GH GambleHub

Cookie e sistemi CMP

1) Obiettivo e area

Imposta regole comuni per la conservazione/lettura degli ID (cookies, storage locale, SDK) e la gestione del consenso tramite CMP in tutte le superfici: web, iOS/Android, e-mail/SMS/push, lending affiliati, striam. Il documento completa: «GDPR: gestione del consenso», «Controllo dell'età», «Standard pubblicitari».

2) Fondamenti legali (brevemente)

ePrivacy: tutti i cookies/SDK necessari sono solo dopo il consenso. «Strettamente necessario» (autenticazione, cestino/bilanciamento, sicurezza/antifrode) - sono ammessi senza consenso.
GDPR - Accettazione come base legale di elaborazione (Art. 6(1)(a)); per le operazioni di assistenza - Necessità contrattuale (Art. 6(1)(b)); l'interesse legittimo è limitato e con diritto di obiezione.
Bambini/vulnerabili: ID di marketing/personalizzazione vietati.

3) Principi

1. Prior Consent: nessun tag non necessario prima di essere selezionato nel CMP.
2. Analitica, personalizzazione, marketing, rimarketing, geolocalizzazione, A/B - singole nebbler.
3. Recensione = cliccando: semplice come il consenso; interruzione istantanea dell'elaborazione.
4. Senza pattern scuri: uguale visibilità Accetta tutto/Rifiuta tutto/Configura.
5. Prova: versioni di testi, hash, screenshot UI, logi di regole firing.
6. Minimizzazione/localizzazione: mettiamo e conserviamo solo ciò che serve nelle regioni consentite.

4) Ruoli e RACI

DPO/Compliance (Owner) - Criteri, DPIA, risposte alle lamentele. (A)

Legale - testi, requisiti locali e tempi di conservazione. (R)

Product/UX - banner/pannelli, disponibilità e localizzazioni. (R)

Engineering/CMP Owner - Blocchi tag, SDK, API, versioni. (R)

Data/Analytics - Modalità di identificazione, misurazione basata sui consensi. (C)

CRM/Ads - Supplence sui consensi revocati. (R)

InfoSec - crittografia, chiavi, accesso ai reparti di consenso. (C)

Test Internal - Campione di prove, CAPA. (C)

5) Tassonomia cookies/SDK

Strettamente necessari (senza consenso):
  • Sessione/autenticazione, bilanciamento/cestino, protezione contro il frodo e distribuzione di carico, conservazione della privacy.
Per consenso (obiettivi separati):
  • Analisi (user-level, cross-device ID).
  • Personalizzazione (contenuti/giochi, raccomandazioni).
  • Marketing (e-mail/SMS/push - canali separati).
  • Remarketing/Ads (pixel/SDK terzi).
  • Test A/B (se utilizza ID).
  • Geolocalizzazione città/regione.

6) CMP: pattern UX e testi

Primo livello (banner): obiettivo breve, 3 pulsanti equivalenti: Rifiuta tutto/Configura/Accetta tutto.
Secondo livello (pannello): nebbler degli obiettivi, elenco dei vendor e della conservazione, riferimento al criterio.
Centro preferenze: nel profilo del giocatore, bandiere di canale marketing (e-mail/SMS/push/telefono), «Scartare tutto».
Disponibilità: contrasto AA +, trappola, screen-readers, localizzazione, adattamento mobile.
GPC/Do Not Track: segnale globale = rifiuta tutto (tranne quelli strettamente necessari).
Apps: in-app CMP + OS-prompts di sistema; sincronizzazione con il profilo server.

Esempio di testo del banner:
💡 Utilizziamo file e ID per analisi, personalizzazione e marketing. Scegli cosa ti conviene. Le impostazioni possono essere modificate in qualsiasi momento.
[Rifiuta tutto] [Configura] [Accetta tutto]

7) IAB TCF 2. 2 (wireframe)

Generazione e conservazione di una riga TC, versione di un foglio di vendita, mupping degli obiettivi, le nostre bandiere.
Blocca i tag terzi prima di ricevere il TC (prior consent).
Rispetto dei permessi/divieti per ogni venditore e scopo.
Per i mercati al di fuori del TKOV è un CMP custome con registrazioni simili.

8) Tag, Tag Manager e Server-side

Deny by default - Le regole in TM bloccano tutti i tag non necessari fino al consenso.
Server-side tagging: tracciato proxy con decompressione/occultamento degli identificatori in assenza di consenso. la configurazione viene memorizzata in una regione autorizzata.
Gate SDK - Inizializzazione di SDK di marketing/analisi solo con la bandiera di destinazione true.
Firewall: chi/cosa/quando «ha sparato», a che stato è il consenso.

9) Dati, manufatti e retenza (modello minimo)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Registri WORM di consensi/recensioni, versioni di testi, screenshot di opzioni UI.
Retenza: per ora, obiettivo/relazione + tempi locali; marketing - limitato (spesso 24 mes di inattività).

10) Integrazioni: CRM/Ads/Affiliati

La recensione → la disattivazione istantanea dei canali e il remarketing (near-real-time + batch notturni).
E-mail/SMS - Invia solo se esplicitamente true per il canale (doppio opt-in per i mercati).
Gli affiliati: non sono qualificati senza SMI/validi di consenso; variante/hash condizioni - obbligatorio.

11) Profili regionali (modello)


Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Controllo, test e verifica

ICI-linter: verifica la presenza dì Rifiuta tutto ", l'elaborazione GPC, il blocco dei tag fino al consenso.
Test E2E - Script accept/deny/withdraw per il controllo dei loghi di fiering e supplence in CRM.
Campionamenti: controllo trimestrale dei record di consenso e degli screenshot UI; Verifica delle versioni dei testi.
Incidenti: qualsiasi lancio senza consenso di un tag, takedown immediato, causa/fix, CAPA.

13) KPI/KRI e dashboard

Opt-in Rate per obiettivi/mercati/dispositivi.
Withdraw Rate e Time-to-Apply (mediana).
GPC Onore Rate (corretta elaborazione globale. segnale).
Tag Firing Violations (in 1k download).
Integrity di Supplence (Marketing di richiamo = 0).
Complaint Rate / Reg Findings.
Auditability Score (% record con pacchetto completo di artefatti).

14) Assegno fogli

Prima di avviare

  • Striscione con «Rifiuta tutto», locali, disponibilità AA +.
  • Le categorie degli obiettivi e l'elenco dei venditori sono coerenti (Legale/DPO).
  • Tag Manager: deny-by-default; Gate SDK.
  • GPC viene riconosciuto e applicato.
  • Centro preferenziale con bandiere di canale e «Scartare tutto».
  • L'archivio WORM delle prove è abilitato.

In operazioni

  • Monitoraggio delle violazioni firing e GPC.
  • Compressione di suppressione in CRM/Ads.
  • DSAR restituisce gli stati e il registro correnti.

Controllo/miglioramento

  • Campionamenti trimestrali di consenso e screenshot UI.
  • A/B-ringhiera per l'assenza di pattern scuri.
  • Aggiornamento dei profili e dei testi regionali.

15) Modelli (inserimento rapido)

A) Banner (primo livello)

💡 Utilizziamo file e ID per analisi, personalizzazione e marketing. È possibile accettare, rifiutare o configurare per categoria.
[Rifiuta tutto] [Configura] [Accetta tutto]

B) Pannello (obiettivo Remarketing/Ads)

💡 Consenti l'utilizzo di ID per la visualizzazione di annunci personalizzati su siti esterni. Senza questo, non useremo pixel/SDK terzi.

C) Revoca del consenso (conferma)

💡 Le impostazioni sono state aggiornate. Pubblicità personalizzata e ID marketing disattivati. È ancora possibile giocare e utilizzare il servizio.

D) Risposta al reclamo «impossibile rifiutare»

💡 guasto disponibile da qualsiasi schermata tramite Impostazioni privacy e il banner CMP. Abbiamo controllato il comportamento della pagina N e risolto il problema. Scusate il disagio.

16) Struttura tecnica ed eventi

События: `cmp_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `sdk_initialized/blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

API:
  • `GET /consents? user_id=…`
  • `POST /consents` (create/withdraw/update)
  • `POST /marketing/preferences`
  • `POST /gpc/signal`
  • Infrastruttura: cache dei consensi server, mappatura geo dei fogli, occultamento degli ID deny.

17) Rischi e prevenzione

Avvia i tag prima del consenso. → Deny-by-default, test E2E, allarme.
Cartoni scuri nel banner.
Non corrispondono gli stati in CRM/Ads. → Servizio unico supplence e compressioni giornaliere.
Raccogliendo gli ID superflui.
Nessuna prova, → screenshot/hash/logi del WORM.

18) Piano di implementazione di 30 giorni

Settimana 1

1. Approvare la tassonomia cookies/scopi e testi (locali); DPIA.
2. Seleziona/configura CMP (TDF 2). 2 + obiettivi di castoma), includere GPC.
3. Specifica il modello di dati/manufatti, lo storage WORM.

Settimana 2

4) Implementare deny-by-default in Tag Manager, cache dei consensi server, gate SDK.
5) Costruire un centro preferenziale (bandiere di canale, «Scartare tutto»).
6) Configura supplence in CRM/Ads e affiliati.

Settimana 3

7) Pilota al 10-20% del traffico: Opt-in/Withdraw/GPC Onore, test firewall.
8) Correzioni UX/copiato/regole TM su fidback e incidenti.

Settimana 4

9) Rilascio completo; includere il dashboard KPI/KRI e gli alert.
10) Piano di revisione trimestrale e CAPE.
11) Piano v1. 1: server-side tagging per tutti i mercati, rilascio automatico per consenso.

Partizioni correlate:
  • Gestione del consenso utente GDPR
  • Controllo dell'età e filtri dell'età
  • Standard pubblicitari e divieti/Disclaim e veridicità pubblicitaria
  • Trasparenza dei termini di bonifica
  • Localizzazione dei dati per giurisdizione
  • Dashboard compilazione e monitoraggio/Verifiche interne ed esterne
Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.