GH GambleHub

Política de privacidad del sitio

1) Propósito y ámbito de aplicación

Privacy Policy es un documento público que explica a los usuarios en un lenguaje transparente y comprensible:
  • qué datos personales recopila,
  • para qué fines y por qué motivos jurídicos los tramita,
  • a quién y cómo transfiere los datos (procesadores, socios, proveedores),
  • durante cuánto tiempo conserve, cómo proteja y cómo ejerza los derechos de los interesados.

Quién necesita: cualquier sitio/aplicación, especialmente iGaming y servicios de fintech con KYC/AML, transacciones de pago, análisis antifraude, análisis y marketing.

2) Definiciones clave

Datos personales (PD): cualquier información que permita identificar al usuario (nombre, correo electrónico, IP, ID de dispositivo, datos de pago, etc.).
Tratamiento: cualquier operación con PDn (recogida, almacenamiento, modificación, transferencia, eliminación).
Controlador/Operador: empresa que define los objetivos y los medios de tratamiento.
Procesador: persona/entidad que procesa PDn por encargo del controlador.
Cookies y píxeles: tecnologías de almacenamiento y lectura de identificadores para el funcionamiento del sitio, análisis y marketing.
Categorías de datos especiales: biometría/medicina, etc. (en iGaming no suelen procesarse; excepción - KYC-biometría en terceros por consentimiento/motivo separado).

3) Qué datos recopila normalmente en la plataforma iGaming

1. Identificación: nombre, fecha de nacimiento, nacionalidad, dirección, documento (pasaporte/ID), selfie/videovigilancia (si KYC tiene un proveedor autorizado).
2. Contactos: correo electrónico, teléfono, mensajería instantánea.
3. Cuentas: Logins, hashes de contraseñas, configuración de cuentas, preferencias de idioma/moneda.
4. Pagos y transacciones: tarjetas tokenizadas, datos de billeteras, historial de pagos, retiros, chargeback/disputs.
5. Técnicos: IP, user-agent, ID de dispositivo, registro, eventos de sesión, cookie-ID.
6. Marketing/análisis: fuentes de tráfico, UTM, conversiones, segmentos, resultados de pruebas A/B.
7. Antifraude/AML: patrones de comportamiento, puntuación de riesgo, señales geo/proxy, resultado de las capturas de pantalla de sanciones y PEP (a través de proveedores con licencia).

4) Fundamentos jurídicos del tratamiento (lista indicativa)

Ejecución del contrato (registro, mantenimiento de la cuenta, procesamiento de tarifas/pagos).
Obligación legal (KYC/AML, estados fiscales/financieros, registros de seguridad).
Interés legítimo (prevención de desastres, seguridad, mejora del servicio), con una prueba de equilibrio de intereses.
Consentimiento (boletines de marketing, cookies opcionales, biometría KYC en proveedores individuales, si la ley local lo requiere).
Protección de los derechos y el orden público (solución de controversias, protección contra reclamaciones).

5) Objetivos del tratamiento (formulaciones modelo)

Crear y administrar una cuenta, dando acceso a juegos/servicios.
Realizar pagos y retiros, reembolsos, liquidación de depósitos Net, informes financieros.
Verificación de KYC/AML/sanciones/PEP, prevención de fraude y abuso de bonos.
Atención al cliente y cumplimiento de las solicitudes de las entidades de PDn.
Análisis y mejora de productos (conversiones, UX, performance).
Marketing (correo electrónico, inserción, retargeting) si existe una base legal.
Cumplir con los requisitos de los reguladores y proporcionar datos sobre sus solicitudes legítimas.

6) Cookies, seguimiento y píxeles

Se divide en categorías:
  • Estrictamente necesario: sesiones, seguridad, funcionalidad de la cuenta.
  • Funcional: idioma, moneda, preferencias de interfaz.
  • Analítica: medición de asistencia, cuervos, métricas UX.
  • Marketing: atribución de tráfico, retargeting, segmentos look-alike.

Práctica: banner/panel de control de consentimiento (CMP) separado, la capacidad de cambiar la selección en cualquier momento. Especificar los plazos de vida, objetivos y proveedores.

7) Transferencias y localización transfronterizas

Describir la geografía del almacenamiento y tratamiento (EU/EEE, Reino Unido, Canadá, Brasil, Estados Unidos, etc.).
Especificar mecanismos: cláusulas contractuales estándar (SCC), herramientas equivalentes, almacenamiento/espejos locales, DPIA si es necesario.
Para flujos especialmente sensibles (KYC-biometría) - medidas individuales y minimización.

8) Destinatarios de datos (categorías)

Proveedores de KYC/AML, sanciones y verificaciones PEP.
Proveedores de pago, emisores, bancos, pasarelas de procesamiento.
Proveedores antifraude/scoring de riesgo, hosting/cloud, CDN, servicios de correo electrónico/sms.
Análisis/crash-reporting, plataformas de marketing (por consentimiento).
Los auditores, los abogados, los reguladores y otros órganos son legítimos.

9) Plazos de retención (principio de minimización)

Cuenta y datos operativos - Mientras esté vigente el contrato y los plazos reglamentarios (a menudo 5-10 años para los documentos finales/registros AML).
Perfiles de marketing - según los plazos acordados con CMP y antes de la revocación del consentimiento.
Los registros de seguridad son múltiples a los objetivos (por ejemplo, 12-24 meses), a menos que la ley exija lo contrario.
Al final de los plazos - eliminación/anonimización segura.

10) Medidas de seguridad y organización

Cifrado en reposo y durante la transmisión, políticas de red estrictas, WAF/firewalls.
Control de acceso (RBAC/ABAC), registro, auditorías periódicas y pruebas de espuma.
Segmentación de sistemas, principio de los derechos más pequeños, gestión secreta.
Monitoreo continuo, reglas antifraude, pruebas de planes de respuesta a incidentes.
Evaluaciones de riesgos y DPIA para tratamientos de alto riesgo.

11) Derechos de los usuarios (sujetos de datos)

Acceso a datos, corrección, eliminación, limitación de procesamiento.
Portabilidad (formato machine-readable).
Objeción al procesamiento (incluida la comercialización).
Revocación del consentimiento sin deterioro de las funciones obligatorias.
Queja ante la autoridad autorizada (indíquese los contactos del regulador sobre la jurisdicción).

12) Niños y limitaciones de edad

Los servicios de iGaming son solo para adultos según las leyes locales. Describir los mecanismos de verificación de la edad y el procedimiento de eliminación de los datos de los menores en el registro erróneo.

13) Soluciones y perfiles automatizados

Describa brevemente los perfiles antifraude/puntuación de riesgo/marketing.
Indicar si el resultado afecta a decisiones legalmente significativas (congelación, solicitud KYC).
Prever el derecho a la «revisión humana» en casos contenciosos.

14) Contactos y DPO

Especificar e-mail/formulario de comunicación para solicitudes de entidades, dirección postal de la empresa. Si se asigna DPO - nombre/contactos. Plazos de respuesta (por ejemplo, hasta 30 días, con una posible prórroga si la ley lo permite).

15) Actualizaciones de políticas

Fijar la fecha de entrada en vigor y las auditorías.
Notificar con transparencia los cambios significativos (banner/carta/notificación interna).

16) Notas jurisdiccionales (matriz aproximada)

EU/EEE (GDPR): bases, DPIA, DPA con procesadores, SCC para transmisiones transfronterizas, registro de intereses, registro de tratamientos.
Reino Unido (RGPD del Reino Unido): similar, teniendo en cuenta las autoridades locales.
Brasil (LGPD): bases legales, ombudsman LGPD, plazos locales.
California (CCPA/CPRA): derecho a rechazar la «venta/intercambio» de datos, «Do Not Sell or Share», una categoría de datos personales.
Canadá (PIPEDA/provincias): consentimiento y limitación específica.
Australia (Ley de Privacidad): APPs, revelaciones transfronterizas.
Agregue particiones locales a los países donde está trabajando.

17) Lista de comprobación práctica antes de la publicación

  • Mapa de datos (qué, dónde, por qué, cuánto tiempo, quién tiene acceso).
  • Registro de tratamientos y DPA con procesadores clave.
  • CMP y tabla de cookies con plazos y objetivos.
  • Procedimiento de respuesta a solicitudes de entidades (SLA, plantillas de correo electrónico).
  • Procedimiento de notificación de incidentes (a quién, cuándo, cómo).
  • Versificación de políticas y registro de cambios.

18) Plantilla de política terminada (copiar y adaptar)

Política de privacidad

Entrada en vigor: [fecha] Versión: [vX. Y]

1. Quiénes somos

[Nombre completo de la empresa], [dirección legal], [datos de registro].

Contactos: [support @ dominio], [dirección postal].

2. Aplicabilidad

Esta Política se aplica al sitio (s) y las aplicaciones: [dominios/aplicaciones], así como a los servicios de soporte relacionados.

3. Datos que procesamos

Identificación y contacto (nombre, fecha de nacimiento, correo electrónico, teléfono, dirección).
Credenciales (inicio de sesión, contraseña hash, configuración).
Pagos/transacciones (tokens de tarjeta, historial de transacciones).
Técnico (IP, dispositivos, registros, ID de cookies).
Antifraude/AML (señales de comportamiento, resultados de verificación en proveedores).
Marketing/análisis (UTM, conversiones) - Si hay consentimiento, si es necesario.

4. Objetivos y bases jurídicas

Procesamos datos para: proporcionar servicio, pagos y retiros, KYC/AML, seguridad y antifraude, soporte, análisis, marketing (con consentimiento), cumplimiento de la ley. Motivos: cumplimiento del contrato, obligación legal, interés legítimo, consentimiento.

5. Cookies y tecnologías similares

Utilizamos:
  • estrictamente necesario (sesiones, seguridad),
  • funcionales (configuración),
  • analítica,
  • marketing.
  • El control está disponible a través del [panel de consentimiento/enlace SMR]. Para obtener una tabla de cookies, consulte el Apéndice A.

6. Con quién compartimos los datos

Categorías de destinatarios: proveedores KYC/AML, organizaciones de pago, alojamiento/CDN, antifraude y análisis, soporte (e-mail/SMS), auditores, reguladores por ley. Transferencia - sobre la base de tratados y medidas de seguridad.

7. Transmisiones internacionales

Los datos se pueden procesar fuera de su país. Aplicamos mecanismos legales (por ejemplo, cláusulas contractuales estándar) y medidas técnicas/organizativas para la protección.

8. Plazos

Conservamos todo lo necesario para los fines y en los plazos establecidos por la ley (por ejemplo, registros financieros/AML - al menos [X] años). Después de la expiración - eliminación/anonimización.

9. Seguridad

Encriptación, control de acceso, monitoreo, segmentación, auditoría, pruebas de espuma. A pesar de las medidas, no se garantiza la seguridad absoluta; actuamos de acuerdo con las normas aplicables de notificación de incidentes.

10. Sus derechos

Puede solicitar acceso, rectificación, eliminación, restricción, portabilidad, objeción, así como revocar el consentimiento (para procesar el consentimiento). Contactos para consultas: [privacy @ domain]. También tiene derecho a presentar una queja ante el [nombre del supervisor/jurisdicción].

11. Soluciones y perfiles automatizados

Utilizamos sistemas automatizados para antifraude y evaluación de riesgos. En caso de decisión significativa, puede solicitar una revisión con participación humana.

12. Niños

El servicio está dirigido a personas [18 +] o mayores de edad según el derecho local. Cuando se detecta una cuenta de un menor, se bloquea y elimina los datos.

13. Contactos DPO/Responsable

[DPO FIO/cargo], e-mail: [dpo @ dominio], dirección: [dirección].

14. Actualizaciones de esta política

Actualizamos periódicamente la Política. Los cambios sustanciales se comunicarán a través de la página web/notificación. La versión actual siempre está disponible en: [link].

Anexo A. Tabla de cookies (ejemplo)

NombreTipoObjetivoDuración de la vidaProveedor
_session_idEstrictamente necesarioSesión de usuarioSesiónLocale propio
_analytics_idAnalíticoMedición del tráfico/conversiones24 meses[Proveedor]
_ad_tagDe marketingRetargeting6 meses[Proveedor]

Apéndice B. Contrapartes (categorías)

Proveedores KYC/AML: [nombre/jurisdicción/función].
Procesadores de pagos/bancos: [categorías].
Hosting/cloud/CDN: [categorías].
Marketing/boletines/análisis: [categorías].
Soporte (tickets/SMS/e-mail): [categorías].

(Los nombres exactos se pueden revelar en el DPA/Registro de Tratamientos, y en la Política, las categorías.)

Apéndice C. Requisitos jurisdiccionales (plantilla)

EU/EEE (RGPD): derechos, mecanismos de transmisión, contactos del supervisor: [referencia/título].
California (CCPA/CPRA): el enlace «Do Not Sell or Share My Personal Information», una descripción de las categorías y derechos de los consumidores.
Brasil (LGPD): contacto del responsable, derechos titulares.
Reino Unido: UK GDPR e ICO.
Canadá/Australia: derechos locales y contactos de los reguladores.

19) Consejos para mantener la relevancia

Una vez al trimestre, consulte la Política con el flow de datos real y el DPIA.
Cuando agregue un nuevo proveedor/SDK, actualice el registro de tratamientos y el CMP.
Lógica y documenta las respuestas a las consultas de los sujetos (SLA, plantillas, métricas).
Mantenga un registro de versiones con un breve changelog.

Cómo utilizar este artículo

1. Siga la lista de comprobación y recopile datos sobre sus datos y flujos.
2. Copie la plantilla y pegue sus datos/plazos/jurisdicciones.
3. Acuerde con su abogado y DPO, luego publique en el sitio y conecte el CMP.
4. Configure el proceso de aceptación de solicitudes de los interesados y actualice la Política cuando se produzcan cambios.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.