GH GambleHub

RGPD y tratamiento de datos personales

1) Qué regula el RGPD y quién es el sujeto

El RGPD protege los derechos de las personas físicas en la UE/EEE en el tratamiento de sus datos personales (DP). Es aplicable si:
  • se instala en el EU/EEE o se dirige a los usuarios de la UE (bienes/servicios, seguimiento del comportamiento);
  • usted es el controlador (define los objetivos/medios de tratamiento) o el procesador (procesa el PD en nombre del controlador).
Funciones clave:
  • Controlador: titular de los objetivos/fondos, responsable de la legalidad y la transparencia.
  • Procesador: actúa siguiendo las instrucciones documentadas del controlador, concluye el DPA.
  • DPO (Oficial de Protección de Datos): supervisión independiente, DPIA/DSR, consulta, enlace con supervisión.

2) Principios de tratamiento (art. 5)

1. Legalidad, justicia, transparencia.
2. Limitación del objetivo. Objetivos claramente descritos, compatibles.
3. Minimización de datos. Sólo lo necesario.
4. Precisión. Actualización y corrección.
5. Restricción de almacenamiento. Retiro y eliminación/anonimización.
6. Integridad y privacidad. Seguridad predeterminada.
7. Rendición de cuentas. Probabilidad de la conformidad (policies, registros, DPIA).

3) Bases legales (art. 6) - Matriz para iGaming/Fintech

ObjetivoEjemplos de datosBase
Creación de una cuenta, transacciones, pagosIdentificación, pagoContract
KYC/AML/impuestos, cheques de edadDocumentos, biometría (cuando sea necesario), registro de transaccionesLegal obligation
Antifraude, seguridad, calidad del servicioDispositivo/IP, señales de comportamientoLegitimate interest (LIA)
Marketing (email/SMS/push), análisis opcionalContactos, cookies/IDConsent
RG (juego responsable) - requisitos legales obligatoriosConductual/LímitesObligación legal/LIA (por jurisdicción)
💡 Para LIA, realice un equilibrio de intereses; para consent - proporcione el consentimiento libre, informado, inequívoco y fácil opt-out.

4) Categorías especiales y biometría (art. 9)

El tratamiento de categorías especiales (salud, creencias, etc.) está prohibido a menos que haya una razón separada.
La biometría para una identificación única (p. ej., face-template para liveness/face-match) requiere un consentimiento directo u otro marco legal estrecho (depende del país). Almacene las plantillas, no las imágenes «crudas», siempre que sea posible.

5) Elaboración de perfiles y soluciones automatizadas (art. 22)

iGaming/fintech utilizan el perfilado para frod, juego responsable (RG), límites de riesgo. Requisitos:
  • la divulgación transparente de la lógica (dentro de límites razonables), el significado y las consecuencias;
  • el derecho a la intervención humana y a impugnar la decisión;
  • DPIA con alta probabilidad de riesgo de derechos/libertades (perfiles a gran escala).
  • Recomendaciones: almacenar códigos reason, versionar modelos/reglas, realizar una auditoría bias.

6) DPIA/DTIA: cuando son obligatorios

Realizar DPIA si el riesgo es alto: perfilado a gran escala, biometría, «observación sistemática», nuevas fuentes de datos.
Plantilla DPIA: propósito y descripción del tratamiento → fundamentos jurídicos → riesgos de las entidades → medidas de mitigación → riesgo residual → plan.
DTIA (evaluación de la transferencia transfronteriza): entorno jurídico del país receptor + contratos/medidas (SCC/equivalente, cifrado, separación de claves).

7) Transferencias transfronterizas (cap.V)

Mecanismos: SCC, BCR, decisiones de adecuación, contrapartes locales.
Techmers: end-to-end cifrado, separación de claves, minimización de campos, seudonimización antes de la transmisión.
Documente el registro de transmisiones y los resultados del DTIA; revise los riesgos regularmente.

8) Derechos de los sujetos (DSR)

Derecho de acceso, rectificación, supresión, restricción, portabilidad, objeción, denegación de comercialización.
Plazos: normalmente hasta 30 días (se puede ampliar otros 60 con dificultad, con aviso).
Compruebe la identidad del solicitante (sin revelar más).
Excepciones: almacenamiento debido a la obligación de AML/impuestos, etc. documentar.

9) Cookies/SDK y marketing

Divida las cookies por categorías: obligatorias/funcionales/analíticas/marketing.
Para análisis/marketing en la UE/EEZ - opt-in (selección real), registro de consentimiento, descripciones detalladas.
Respete Do Not Track/Opt-out; utilice análisis de servidor y minimización de datos.
Marketing por correo electrónico/SMS - consentimiento por separado; almacene el estúpido del consentimiento y los temporizadores.

10) Seguridad y «privacidad por diseño/por default»

Encriptación in transit y at nat, tokenización de datos de pago, aislamiento de zonas de datos (PII ↔ analítica).
Control de acceso RBAC/ABAC, MFA, accesos JIT, registro de actividades, archivo WORM.
Control DLP de descargas e intercambios; prohibición de copias no autorizadas de datos prod en dev/stage.
Minimice los campos, agregue y anonimice donde no sea necesario identificarlos.

11) Registro de operaciones (RoPA) y retiro

Mantener RoPA: propósito, bases, categorías de datos y sujetos, destinatarios, plazos de retención, medidas de seguridad, transferencias al extranjero.
Matriz de retiro: para cada categoría de PD - plazo (por ejemplo, AML/KYC ≥5 años después del final de la relación), método de eliminación/anonimato, propietario responsable.

12) Fugas y notificaciones (art. 33/34)

Evalúe el riesgo para los derechos y libertades: si es probable que se produzcan daños, notifique a la autoridad supervisora en un plazo de 72 horas, y en caso de alto riesgo, a las entidades sin demora indebida.
Plan de respuesta: aislamiento, fuerza, corrección, comunicaciones, post-mar; almacena artefactos y soluciones.

13) Procesadores, DPA y administración de vendedores

Con cada procesador, concluya el DPA: tema, categorías de PD, subprocesadores, seguridad, asistencia con DSR/incidentes, auditoría, eliminación/devolución de datos.
Realizar due diligence: localizaciones, certificaciones (ISO/SOC), incidentes, medidas de seguridad, subprocesadores.
Revalorización anual y con cambios (sanciones, M&A, geografía).

14) Matriz «Objetivos → Bases → Plazos de conservación»

ObjetivoBaseEjemplo de fecha límite
Cuenta/TransaccionesContractMientras esté vigente el contrato + N mes.
AML/KYCLegal obligation≥5 años después de la conclusión de la relación
Anticongelante/seguridadLIAVentana de rodadura 12-24 meses (seudonimización)
MarketingConsentMientras esté vigente el consentimiento o antes de la revocación
RG/cumplimientoLegal obligation/LIADerecho y política locales

15) Documentación para su wiki (esqueletos)

1. Política de privacidad (capa): versión breve + completa.
2. Política de cookies/gestión de consensos.
3. Registro de tratamientos (RoPA).
4. Plantilla DPIA/DTIA + criterios de activación.
5. Política de DSR (SLA/procedimientos/plantillas).
6. Política de retiro y eliminación + job-pipeline.
7. Política de incidentes y notificaciones (RACI, formularios).
8. Plantilla de DPA y lista de comprobación de la diligencia debida de los vendedores.
9. Reglas de perfilado y soluciones automatizadas (explainabilidad, apelaciones).

16) Métricas y controles

DSR SLA: porcentaje de solicitudes cerradas ≤30 días.
Coverage de Consent: proporción de eventos con valor opt-in/opt-out.
Índice de minimización de datos: número medio de PD por ficha.
Access Violations/Exports: incidentes de acceso y descarga, tendencia.
Encryption Coverage:% de las tablas/bacets/backups en cifrado.
Incident MTTR/MTTD y repetibilidad.
Vendor Compliance Rate y resultados de auditoría.
RoPA Completeness и Retention Adherence.

17) Hojas de cheques

Antes de iniciar el fiche (Privacy by Design):
  • DPIA/bases de legalidad confirmadas por DPO.
  • Los objetivos/bases/retenciones se incluyen en el RoPA.
  • Minimización de campos/pseudonimización/aislamiento de zonas de datos.
  • La pancarta de consensos y las categorías de cookies están configuradas.
  • DPA/vendedores están de acuerdo, los subprocesadores están listados.
  • Registros, alertas, auditorías, eliminación/anonimización - incluidos.
Operación (trimestral):
  • Rugido de accesos (RBAC/ABAC), revocación de superfluos.
  • Prueba de recuperación de backups.
  • Revisión del DTIA/SCC y la lista de subprocesadores.
  • Auditoría de retén (eliminado por fecha límite) y registro DSR.
  • Entrenamiento del plan de IR y actualización de playbooks.
Proceso DSR:
  • Verificación del solicitante.
  • Recopilación de datos de los sistemas de RoPA.
  • Respuesta a tiempo con la confirmación de los motivos de las excepciones.
  • Actualización de registros y notificación a las partes (en caso de portabilidad).

18) Hoja de ruta para la implementación

1. Inventario de los sistemas y flujos de programas de acción; formación de RoPA.
2. Nombramiento de DPO, aprobación de políticas y RACI.
3. Lanzamiento del circuito DPIA/DTIA y la gestión de consensos.
4. División de zonas de datos, cifrado, DLP, registros y archivo WORM.
5. Pipeline y eliminación/anonimización.
6. Vendor-rugido, DPA, registro de subprocesadores.
7. Perfilando: reason codes, apelaciones, explainability.
8. Métricas regulares, informe de la Junta, sesiones de auditoría externas/internas.

Resultado

El cumplimiento del RGPD no es solo una política en el sitio, sino un sistema de gestión del ciclo de vida del PD: bases correctas, minimización y seguridad por defecto, DPIA/DTIA, respeto a los derechos de los sujetos, vendedores controlados y métricas medibles. Al integrar la privacidad en la arquitectura y los procesos, conservará las licencias, las asociaciones y la confianza de los jugadores, sin comprometer la velocidad del producto y la conversión.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.