GH GambleHub

Política de cookies y sistema CMP

1) Objetivo y área

Establecer reglas uniformes para el almacenamiento/lectura legal de identificadores (cookies, almacenamiento local, SDK) y la gestión del consentimiento a través de CMP en todas las superficies: web, iOS/Android, e-mail/SMS/push, landings afiliados, streams. El documento complementa: «GDPR: Gestión del Consentimiento», «Verificación de Edad», «Normas de Publicidad».

2) Bases jurídicas (breve)

ePrivacy: Cualquier cookie/SDK que no necesite - sólo después del consentimiento. «Estrictamente necesario» (autenticación, cesta/balance, seguridad/antifraude) - permitido sin consentimiento.
GDPR: consentimiento como base legal para el procesamiento (Art. 6(1)(a)); para operaciones de servicio - necesidad contractual (Art. 6(1)(b)); interés legítimo - limitado y con derecho de objeción.
Niños/vulnerables: identificadores de marketing/personalización - prohibidos.

3) Principios

1. Consent prioritario: ninguna etiqueta no necesaria antes de seleccionarla en el CMP.
2. Objetivos separados: análisis, personalización, marketing, remarketing, geolocalización, A/B - tumblers individuales.
3. Revocación = clic: tan simple como el consentimiento; Terminación instantánea del procesamiento.
4. Sin patrones oscuros: igual visibilidad «Aceptar todo »/« Rechazar todo »/« Configurar».
5. Probabilidad: versiones de textos, hashes, capturas de pantalla de IU, registros de reglas de firing.
6. Minimización/localización: ponemos y almacenamos solo lo que se necesita en las regiones permitidas.

4) Roles y RACI

DPO/Compliance (Owner) - Política, DPIA, respuestas a quejas. (A)

Legal - textos, requisitos locales y plazos de retención. (R)

Product/UX: banners/paneles, disponibilidad y locals. (R)

Ingeniería/CMP Owner: bloqueos de etiquetas, SDK, API, versión. (R)

Datos/Análisis - modos de identificación, medición con consentimiento. (C)

CRM/Ads - suppression por consentimiento revocado. (R)

InfoSec - cifrado, claves, acceso a logotipos de consentimiento. (C)

Auditoría Interna - Muestras de evidencia, CAPA. (C)

5) Nat cookies/SDK

Estrictamente necesario (sin consentimiento):
  • Sesión/autenticación, balanza/carrito de compras, protección contra el frode y la distribución de carga, manteniendo la selección de privacidad.
Por acuerdo (objetivos separados):
  • Analítica (user-level, ID de dispositivo cruzado).
  • Personalización (contenido/juegos, recomendaciones).
  • Marketing (e-mail/SMS/push - canales por separado).
  • Remarketing/Ads (píxeles/SDK de terceros).
  • Pruebas A/B (si utiliza identificadores).
  • Geolocalización «ciudad/región» (nestrogaya).

6) CMP: patrones y textos de UX

Primera capa (banner): objetivo breve, 3 botones equivalentes: Rechazar todo/Configurar/Aceptar todo.
Segunda capa (panel): tumblers de objetivos, lista de vendedores y plazos de retención, referencia de políticas.
Centro de preferencias: en el perfil del jugador están las banderas de canal de marketing (e-mail/SMS/push/teléfono), «Date de baja de todo».
Accesibilidad: contraste AA +, trampa de enfoque, lectores de pantalla, localización, adaptación móvil.
GPC/Do Not Track: señal global = rechazar todo (excepto estrictamente necesario).
Apps: in-app CMP + sistemas OS-prompts; sincronización con el perfil del servidor.

Ejemplo de texto de banner:
💡 Utilizamos archivos e identificadores para análisis, personalización y marketing. Elige lo que te conviene. La configuración se puede cambiar en cualquier momento.
[Rechazar todo] [Configurar] [Aceptar todo]

7) IAB TCF 2. 2 (marco)

Generación y almacenamiento de líneas TC, versión de la lista de vendedores, objetivos de mapping ↔ nuestras banderas.
Bloquea las terceras etiquetas antes de recibir el TC (contenido principal).
Respeto a los permisos/prohibiciones para cada vendedor y propósito.
Para los mercados fuera de TCF, un CMP personalizado con un registro similar.

8) Etiquetas, Tag Manager y Server-side

Deny by default: las reglas en TM bloquean todas las etiquetas no necesarias antes del consentimiento.
tagging server-side: esquema proxy con anulación/enmascaramiento de identificadores si no hay consentimiento; la configuración se almacena en una región permitida.
Gates SDK: Inicialización de SDK de marketing/analítica sólo con la marca de destino true.
Firing-logs: quién/qué/cuándo «disparó», bajo qué estado de consentimiento.

9) Datos, artefactos y retén (modelo mínimo)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Registros WORM de consentimientos/revisiones, versiones de textos, capturas de pantalla de opciones de UI.
Retención: mientras el objetivo/relación + tiempo local esté vigente; marketing - limitado (a menudo ≤ 24 meses de inactividad).

10) Integraciones: CRM/Ads/Afiliados

Suppression: revocación → desactivación instantánea de canales y remarketing (near-real-time + batches nocturnos).
E-mail/SMS: envíe sólo cuando sea explícitamente verdadero para el canal (doble opt-in por mercados).
Afiliados: leads sin CMR/estatus de consentimiento válido - no calificados; version/hash condiciones - obligatorio.

11) Perfiles regionales (plantilla)


Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Control, pruebas y auditoría

CI-linter: comprobación de la existencia de «Rechazar todo», procesamiento GPC, bloqueo de etiquetas antes del consentimiento.
Pruebas E2E: scripts accept/deny/withdraw → comprobación de registros y suppression en CRM.
Muestras: auditoría trimestral de los registros de consentimiento y capturas de pantalla de IU; conciliar versiones de textos.
Incidentes: cualquier lanzamiento de la etiqueta sin consentimiento → inmediato takedown, causa/fix, CAPA.

13) KPI/KRI y dashboard

Opt-in Rate por objetivos/mercados/dispositivos.
Withdraw Rate y Time-to-Apply (mediana).
GPC Honor Rate (tratamiento correcto Globe. señales).
Tag Firing Violations (en 1k descargas).
Suppression Integrity (marketing al revocar = 0).
Complaint Rate / Reg Findings.
Auditability Score (% de registros con un paquete completo de artefactos).

14) Hojas de cheques

Antes de iniciar

  • Banner con «Rechazar todo», locals, disponibilidad AA +.
  • Se acuerdan las categorías de objetivos y la lista de vendedores (Legal/DPO).
  • Tag Manager: deny-by-default; Gates SDK.
  • El GPC es reconocido y aplicado.
  • Centro de preferencias con banderas de canal y «Date de baja de todo».
  • El almacén de pruebas WORM está habilitado.
  • Monitoreo de infracciones de primera línea y GPC.
  • Conciliación de suppression en CRM/Ads.
  • DSAR devuelve los estados y el registro actuales.

Auditoría/mejora

  • Muestras trimestrales de concordancias y capturas de pantalla de IU.
  • El rugido A/B de una pancarta sobre la ausencia de patrones oscuros.
  • Actualización de perfiles y textos regionales.

15) Plantillas (inserciones rápidas)

A) Banner (primera capa)

💡 Utilizamos archivos e identificadores para análisis, personalización y marketing. Puede aceptar, rechazar o personalizar por categoría.
[Rechazar todo] [Configurar] [Aceptar todo]

B) Panel (destino Remarketing/Ads)

💡 Permitir el uso de identificadores para mostrar anuncios personalizados en sitios externos. Sin esto, no usaremos píxeles/SDK de terceros.

C) Retirada del consentimiento (confirmación)

💡 Sus preferencias están actualizadas. Los anuncios personalizados y los identificadores de marketing están desactivados. Todavía puede jugar y utilizar el servicio.

D) Respuesta a la queja «imposible de rechazar»

💡 El rechazo está disponible desde cualquier pantalla a través de «Configuración de privacidad» y en el banner de CMP. Hemos comprobado el comportamiento de la página N y hemos corregido el problema. Disculpe las molestias.

16) Marco técnico y eventos

События: `cmp_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `sdk_initialized/blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

API:
  • `GET /consents? user_id=…`
  • `POST /consents` (create/withdraw/update)
  • `POST /marketing/preferences`
  • `POST /gpc/signal`
  • Infraestructura: caché de consensos del servidor, georreferenciación de registros, enmascaramiento de identificadores en deny.

17) Riesgos y prevención

Correr etiquetas antes del consentimiento → Deny-by-default, pruebas E2E, alarmas.
Patrones oscuros en la pancarta. → El rugido de diseño, igual visibilidad de los botones.
No coincidencia de estados en CRM/Ads. → Servicio único de suppression y conciliación diaria.
Recolección de identificadores superfluos → Minimización, enmascaramiento, perfiles regionales.
Falta de pruebas → Capturas de pantalla/hashes/registros en WORM.

18) Plan de implementación de 30 días

Semana 1

1. Aprobar la taxonomía de las cookies/objetivos y los textos (localies); DPIA.
2. Seleccionar/configurar CMP (TCF 2. 2 + objetivos personalizados), incluir GPC.
3. Especificar el modelo de datos/artefactos, almacenamiento WORM.

Semana 2

4) Implementar deny-by-default en Tag Manager, caché de consensos de servidor, puertas SDK.
5) Construir un centro preferencial (banderas de canal, «Date de baja de todo»).
6) Configurar la suppression en CRM/Ads y los feeds afiliados.

Semana 3

7) Piloto en 10-20% del tráfico: Opt-in/Withdraw/GPC Honor, Firing-logs test.
8) Correcciones de UX/redacción/reglas de TM sobre fidback e incidentes.

Semana 4

9) Lanzamiento completo; habilitar KPI/KRI dashboard y alertas.
10) Plan trimestral de auditorías y CAPA.
11) Plan v1. 1: server-side tagging para todos los mercados, auto-reporting de acuerdo.

Secciones relacionadas:
  • GDPR: gestión del consentimiento de los usuarios
  • Comprobación de edad y filtros de edad
  • Normas de publicidad y prohibiciones/Discursos y veracidad de la publicidad
  • Transparencia de las condiciones de bonificación
  • Localización de datos por jurisdicciones
  • Dashboard de cumplimiento y monitoreo/Auditoría interna y externa
Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.