardano, conservati presso i Vostri archivi in relazione al conto di gioco da me detenuto presso la Vostra piattaforma con username [Username] / numero identificativo [ID].

Il mio conto di gioco è stato chiuso in data [XX/XX/XXXX]. Sono pertanto trascorsi oltre dieci anni dalla cessazione del rapporto, periodo oltre il quale i dati non sono più necessari rispetto alle finalità antiriciclaggio per le quali sono stati raccolti e conservati.

In alternativa [se applicabile]: revoco ogni consenso eventualmente prestato al trattamento dei miei dati personali e chiedo la cancellazione immediata di tutti i dati non soggetti a obbligo di conservazione per legge, in particolare [indicare categorie specifiche se pertinente: dati di profilazione, storico delle comunicazioni commerciali, dati di navigazione, ecc.].

Vi chiedo di comunicarmi per iscritto, entro un mese dalla ricezione della presente, l’avvenuta cancellazione dei dati e le misure adottate per dare seguito alla mia richiesta.

Resto a disposizione per fornire ogni ulteriore elemento di identificazione necessario.

Cordiali saluti,

[Nome Cognome]
Email: [indirizzo email]
Telefono: [numero]
Data: [XX/XX/XXXX]

Termini di risposta del titolare del trattamento

Una volta ricevuta la richiesta, l’operatore di scommesse ha l’obbligo di rispondere entro termini precisi. Non esiste una disposizione specifica del GDPR che indichi il termine per la risposta alla richiesta di cancellazione, ma si applica per analogia il termine generale previsto per l’esercizio dei diritti dell’interessato.

In base all’articolo 12, paragrafo 3, del GDPR (richiamato nell’XML ma non trascritto integralmente), il titolare del trattamento fornisce informazioni sulle misure adottate a seguito della richiesta “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”. Tale termine può essere prorogato di due mesi, tenuto conto della complessità e del numero di richieste, ma in tal caso il titolare deve informare l’interessato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

Pertanto, l’operatore di scommesse deve:

  • Entro 1 mese: rispondere alla richiesta comunicando l’accoglimento e le misure adottate, oppure il diniego motivato, oppure la proroga del termine con indicazione dei motivi.
  • Entro 3 mesi (in caso di proroga): fornire la risposta definitiva.

La risposta deve essere fornita gratuitamente. Solo in caso di richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta, ma in tal caso spetta al titolare dimostrare il carattere manifestamente infondato o eccessivo della richiesta (articolo 12, paragrafo 5, del GDPR).

Possibili risposte dell’operatore e azioni conseguenti

  1. Accoglimento della richiesta

Se l’operatore accoglie la richiesta, deve comunicare per iscritto all’interessato:

  • La conferma che i dati sono stati cancellati;
  • Le categorie di dati cancellati;
  • La data di effettuazione della cancellazione;
  • Eventuali destinatari terzi ai quali i dati erano stati comunicati e che sono stati informati della cancellazione (in applicazione dell’articolo 19 del GDPR).

L’interessato può chiedere conferma documentale della cancellazione e verificare che non siano più accessibili i dati nell’area riservata del sito.

  1. Diniego motivato: esistenza di un obbligo di conservazione

L’ipotesi più frequente nel settore delle scommesse è che l’operatore neghi la cancellazione invocando l’eccezione prevista dall’articolo 17, paragrafo 3, lettera b), del GDPR: “i paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento”.

In tal caso, l’operatore deve comunicare:

  • Il riferimento normativo specifico dell’obbligo di conservazione (ad esempio, articolo 53 del D.Lgs. 231/2007 in Italia);
  • Il periodo di conservazione obbligatoria residuo (dieci anni dalla cessazione del rapporto);
  • La conferma che, alla scadenza di tale periodo, i dati saranno cancellati d’ufficio;
  • L’esistenza del diritto di proporre reclamo al Garante per la protezione dei dati personali e di adire l’autorità giudiziaria.

Se il diniego è legittimo — perché il periodo di conservazione obbligatoria non è ancora trascorso — l’interessato non può ottenere la cancellazione immediata, ma può:

  • Annotare la data di scadenza del periodo di conservazione e ripresentare la richiesta a quella data;
  • Verificare che l’operatore non tratti i dati per finalità diverse da quelle antiriciclaggio (ad esempio, invio di comunicazioni commerciali, profilazione), nel qual caso sussiste il diritto di opposizione al trattamento ulteriore ai sensi dell’articolo 21 del GDPR;
  • Richiedere la limitazione del trattamento ai soli scopi di conservazione obbligatoria, escludendo qualsiasi altro utilizzo.
  1. Diniego illegittimo o mancata risposta

Se l’operatore:

  • Nega la cancellazione senza valida motivazione giuridica;
  • Invoca un obbligo di conservazione oltre il termine decennale senza giustificazione;
  • Non risponde entro i termini previsti (un mese, eventualmente prorogabile a tre);
  • Risponde in modo generico o evasivo;

l’interessato può attivare i rimedi di tutela previsti dal GDPR, che si articolano su due livelli alternativi o successivi.

I rimedi di tutela: reclamo al Garante e ricorso giurisdizionale

Il GDPR prevede un sistema di tutela articolato su due livelli: amministrativo (reclamo all’autorità di controllo) e giurisdizionale (ricorso al giudice).

Il reclamo al Garante per la protezione dei dati personali

In base all’articolo 77, paragrafo 1, del GDPR, “fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”.

In Italia, l’autorità di controllo competente è il Garante per la protezione dei dati personali. Come chiarito dalla Corte di Giustizia UE nella sentenza n. 239 del 14 marzo 2024, l’autorità di controllo ha il potere di ordinare al titolare del trattamento la cancellazione dei dati anche d’ufficio, indipendentemente dalla richiesta dell’interessato, quando accerti un trattamento illecito.

Come presentare il reclamo

Ai sensi dell’articolo 142 del Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), il reclamo deve contenere:

  • Un’indicazione dettagliata dei fatti e delle circostanze su cui si fonda;
  • Le disposizioni del GDPR che si presumono violate (nel caso specifico, l’articolo 17);
  • Le misure richieste (cancellazione dei dati);
  • Gli estremi identificativi del titolare del trattamento (nome dell’operatore di scommesse, sede legale);
  • La documentazione utile (copia della richiesta di cancellazione inviata, copia della risposta dell’operatore o dichiarazione di mancata risposta, eventuale corrispondenza successiva);
  • Un recapito per le comunicazioni (email, PEC, telefono).

Il Garante ha predisposto un modello per il reclamo, disponibile sul proprio sito istituzionale (www.gpdp.it), che facilita la compilazione e può essere inviato anche in forma elettronica.

Il reclamo può essere sottoscritto dall’interessato o, su mandato di questo, da un’associazione di tutela dei consumatori o da un ente del terzo settore attivo nel settore della protezione dei dati personali.

Procedimento e decisione

Ricevuto il reclamo, il Garante:

  1. Svolge un’istruttoria preliminare, eventualmente richiedendo chiarimenti e documenti sia all’interessato che all’operatore;
  2. Se il reclamo non è manifestamente infondato e sussistono i presupposti, può adottare i provvedimenti previsti dall’articolo 58 del GDPR, tra cui:
    • Ingiungere all’operatore di soddisfare la richiesta di cancellazione (lettera c);
    • Ingiungere di conformare i trattamenti alle disposizioni del GDPR entro un termine determinato (lettera d);
    • Ordinare la cancellazione dei dati personali (lettera g);
    • Infliggere sanzioni amministrative pecuniarie (lettera i).

Come chiarito dalla Corte di Giustizia UE nella sentenza n. 785 del 26 settembre 2024, l’autorità di controllo dispone di un margine di discrezionalità nella scelta delle misure correttive, ma è tenuta a intervenire quando ciò sia appropriato, necessario e proporzionato.

Il Garante deve decidere il reclamo entro nove mesi dalla presentazione e, in ogni caso, entro tre mesi dalla predetta data deve informare l’interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, il termine può essere prorogato a dodici mesi (articolo 143 del Codice Privacy).

La decisione viene notificata all’interessato e, se accoglie il reclamo, contiene l’ordine di cancellazione rivolto all’operatore e l’eventuale sanzione amministrativa.

Costi

Il procedimento dinanzi al Garante è gratuito per l’interessato. Solo in caso di richieste manifestamente infondate o eccessive per carattere ripetitivo, il Garante può addebitare un contributo spese ragionevole o rifiutarsi di soddisfare la richiesta, ma spetta al Garante dimostrare il carattere eccessivo. Come affermato dalla Corte di Giustizia UE nella sentenza n. 3 del 9 gennaio 2025, le richieste non possono essere qualificate eccessive unicamente in ragione del loro numero elevato, essendo necessaria la dimostrazione di un intento abusivo.

Il ricorso giurisdizionale

In alternativa al reclamo al Garante, o successivamente in caso di rigetto del reclamo, l’interessato può adire l’autorità giudiziaria.

L’articolo 79, paragrafo 1, del GDPR riconosce a ogni interessato “il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento”.

In Italia, ai sensi dell’articolo 140-bis del Codice Privacy, reclamo al Garante e ricorso giurisdizionale sono alternativi: se l’interessato ha già presentato reclamo al Garante, non può più adire l’autorità giudiziaria per il medesimo oggetto e tra le stesse parti, salvo quanto previsto dall’articolo 10, comma 4, del D.Lgs. 150/2011 (che consente l’accesso alla mediazione anche dopo aver tentato altre procedure).

Tuttavia, è possibile proporre ricorso giurisdizionale contro la decisione del Garante che respinge il reclamo, ai sensi dell’articolo 152 del Codice Privacy.

Competenza giurisdizionale

L’articolo 152 del Codice Privacy attribuisce tutte le controversie in materia di protezione dei dati personali, compreso il diritto al risarcimento del danno, all’autorità giudiziaria ordinaria.

Le azioni contro il titolare del trattamento possono essere promosse:

  • Dinanzi al giudice dello Stato membro in cui il titolare ha uno stabilimento;
  • In alternativa, dinanzi al giudice dello Stato membro in cui l’interessato risiede abitualmente (articolo 79, paragrafo 2, del GDPR).

Nel caso di siti di scommesse con licenza italiana, il giudice italiano è sempre competente.

Danni risarcibili

Come affermato dalla Corte di Giustizia UE nella sentenza n. 827 del 4 ottobre 2024, “la perdita del controllo sui propri dati personali, anche se limitata nel tempo, può costituire danno immateriale risarcibile ai sensi dell’articolo 82, paragrafo 1, del GDPR, purché l’interessato dimostri di aver effettivamente subito tale danno, per quanto minimo, senza necessità di provare ulteriori conseguenze negative tangibili”.

Pertanto, il rifiuto illegittimo di cancellare i dati personali alla scadenza del periodo di conservazione obbligatoria può fondare una domanda di risarcimento del danno non patrimoniale.

Raccomandazioni pratiche

  1. Documentare ogni comunicazione: conservare copia di tutte le richieste inviate all’operatore e delle risposte ricevute, con data e modalità di invio.
  2. Rispettare i termini: se l’operatore non risponde entro un mese (o tre in caso di proroga comunicata), si può già agire con reclamo al Garante o ricorso giurisdizionale.
  3. Verificare la legittimità del diniego: se l’operatore invoca l’obbligo di conservazione, controllare che sia effettivamente trascorso il periodo decennale dalla chiusura del conto. In caso di dubbio, richiedere all’operatore di fornire la documentazione della data di chiusura e del calcolo del termine.
  4. Richiedere la limitazione del trattamento: anche quando la cancellazione non sia possibile per l’esistenza di un obbligo di conservazione, si può richiedere che i dati siano utilizzati esclusivamente per le finalità obbligatorie (antiriciclaggio) e non per altre (profilazione, marketing), esercitando il diritto di opposizione ex articolo 21 GDPR.
  5. Valutare l’assistenza di un’associazione di consumatori: in caso di difficoltà o diniego illegittimo, è possibile rivolgersi a un’associazione di tutela dei consumatori o a un ente del terzo settore specializzato in protezione dei dati, che può assistere nella redazione del reclamo e nel dialogo con l’operatore e il Garante.
  6. Utilizzare il modello del Garante: per il reclamo amministrativo, utilizzare il modello predisposto dal Garante (disponibile su www.gpdp.it), che garantisce la completezza delle informazioni richieste e facilita l’istruttoria.

Conclusioni

La richiesta di cancellazione dei dati personali a un sito di scommesse online è un diritto esercitabile da chiunque, ma la sua effettività è subordinata alla verifica della sussistenza dei presupposti previsti dal GDPR e dell’assenza di eccezioni. Nel settore delle scommesse, l’eccezione più rilevante è l’obbligo di conservazione decennale previsto dalla normativa antiriciclaggio, che consente all’operatore di rifiutare legittimamente la cancellazione fino alla scadenza di tale termine.

L’interessato deve formulare la richiesta in modo chiaro e completo, documentando la propria identità e il fondamento del diritto alla cancellazione. L’operatore è tenuto a rispondere entro un mese, accogliendo la richiesta o motivando analiticamente il diniego. In caso di diniego illegittimo o mancata risposta, l’interessato può attivare i rimedi di tutela previsti dal GDPR: reclamo al Garante per la protezione dei dati personali (procedura amministrativa gratuita con termine di decisione di nove mesi) oppure ricorso all’autorità giudiziaria ordinaria, con possibilità di ottenere il risarcimento del danno.

La conoscenza dei propri diritti e delle procedure di tutela è fondamentale per garantire il rispetto della normativa sulla protezione dei dati personali e l’effettività del diritto alla cancellazione, anche in un settore altamente regolamentato come quello delle scommesse online.

Avv. Andrea Maggiulli

Diritto delle scommesse sportive

 

You May Also Like

Multi Account nel Matched Betting, cosa rischi

Multi Account nel Matched Betting, cosa rischi

16 Febbraio 2023
Le vincite su siti di scommesse online non ADM vanno dichiarate?

Le vincite su siti di scommesse online non ADM vanno dichiarate?

24 Settembre 2024
    0
    Carrello
    Carrello vuotoRitorna allo shop