GH GambleHub

GDPR: gestión del consentimiento de los usuarios

1) Objetivo y área

Crear un proceso único, verificable y fácil de usar para la gestión del consentimiento y las preferencias de comunicación, compatible con GDPR y ePrivacy, aplicable a todas las superficies: web, aplicaciones móviles/SDK, e-mail/SMS/push, landings de afiliados, streams/redes sociales, etiquetas Vendor

2) Principios básicos

Expresión libre, concreta, informada e inequívoca de la voluntad (sin prensa/convenciones de acceso).
Objetivos separados: análisis, personalización, marketing, geolocalización, pruebas A/B, etiquetas de terceros - tumblers individuales.
La revocación es tan simple como el consentimiento. No hay «misiones» para rechazar.
Falta de patrones oscuros. No hay distorsiones visuales/lockers.
Probable. Logs, versiones de textos, capturas de pantalla de la versión de UI, hashes de políticas.
Minimización y privacidad predeterminada.

3) Fundamentos jurídicos (manual breve)

Art. 6 (1) (a) Consentimiento: marketing, personalización, análisis con identificadores, cookies no condicionales/SDK.
Art. 6 (1) (b) Contrato: las operaciones necesarias para prestar el servicio (cookies estrictamente necesarias).
Art. 6 (1) (f) Interés legítimo (LIA): medidas limitadas de rendimiento bajo fuertes garantías y derecho de objeción.
Art. 8 Niños: edad para el consentimiento del niño - umbral para el país; con menores - prohibición de comercialización.
Art. 9 Categorías especiales: biometría/salud - fuera de la comercialización; fundamentos jurídicos separados/prohibiciones.
ePrivacy: almacenamiento/acceso al dispositivo (cookies/almacenamiento local/SDK) - sólo «estrictamente necesario» sin consentimiento; el resto está de acuerdo.

4) Roles y RACI

DPO/Head of Compliance - Política, DPIA, control de quejas/riesgos. (A)

Legal - textos, localización de requisitos, matriz de bases. (R)

Product/UX - banners/preference center, anti-dark-patterns. (R)

Ingeniería/CMP Owner - Integración de CMP/SDK, API, versión, GPC/DNT. (R)

CRM/Marketing - segmentación por banderas de consentimiento, suppression. (R)

Datos/Análisis - modos de identificación, restricciones de seguimiento. (C)

InfoSec - cifrado, claves, RBAC/ABAC a los logotipos de consentimiento. (C)

Auditoría Interna - Muestras de evidencia, CAPA. (C)

5) Taxonomía de los consentimientos y preferencias

Funcional (sin consentimiento): estrictamente necesario (autenticación, cesta, equilibrio, protección contra el frode).

Por acuerdo (tumblers separados):

1. Análisis (ID/dispositivo cruzado)

2. Personalización de contenido/juegos

3. Marketing (e-mail/SMS/push/in-arr/telemática) - canales separados

4. Remarketing/Ads (incluidos los píxeles/SDK de terceros)

5. Geolocalización nestrogaya (ciudad/región)

6. Pruebas A/B (si utiliza identificadores)

7. Etiquetas de afiliación/píxeles de afiliación

6) Patrones UX CMP (web/mobile)

Primera capa (banner): objetivo breve + «Aceptar todo», «Rechazar todo», «Configurar» - la misma visibilidad.
Segunda capa (panel): tumblers por categoría y reversión «Más» (vendedores, objetivos, plazos).
Centro de preferencias (en la cuenta): canales de marketing (e-mail/SMS/push/teléfono) - separados; enlace «Cancelar la suscripción de todo».
Revisión/cambio: en 1-2 clics desde cualquier pantalla; no cambia el acceso a las funciones obligatorias.
Disponibilidad: contraste, teclado, lector de pantalla, local.
GPC/» Do Not Track»: la señal global se interpreta como rechazar todo menos lo estrictamente necesario.
SDK móvil: in-app CMP + permisos del sistema (OS prompts) → sincronización con el perfil del servidor.

7) IAB TCF 2. 2 (marco de implementación)

Soporte de la pila de objetivos/características, lista de vendedores, string TC en el lado del cliente.
Guardar la cadena TC, la versión, la lista de proveedores; mapping en nuestras banderas.
Bloquear etiquetas/SDK hasta que se reciba el TC (contenido principal).
Respeto al estatus de «Deny All» y a las permisiones de los vendedores.
Para los mercados no TCF, un CMP «personalizado» con el mismo UX y registro.

8) Menores y vulnerables

Si la edad <umbral del mercado - no hay canales de marketing y personalización; analítica - sólo estrictamente necesario/PII-libre.
Compruebe la edad antes de descargar los SDK/píxeles de marketing.
Banderas SE/RG: cuando se autoexcluye - suppression de marketing forzado independientemente del consentimiento.

9) Privacidad, almacenamiento y retención

Modelo de minimización: almacenar los hechos de las acciones (accept/deny/withdraw), versiones de textos, línea TC/hashi, no cookies «crudas».
Retencion: mientras que el objetivo/relación está vigente + los plazos por mercado (generalmente ≤ 24 meses sin actividad para la comercialización).
Acceso: RBAC, registros inmutables (WORM), tiempo - en UTC.
Eliminación: revocación → stop-processing inmediato; cron limpia las cachés id/SDK no utilizadas.

10) Datos y pruebas (modelo mínimo)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Artefactos: hash de texto de política y banner, captura de pantalla de la opción, lista de etiquetas activas/SDK en el momento del consentimiento.
Relaciones: 'consent _ id' ↔ eventos CRM/Ads para la trazabilidad de suppression.

11) API/SDK y bloqueo de etiquetas

Edge/CMP-SDK: antes de elegir, sólo enviamos los scripts estrictamente necesarios.

Server-Side API:
  • `GET /consents? user_id=...`
  • `POST /consents` (create/withdraw)
  • 'POST/marketing/preferencias' (banderas de canal)
  • `POST /gpc/signal`
  • Tag Manager Guards: reglas "fire if consent. purpose. marketing == true».
  • E-mail/SMS: envíos de correo sólo por 'marketing. email = = true 'y «double opt-in» (si el mercado lo necesita).

12) Compatibilidad con CRM/Ads/Afiliados

Subprocesos de suppression: revocación → actualización de suppression en CRM, Ads, filiales (batch + near-real-time).
UTM/postbeki: transmitir sólo los tecnparametros; el consentimiento no se «traslada» a los socios sin un marco jurídico separado.
Afiliados: están obligados a mostrar el mismo SMR/Discleimer; sin esto, los líderes no califican.

13) Procesos y casos

Revisión a través de un correo electrónico: en cada correo electrónico «Unsubscribe all» y «Personalizar». Dar de baja - instantáneamente, confirmación en la página/en la carta.
DSAR/llamamientos: mostrar las banderas de consentimiento actuales, registro de acciones; Exportación sin PII de terceros.
Cambio de objetivos: nuevo objetivo → nueva solicitud de consentimiento (no «retroactivo»).
Prueba A/B: cambio de UI CMP - versión/screen en artefactos, auditoría en ausencia de patrones oscuros.
Incidentes: descarga incorrecta de la etiqueta sin consentimiento → takedown inmediato, auditoría de registros, CAPA.

14) KPI/KRI y dashboard

Puntuación opcional por objetivos/mercados/dispositivos

Withdraw/Change Rate y la mediana «Time-to-Withdraw-Apply»

GPC Honor Rate (proporción de señales GPC procesadas correctamente)

Tag Firing Violations (lanzamientos sin consentimiento)

Suppression Integrity (marketing al revocar = 0)

Complaint Rate и Regulatory Findings

Auditability Score (% de registros con un paquete completo de artefactos)

15) Hojas de cheques

Antes de iniciar

  • Se acuerda una matriz de bases y objetivos (Legal/DPO).
  • CMP admite «Rechazar todo», GPC, locals.
  • Tag Manager bloquea todas las etiquetas no necesarias antes del consentimiento.
  • Centro de preferencias con canales (e-mail/SMS/push/teléfono).
  • Comunicación con CRM/Ads/afiliados para suppression.
  • Versiones de texto/capturas de pantalla en WORM.

En

  • Monitoreo de violaciones de las reglas de firing y GPC.
  • DSAR responde con las banderas y el registro actuales.
  • Quejas e incidentes - SLA y CAPA.

Auditoría/mejoras

  • Muestras trimestrales de registros sobre la integridad de las pruebas.
  • CMP de rugido A/B sobre patrones oscuros.
  • Actualización de textos locales/legales.

16) Plantillas (inserciones rápidas)

A) Texto de la primera capa (banner):
💡 Utilizamos archivos e identificadores para análisis, personalización y marketing. Elige lo que te conviene. Puede cambiar sus opciones en cualquier momento.
[Rechazar todo] [Configurar] [Aceptar todo]
B) Texto de la segunda capa (objetivo «Marketing»):
💡 Permitir correo electrónico/SMS/inserción sobre promociones y noticias. Sin su permiso, no enviaremos materiales promocionales.
C) Carta de confirmación de baja (confirmación):
💡 Ha cancelado su suscripción a las comunicaciones de marketing. Todavía puede recibir notificaciones de servicio (transacciones/seguridad). Configuración - en el perfil.
D) La respuesta a la queja es «difícil de rechazar»:
💡 La retirada del consentimiento está disponible en 1-2 clics desde cualquier pantalla («Configuración de privacidad»). Hemos comprobado y corregido... Pedimos disculpas. Sus preferencias están actualizadas.

17) Marco técnico y eventos

События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.
Fichas: lectura automática de GPC; SDK-Gates; server-side consent cache; Verificación integral de Tag Manager; exportar «PII-free» para análisis.
Pruebas en CI/CD: linter de bloqueo de etiquetas, migración de esquemas de versiones, pruebas de escrutinio CMP.

18) Riesgos y prevención

Bloqueo incompleto de etiquetas → Reglas en Tag Manager «deny by default».
Dependencia de los vendedores → Lista de vendedores/objetivos/jurisdicciones, DPA y auditoría.
Patrones oscuros → Diseño de rugido y control de equivalencia de botones.
Falta de pruebas → Capturas de pantalla, hashes de textos, revistas WORM.
No coincidencia de estados en CRM/Ads. → Servicio único de suppression + conciliación diaria.

19) Plan de implementación de 30 días

Semana 1

1. Aprobar la matriz de objetivos/bases y los textos (localies).
2. Seleccionar/configurar CMP (TCF 2. 2 + objetivos personalizados).
3. Especificar el modelo de datos y artefactos, habilitar WORM.

Semana 2

4. Integrar CMP/SDK, Tag Manager «deny by default», GPC.
5. Construir un centro de preferencias y una API de suppression para CRM/Ads.
6. Preparar las versiones A/B del banner, fijación de pantalla.

Semana 3

7. Piloto 10-20% de tráfico: medición Opt-in/Withdraw/GPC Honor.
8. Retro sobre quejas/incidentes; ediciones UX/textos.
9. Conectar los afiliados a la capa CMP obligatoria.

Semana 4

10. Lanzamiento completo; habilitar KPI/KRI dashboard y alertas.
11. Plan trimestral de auditorías y CAPA.
12. Plan v1. 1: caché de consent de servidor, informes de mercado automáticos.

20) Secciones relacionadas

Comprobación de edad y filtros de edad

Normas de publicidad y prohibiciones/Discursos y veracidad de la publicidad

Transparencia de las condiciones de bonificación

Cumplimiento de afiliados y socios

Localización de datos por jurisdicciones

Juego responsable y límites/Auto-exclusión/Reality Checks

Informes regulatorios y formatos de datos/Auditoría interna y externa

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.