GH GambleHub

Criteri di privacy e GDPR

1) Assegnazione e ambito

Obiettivo: garantire il trattamento legale, trasparente e sicuro dei dati personali (PII) di attori, partner e dipendenti in tutte le giurisdizioni della presenza dell'operatore.
Copertura: applicazioni Web/Mobile, CRM/BI/DWH, antifrod/AML/KYC, PSP/provider CUS/sanzioni, sapport, marketing, affiliati, studio live, hosting e loging.

2) Ruoli e responsabilità (RACI)

Data Protection Officer (DPO) - A - Supervisione della conformità, RoPA, DPIA/DTIA, risposte ai regolatori.
Head of Compliance - A - politica, rischio-appetito, escalation e reporting.
Legale - C: basi legali, contratti DPA/SCCS, testi di banner e notifiche.
Sicurezza/SRE - R - Misure tecniche e organizzative (TOMs), registro degli accessi, incidenti.
Data/BI - R: catalogo dei dati, minimizzazione, occultamento/alias.
Marketing/CRM - R: consenso, preferenze, congedo, cookie.
Product/Engineering - R: Privacy by Design/Default, archiviazione ed eliminazione.
Supporto/VIP - R - Richieste dei soggetti (DSAR), verifica della personalità.

3) Basi legali (Lawful Bases)

Consent - marketing, cookie analitici/pubblicitari, personalizzazione non obbligatoria.
Contract - registrazione, elaborazione scommesse/conclusioni, zapport.
Legale Obligation - KYC/AML/sanzioni, contabilità e rapporti.
Legitimate Interests - antifrode, sicurezza, miglioramento del prodotto (con test di bilanciamento degli interessi - LIA).
Vital/Public Interest è una valigetta RG/sicurezza rara, se applicabile e autorizzata dalla legge.

4) Diritti dei soggetti dati (DSR/DSAR)

Accesso (Art. 15), Correzione (Art. 16), Elimina (Art. 17), Vincolo (Art. 18), Portabilità (Art. 20), Obiezione (Art. 21), non essere oggetto di una soluzione esclusivamente automatizzata (Art. 22).
SLA elaborazione DSAR: conferma di 7 giorni, esecuzione di 30 giorni (proroga di altri 60 con difficoltà di notifica del soggetto).
Verifica multifattore; Impedimento della divulgazione dei dati sensibili attraverso canali aperti.
Logi: memorizzare la richiesta, verificare l'identità, fornire il pacchetto di dati e la data di scadenza della risposta.

5) Registro operazioni (RoPA)

Campi minimi: obiettivo, categorie di soggetti/dati, base legale, conservazione, destinatari/paesi terzi, misure di sicurezza, origine dati, soluzioni automatizzate/profilassi, DPIA/DTIA, se disponibili.

6) DPIA/DTIA: quando e come

DPIA - ad alto rischio: profilassi su larga scala, nuovi modelli antifrode, elaborazione di geodati, trigger RG, osservazione sistematica.
DTIA/TIA - nei trasferimenti transfrontalieri fuori dall'EEA/Regno Unito: valutazione dell'accesso locale degli enti pubblici, contrattazione/misure tecniche.
Processo: screening, valutazione dei rischi e delle misure, allineamento DPO/Legale, implementazione dei controlli e registro dei presupposti.

7) Cookie, pixel, SDK e banner di consenso

Categorie: rigorosamente necessarie, funzionali, analitiche, di marketing.

Requisiti:
  • Prima del consenso, carichiamo solo quelli strettamente necessari.
  • Consenso granulare e rifiuto separato; cronologia di versioni e timbri temporali.
  • CMP con IAB TDF (se applicabile) Aggiornamento automatico del banner in caso di modifica degli obiettivi/fornitori.
  • Facile dimissione/modifica delle scelte in qualsiasi momento.

8) Processori e sottoprocessori

DPA con ogni provider: oggetto, target, categorie di dati, scadenze, TOMs, sottoprocessori, verifiche.
Registro pubblico dei sottoprocessori (versioning) notifica delle modifiche e diritto di obiezione.
Controlli: due diligence (ISO/SOC2), incidenti di prova, pentest report su richiesta, piano di off-boarding.

9) Trasferimenti transfrontalieri

SCCs/IDTA + DTIA; se necessario, misure aggiuntive: E2EE, crittografia client, quasi anonimia, chiavi nell'UE.
Fissiamo il meccanismo legale, i paesi e i destinatari nella Politica/Registro.

10) Memorizzazione e rimozione (Retention & Delation)

Matrice di scadenza (esempio):
CategoriaScadenzaBase
Account del giocatoreFino a 5 anni dopo la chiusuraAML/contabilità in diverse giurisdizioni
Documenti KYC/AML5-10 anniLegal Obligation
Logi di accesso PII1-3 anniLegitimate Interests/Protezione
Eventi di marketing24 mesiConsent/LI
Registrazioni zapport24-36 mesiContract/LI

Criteri di eliminazione: attività automatiche (job) in DWH/Storage Eliminazione nei backup di ciclo fissa le riviste. Alias ID per gli analisti.

11) Protezione (TOMs)

Tecnico: crittografia At Rest/Transit, segmentazione delle reti, riduzione dei diritti, KMS/rotazione delle chiavi, DLP, EDR/IDS/WAF, SSO/MFA, segreto manager, registro WORM.
Organizzazione: regole di accesso, formazione, NDA, clean desk, controllo dei venditori, gestione degli incidenti (SIN/NIST).
Privacy by Design/Default - Valutazione nei processi di change, set di dati minimi predefiniti, test dati senza PII.

12) Notifiche di fuoriusciti e incidenti

Valutazione: conferma del fatto, del volume e del rischio.
Data (orientamenti): autorità di controllo dei dati, fino a 72 ore, a rischio di diritti/libertà; utenti - senza un ritardo eccessivo.
Il contenuto della notifica è la descrizione dell'incidente, le categorie e il numero indicativo di record, il contatto DPO, le conseguenze, le misure adottate, le raccomandazioni ai soggetti.
Orari: timeline, soluzioni, modelli di posta/risposta, CAPE.

13) Marketing e comunicazione

Separazione dei messaggi transazionali (senza consenso) e del marketing (solo con consenso).
Gestione delle preferenze: centro di configurazione, sottoscrizioni per argomenti/canali, doppio-opt-in (se necessario).
Affiliati e tracking: restrizioni contrattuali per la raccolta/trasmissione di PII, divieto di trasferimento di identificatori senza fondamento o consenso.

14) Pubblica Privacy Policy - Struttura

1. Chi siamo e i contatti del DPO.
2. Quali dati raccogliamo (per categoria e origine).
3. Obiettivi/basi legali (tabella «Obiettivo, dati, base e scadenza»).
4. Cookies/SDK e gestione del consenso.
5. Destinatari e trasferimenti transfrontalieri (meccanismi e misure).
6. I diritti dei soggetti e come realizzarli.
7. Protezione dei dati (TOMs ad alto livello).
8. Tempi di conservazione e criteri.
9. Soluzioni automatizzate/profilassi e logica in termini generali.
10. Modifiche ai criteri (versionability) e alle modalità di notifica.
11. Contatti per reclami (DPA per giurisdizione, se necessario).

💡 Linguaggio semplice e comprensibile; evitare gergo e troppi dettagli tecnici.

15) Modelli e esempi di formulazione

15. 1 Tabella obiettivi/basi (frammento):

ObiettivoDatiBaseScadenza
Registrazione e accountIdentificazione, contattoContrattodurata dell'account + X
KYC/AMLDocumenti, foto, liveness, successi sanzLegal Obligation5-10 anni
Antifrode/sicurezzaDevice-ID, IP, comportamentoLegitimate Interests24 mes
MarketingEmail/Push/cookie-IDConsentprima della revoca

15. 2 Striscione cookie (minimo):

"Usiamo i cookie. Cliccando su Accetta tutto, si accetta di memorizzare cookie analitici e di marketing. È possibile modificare la selezione per categoria. «Rifiuta opzionali» - solo cookie rigorosamente necessari

15. 3 Sezione profilassi (esempio):

"Usiamo la profilassi per prevenire le frodi e per un gioco responsabile (RG). È necessario per la sicurezza ed è conforme ai nostri legittimi interessi. Si può obiettare, a meno che la legge non prescriva diversamente (ad esempio AML)"

16) SOP processuali

SOP-1 - Aggiornamento Criteri

Trigger: nuovi obiettivi/venditori/SDK/giurisdizione.
Passaggi - Inventario di LIA/DPIA update del testo, localizzazione di un aggiornamento CMP, comunicazione agli utenti, versione/data di accesso.

SOP-2: DSAR

Il canale di richiesta, la verifica dell'identità, la valutazione della quantità di dati, la raccolta del pacchetto (l'esportazione dai sistemi), il controllo legale, l'emissione/rifiuto con la giustificazione del registro.

SOP-3 Nuovo sottoprocessore

Due Diligence DPA/SCCS DTIA ha il test dell'incidente per l'inserimento nel registro pubblico di notifica degli utenti (se necessario).

17) Formazione e verifica

Onboarding + formazione annuale sulla privacy per tutti; formazione aggiuntiva per Supporto/Marketing/Engineering.
Controllo interno una volta all'anno: RoPA, conformità alla conservazione, controllo selettivo DSAR, revolving CMR/cookie, test-richiesta, pentest/forensing dei loghi di accesso.
KPI:% dei dipendenti formati SLA DSAR; Percentuale di sistemi con alias attivato realizzato da CAPA.

18) Localizzazione e multiutility

GDPR/UK GDPR come standard di base; Tenere conto dei ePrivacy/PECR per le comunicazioni e i cookie.
Sfumature locali (esempio): età del consenso per l'elaborazione dei dati del bambino, periodo di conservazione di KYC, moduli di notifica, requisiti di lingua del documento.
Guida la matrice delle differenze di paese e i riferimenti alle norme/licenze applicabili.

19) Road map di implementazione (esempio)

Settimane 1-2: inventario dei dati/sistemi, RoPA, mappa dei flussi, bozza dei Criteri.
Settimane 3-4: SCHR/banner, registro dei sottoprocessori, DPA/SCCS, DPIA per processi ad alto rischio.
Mese 2: avvio del centro preferenze, automazione rimozione/anonimato, formazione dei dipendenti.
Mese 3 +: verifiche periodiche, test DSAR, aggiornamenti localizzati e registri.

20) Foglio di assegno breve pronto

  • DPO assegnato, contatti pubblicati
  • Rilevamento aggiornato e mappa dei flussi di dati
  • Criteri pubblicati, localizzati, con versioni
  • CMP con fogli di consenso/errore provabili
  • DPA/SCCS e registro pubblico dei sottoprocessori
  • DPIA/DTIA completati per i processi di rischio
  • Retention-jobs e procedure di rimozione/anonimizzazione
  • SOP su DSAR e incidenti, proprietari addestrati
  • Metriche/KPI e controllo annuale della privacy

TL; DR

Politica forte = obiettivi e basi chiare + inventario e RoPA + consenso/cookie sotto controllo + trasferimenti transfrontalieri sicuri + registro dei sottoprocessori + tempi di conservazione chiari e rimozione + DSAR addestramento/incidenti. Ciò riduce i rischi legali e di reputazione e rafforza la fiducia dei giocatori.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.