GH GambleHub

Política de privacidad y RGPD

1) Asignación y alcance

Objetivo: garantizar el tratamiento legal, transparente y seguro de los datos personales (PII) de los jugadores, socios y empleados en todas las jurisdicciones de presencia del operador.
Cobertura: aplicaciones web/móviles, CRM/BI/DWH, antifraude/AML/KYC, PSP/proveedores de CUS/sanciones, sapport, marketing, afiliados, estudios en vivo, alojamiento y lógica.

2) Roles y Responsabilidades (RACI)

Oficina de Protección de Datos (DPO) - A: supervisión de cumplimiento, RoPA, DPIA/DTIA, respuestas a los reguladores.
Head of Compliance - A: política, apetito de riesgo, escaladas y reporting.
Legal - C: bases jurídicas, tratados DPA/SCC, textos de pancartas y notificaciones.
Seguridad/SRE - R: medidas técnicas y organizativas (TOMs), registro de acceso, incidentes.
Data/BI - R: directorio de datos, minimización, enmascaramiento/pseudonimización.
Marketing/CRM - R: consentimiento, preferencias, cancelaciones, cookies.
Product/Engineering - R: Privacy by Design/Default, almacenamiento y eliminación.
Support/VIP - R: solicitudes de sujetos (DSAR), verificación de identidad.

3) Bases legales para el procesamiento (Bases de Lawful)

Consent (Consentimiento) - marketing, cookies analíticas/promocionales, personalizaciones no obligatorias.
Contrato (Contrato) - registro, procesamiento de apuestas/retiros, sapport.
Legal Obligation - KYC/AML/sanciones, contabilidad e informes.
Legitimate Interests - antifraude, seguridad, mejora del producto (con prueba de equilibrio de intereses - LIA).
Vital/Public Interest - casos raros RG/seguridad, si es aplicable y permitido por la ley.

4) Derechos de los interesados (DSR/DSAR)

Acceso (Art. 15), Corrección (Art. 16), Eliminación (Art. 17), Restricción (Art. 18), Portabilidad (Art. 20), Objeción (Art. 21), no ser objeto de una solución exclusivamente automatizada (Art. 22).
SLA de procesamiento DSAR: confirmación ≤ 7 días, ejecución ≤ 30 días (prolongación por otros 60 cuando es difícil notificar a la entidad).
Verificación: multifactorial; prohibición de revelar datos sensibles a través de canales abiertos.
Registros: almacenar la solicitud, verificación de identidad, paquete de datos emitido y plazo de respuesta.

5) Registro de operaciones de procesamiento (RoPA)

Campos mínimos: objetivo, categorías de sujetos/datos, base legal, plazos de retención, destinatarios/terceros países, medidas de seguridad, fuente de datos, soluciones/perfiles automatizados, DPIA/DTIA, si los hay.

6) DPIA/DTIA: cuándo y cómo

DPIA - a alto riesgo: perfiles a gran escala, nuevos modelos antifraude, procesamiento de geodatos, desencadenantes RG, observación sistemática.
DTIA/TIA - En transferencias transfronterizas fuera del EEE/Reino Unido: evaluación del acceso local de las agencias estatales, medidas contractuales/técnicas.
Proceso: cribado → evaluación de riesgos y medidas → armonización DPO/Legal → implementación de controles → registro de hipótesis.

7) Cookies, píxeles, SDK y pancarta de consentimiento

Categorías: estrictamente necesario, funcional, analítico, marketing.

Requisitos:
  • Antes del consentimiento - sólo enviamos estrictamente necesario.
  • Consentimiento granular y renuncia separada; registro de versiones y sellos de tiempo.
  • CMP con IAB TCF (si corresponde); Actualización automática del banner cuando se cambian los objetivos/proveedores.
  • Baja fácil/cambio de selección en cualquier momento.

8) Procesadores y subprocesadores

DPA con cada proveedor: tema, objetivos, categorías de datos, plazos, TOMs, subprocesadores, auditorías.
Registro público de subprocesadores (versionabilidad); Notificación de cambios y derecho de objeción.
Verificaciones: due diligence (ISO/SOC2), incidentes de prueba, informes pentest bajo demanda, plan offboarding.

9) Transferencias transfronterizas

SCCs/IDTA + DTIA; si es necesario, medidas adicionales: E2EE, encriptación de clientes, cuasi-anonimización, claves en la UE.
Fijamos el mecanismo jurídico, el país y los beneficiarios en la Política/Registro.

10) Almacenamiento y eliminación (Retention & Deletion)

Matriz de plazos (ejemplo):
CategoríaFecha límiteBase
Cuenta de jugadorHasta 5 años después del cierreAML/contabilidad en varias jurisdicciones
Documentos KYC/AML5-10 añosLegal Obligation
Registros de acceso a PII1-3 añosLegitimate Interests/seguridad
Eventos de marketing24 mesesConsent/LI
Registros de sapport24-36 mesesContract/LI

Política de eliminación: tareas automáticas (job) en DWH/repositorios; eliminación en copias de seguridad por ciclo; fijación en los registros. Seudonimización de ID para análisis.

11) Seguridad (TOMs)

Técnico: encriptación de At Nat/Transit, segmentación de redes, minimización de derechos, KMS/rotación de claves, DLP, EDR/IDS/WAF, SSO/MFA, gestor de secretos, registro WORM.
Organización: políticas de acceso, capacitación, NDA, escritorio limpio, verificación de proveedores, gestión de incidentes (SANS/NIST).
Privacy by Design/Default: evaluación en procesos de cambio, conjuntos de datos mínimos predeterminados, datos de prueba sin PII.

12) Notificaciones de fugas e incidentes

Evaluación: confirmación de hecho, volumen y riesgo.
Plazos (puntos de referencia): al supervisor de datos - hasta 72 horas en riesgo de derechos/libertades; usuarios - sin demora indebida.
Contenido de la notificación: descripción del incidente, categorías y número indicativo de registros, contacto DPO, consecuencias, medidas adoptadas, recomendaciones a las entidades.
Registros: línea de tiempo, soluciones, plantillas de correo electrónico/respuesta, CAPA.

13) Marketing y Comunicaciones

Separar las comunicaciones transaccionales (sin consentimiento) y las comunicaciones de marketing (sólo consentimiento).
Gestión de preferencias: centro de configuración, suscripciones por temas/canales, doble opt-in (donde se requiere).
Afiliados y seguimiento: restricciones contractuales a la recolección/transmisión de PII, prohibición de transferencia de identificadores sin motivo y consentimiento.

14) Política de privacidad pública - Estructura

1. Quiénes somos y los contactos de DPO.
2. Qué datos recopilamos (por categorías y fuentes).
3. Objetivos/fundamentos jurídicos (cuadro «finalidad → datos → fundamento → plazo»).
4. Cookies/SDK y gestión del consentimiento.
5. Receptores y transferencias transfronterizas (mecanismos y medidas).
6. Derechos de los sujetos y cómo ejercerlos.
7. Seguridad de datos (TOMs de alto nivel).
8. Plazos de retención y criterios.
9. Soluciones/perfiles automatizados y lógica en términos generales.
10. Cambios de política (versionabilidad) y cómo notificamos.
11. Contactos para quejas (DPA por jurisdicciones, si es necesario).

💡 Lenguaje - simple y comprensible; evitar la jerga y los detalles técnicos innecesarios.

15) Plantillas y ejemplos de formulaciones

15. 1 Cuadro de objetivos/motivos (fragmento):

ObjetivoDatosBaseFecha límite
Registro y cuentaIdentificadores, contactosTratadovida útil de la cuenta + X
KYC/AMLDocumentos, fotos, liveness, éxitos de SanzLegal Obligation5-10 años
Anticongelante/seguridadID de dispositivo, IP, comportamientoLegitimate Interests24 meses
MarketingEmail/Push/cookies-IDConsentantes de la revocación

15. 2 Banner de cookies (mínimo):

"Utilizamos cookies. Al hacer clic en «Aceptar todo», usted acepta el almacenamiento de cookies analíticas y de marketing. Puede cambiar la selección por categorías. "Rechazar las opcionales" - sólo las cookies estrictamente necesarias"

15. 3 Sección sobre perfiles (ejemplo):

"Utilizamos perfiles para prevenir fraudes y para el juego responsable (RG). Esto es necesario para la seguridad y se ajusta a nuestros intereses legítimos. Usted puede objetar a menos que la ley prescriba lo contrario (por ejemplo, AML)"

16) SOP procesado

SOP-1: Actualización de la política

Desencadenantes: nuevos objetivos/vendedores/SDK/jurisdicción.
Pasos: inventario de → LIA/DPIA → actualización de texto → localización → actualización CMP → comunicación a los usuarios → versión/fecha de entrada.

SOP-2: DSAR

Canal de solicitud → verificación de identidad → estimación de la cantidad de datos → recogida de paquetes (exportación de sistemas) → auditoría legal → emisión/denegación con justificación → registro.

SOP-3: Nuevo subprocesador

Due diligence → DPA/SCCs → DTIA → prueba de incidente → inclusión en el registro público → notificación a los usuarios (si es necesario).

17) Formación y auditoría

Onboarding + formación anual sobre privacidad para todos; entrenamientos adicionales para Support/Marketing/Ingeniería.
Auditoría interna una vez al año: RoPA, cumplimiento de plazos de retención, verificación selectiva de DSAR, rugido de SMR/cookies, aplicaciones de prueba, pentesto/forensic de registros de acceso.
KPI:% de los empleados que han recibido capacitación; SLA DSAR; Proporción de sistemas con seudonimización incluida; ejecutados por CAPA.

18) Localización y multiuridencialidad

GDPR/UK GDPR como estándar básico; tener en cuenta ePrivacy/PECR para comunicaciones y cookies.
Matices locales (ejemplo): edad del consentimiento para procesar los datos del niño, plazos de almacenamiento de KYC, formularios de notificación, requisitos de idioma del documento.
Mantener una matriz de discrepancias por países y referencias a las normas/licencias aplicables.

19) Hoja de ruta para la implementación (ejemplo)

Semanas 1-2: inventario de datos/sistemas, RoPA, mapa de subprocesos, borrador de políticas.
Semanas 3-4: SMR/banner, registro de subprocesadores, DPA/SCCs, DPIA para procesos de alto riesgo.
Mes 2: inicio del centro de preferencias, automatización de eliminación/anonimato, formación de empleados.
Mes 3 +: auditorías periódicas, pruebas DSAR, actualizaciones de localización y registros.

20) Lista de verificación rápida de preparación

  • Designado DPO, contactos publicados
  • RoPA actual y mapa de flujos de datos
  • Política publicada, localizada, con versionabilidad
  • CMP con logotipos de consentimiento/rechazo probados
  • DPA/SCCs y registro público de subprocesadores
  • DPIA/DTIA completados para procesos de riesgo
  • Retention-jobs y procedimientos de eliminación/anonimato
  • SOP en DSAR e incidentes, propietarios capacitados
  • Métricas/KPI y auditoría anual de privacidad

TL; DR

Política fuerte = objetivos y fundamentos claros + inventario y RoPA + consentimiento/cookies bajo control + transferencias transfronterizas seguras + registro de subprocesadores + plazos de retención y eliminación claros + DSAR/incidentes de entrenamiento. Esto reduce los riesgos legales y de reputación y fortalece la confianza de los jugadores.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.