GH GambleHub

Ruoli all'interno del GDPR

1) Definizioni e principi di base

Controller - Definisce autonomamente gli obiettivi e i metodi di gestione dei dati personali (PD). Responsabile principale di legittimità, trasparenza, diritti dei soggetti, sicurezza-TOMs, selezione e controllo dei processori.
Processore: gestisce il PD solo in base alle istruzioni documentate del controllore, fornisce TOMs, aiuta i diritti dei soggetti e gli incidenti, registra e consente i controlli.
Joint Controllers (Controllori congiunti): due + facce condividono obiettivi e metodi; richiede una distribuzione trasparente delle responsabilità e un punto di contatto per i soggetti.
Subprocessore: fornitore utilizzato dal processore è consentito solo con autorizzazione scritta preliminare del controllore e obblighi equivalenti.

La regola d'oro è che chi decide perché e come trattare è il controllore; Chi «esegue le istruzioni» è il processore.

2) Come definire il ruolo in pratica (Struttura soluzioni)

1. Chi definisce gli obiettivi aziendali dell'elaborazione?

→ Lei? Più che altro un controllore.

2. È possibile riutilizzare i dati per i propri scopi (analisi, marketing)?

da controllore (o controllo condiviso, se gli obiettivi sono comuni).

3. Gli strumenti o le limitazioni precisi sono indicati dall'altra parte e i vostri obiettivi sono prodotti?

→, → il processore.

4. C'è un prodotto comune/piattaforma congiunta con la definizione degli obiettivi da entrambe le parti?

Sì a joint controllers (serve art. 26 arrangement).

5. Attrae la nuvola/venditore secondo il suo compito?

→ Vendor è un subprocessore; lei è un controllore; il processore principale deve ottenere la sua autorizzazione.

3) Ruoli nell'ecosistema iGaming - matrice di esempi

InterazioneRuoli tipiciCommento
Operatore GiocatoreControllore ↔ Soggetto dei datiL'operatore definisce gli obiettivi (account, scommesse, RG, AML)
Operatore ↔ Provider CUS/sanzioniControllore ↔ ProcessoreScriviamo DPA + istruzioni, non utilizzare i dati
Operatore ↔ PSP/BancaFrequenza Controllori singoliPSP ha obiettivi di regolazione e storage personalizzati
Operatore ↔ Piattaforma antifrodeTipicamente ProcessoreSe il servizio «condivide» insiemi aggregati per i propri scopi, è possibile condividere un controllore o un controllore separato
Operatore ↔ Host/cloud/CDNProcessore/SubprocessoreSicurezza e loghi di accesso forti territorialità
Operatore ↔ Analisi/marketing-SDKMix: processore o controllore separatoDipende se il provider può utilizzare il PD per i suoi scopi
Operatore ↔ AffiliatoFrequentemente Controllori singoliI lidi/click vengono trattati per scopi di affiliazione; durante il trasferimento PD - DPA/contratto + minimizzazione
Processore ↔ SubprocessoreProcessore ↔ SubprocessoreÈ necessario un impegno di pari livello e la risoluzione del controllore
Promozione congiunta con il partnerJoint ControllersCi serve l'art. 26 agreement con assegnazione delle responsabilità

4) Responsabilità di ruolo (RACI di alto livello)

AttivitàControlloreProcessoreControllori congiunti
Basi legali (lawful bases), notificaA/RCA/R (gufo.)
Elaborazione DSAR (accesso, eliminazione, ecc.)A/RR (aiuto)A/R (distribuzione)
DPIA/DTIAA/RC/R (aiuto)A/R (gufo.)
Incidenti/perdite (notifiche DPA/user)A/RR (notifica al controllore, assistenza)A/R (gufo.)
Selezione e controllo dei processori/sottoprocessoriA/RR (registro, notifica)A/R (ognuno nella propria zona)
Trasferimenti transfrontalieri (SCCS/IDTA)A/RR (esecuzione)A/R (gufo.)
Ritensh/RimozioneA/RR (conformità)A/R (gufo.)

5) Documenti e accordi

DPA (Data Processing Agreement) - Un controller di processore obbligatorio per lo schema.
Minimo: oggetto/categoria PD, obiettivi/istruzioni, TOMs, privacy, assistenza con DSAR/DPIA, notifiche di incidenti, rimozione/restituzione dei dati, controllo, sottoprocessori (elenco/meccanismo di consenso).
Art. 26 Arrangement (Joint Controllers) - Distribuzione trasparente delle responsabilità (informazione, DSAR, punto di contatto), essenziale dei ruoli delle politiche pubbliche.
SCCS/UK IDTA + DTIA - Obbligatorio per i trasferimenti fuori EEA/UK in assenza di adeguatezza.
RoPA: registro delle operazioni di elaborazione del controller e del processore (il proprio set).
Condizioni di marketing/SDK: divieto di utilizzo secondario, ruoli e obiettivi chiari.

6) Zone critiche e errori di tipo

1. «Processore» usa i dati per i propri scopi, in realtà è un controllore/controllore congiunto.
2. Subprocessori senza autorizzazione: il processore aggiunge un fornitore senza il vostro consenso.
3. DPA «vuota»: nessuna guida chiara per la restituzione/rimozione/incidente/controllo.
4. Controllo condiviso opaco: no art. 26 - lamentele e rischi penali.
5. Marketing SDK: i provider tirano il PD per se stessi - sei responsabile per la divulgazione e la legalità.
6. PSP/Banche: considerarli processori è un errore; più spesso sono controllori separati.

7) Mini modello DPA (frammenti di formulazione)

Scopo e natura dell'elaborazione: «Il processore gestisce il PD esclusivamente per la verifica KYC su indicazione del Controllore».
Istruzioni: «Qualsiasi modifica degli obiettivi richiede il consenso scritto del Controllore».
Sottoprocessori: "Il processore non attira subprocessori senza autorizzazione scritta preliminare; tiene e pubblica un registro aggiornato".
Protezione: «Il processore supporta TOMs (crittografia, alias, controllo degli accessi, registrazione) non sotto descritto nell'allegato A».
Incidenti: «Il processore avvisa il Controllore senza ritardi eccessivi e fornisce tutte le informazioni per le notifiche del controllore e dei soggetti».
Rimozione/Restituzione: Al termine del servizio, il processore rimuove/restituisce il PD e rimuove le copie nei backup in base al grafico.
Controllo: «Il Controllore ha il diritto di effettuare verifiche/interrogatori/rapporti esterni (SOC2/ISO), con una notifica ragionevole».

8) DPIA/DTIA e transfrontaliera

DPIA: il controller avvia; il processore fornisce informazioni su sistemi, rischi, TOMs.
DTIA: SCCS/IDTA - Valutazione dell'ambiente di applicazione del destinatario, misure aggiuntive (E2EE, chiavi client, quasi-anonimizzazione, archiviazione delle chiavi in CE/UK).

9) Gestione dei diritti dei soggetti (DSAR) in ruoli distribuiti

Controllore: accetta la richiesta, verifica l'identità, coordina la raccolta, risponde entro il termine (solitamente di 12 giorni).
Processore: scarica/rimuove rapidamente su indicazione, non risponde direttamente al soggetto (a meno che non sia specificato diversamente).
Controllori congiunti: l'accordo specifica il punto di contatto e lo scambio di dati per la risposta.

10) Sicurezza e incidenti: chi fa cosa

Controllo incidenti, piano di notifica DPA/utenti, gestione CAPE.
Processore: notifica immediata del controllore, fornitura tecnica, containment, registri, assistenza con notifiche.
Controllori congiunti: matrice di notifica coerente un'unica linea di comunicazione.

11) Retenschn, rimozione, dati di prova

Controllore: fissa i tempi di conservazione per scopi/leggi (AML), pubblica nella politica.
Processore: rimozione/anonimizzazione pianificata, pulizia separata dei backup divieto di utilizzare il PD in un ambiente di prova senza maschera/sintetica.

12) Integrazione operativa (pratica)

AB/Change - Qualsiasi cambio di ruoli/subprocessori/territori - Tramite i CAB e le modifiche DPA/SCCS.
Data Map & RoPA Mappa live dei flussi; il controllore ha obiettivi e destinatari, il processore ha categorie e operazioni.
Gestione dei Vendor: due diligence prima dell'onboording (ISO/SOC2, pentest, politica degli incidenti, geografia dei dati).
Verifiche: assegni, interrogatori, registri selettivi di accesso al PII, logica di eliminazione.

13) Foglio di assegno «Definisci ruolo»

  • Chi definisce obiettivi e parametri chiave di elaborazione?
  • È possibile riutilizzare il PD per i propri scopi?
  • Esiste una base giuridica indipendente per la seconda parte?
  • Chi è responsabile nei confronti di un soggetto (DSAR)?
  • Se la DPA è necessaria (art. 28) o arrangement (art. 26)?
  • Esistono sottoprocessori e un meccanismo di negoziazione?
  • Ci saranno trasferimenti transfrontalieri e quale meccanismo (SCCS/IDTA)?

14) Domande frequenti (FAQ)

Processore PSP o controller?
Solitamente un controllore separato: obiettivi personalizzati (servizi di pagamento, prevenzione delle frodi, rapporti regolamentari).

Il provider KYC può conservare le foto per l'apprendimento dei modelli?
Solo se è un controllore (con un motivo e una rivelazione separati) o se ha un consenso esplicito e una base giuridica corretta. Altrimenti è proibito.

L'affiliato che ha portato il giocatore è un processore?
Più spesso un controllore separato, che raccoglie il PD per i suoi scopi. Le campagne congiunte richiedono una distribuzione chiara dei ruoli.

Server di loging cloud - Di chi sono i dati?
Elaborazione dei cavi: responsabilità del processore per la sicurezza il riutilizzo richiede una base separata (altrimenti non è possibile).

15) Mini-criterio dei ruoli (porzione per lo standard interno)

1. Per impostazione predefinita, l'operatore è il controllore di tutti i flussi PD dei giocatori/partner.
2. Qualsiasi venditore con accesso al PD - è personalizzato come processore (DPA) o come controllore separato (ai propri scopi).
3. L'aggiunta di un sottoprocessore richiede il consenso scritto e l'aggiornamento del Registro di sistema.
4. Qualsiasi cambio di ruoli/territori/obiettivi è tramite CAV, DPO e Legale.
5. DSAR e incidenti - Coordinati dal controllore, i processori rispondono in SLA.

16) Road map di implementazione

Settimane 1-2: inventario dei flussi di dati e dei ruoli bozza di matrice «chi è chi»; aggiornamento del RoPA.
Settimane 3-4: conclusione/aggiornamento DPA, art. 26 (se necessario), registro dei sottoprocessori; Preparazione dei sondaggi di verifica.
Mese 2: DTIA/SCCS/IDTA, aggiornamento delle politiche pubbliche, formazione dei comandi.
Mese 3 +: verifiche regolari dei venditori, test DSAR, tavoletop degli incidenti, revisione dei ruoli per le modifiche del prodotto/marketing.

17) Modello di matrice dei ruoli breve (esempio)

FlussoRuolo operatoreRuolo della controparteDocumentiCommento
CUS/sanzioniControlloreProcessoreistruzioni DPA +Senza re-utilizzo
Pagamenti (PSP)Otd. controlloreOtd. controlloreContratto + Privacy NoticeResponsabilità separata
Hosting/cloudControlloreProcessore/subprocessoreDPA, SCCs/IDTAGeografia dei dati
Marketing-SDKControlloreProcessore o otd. controlloreDPA / Joint/ToSVerifica riutilizzo
AnalisiControlloreProcessoreDPA, limitazione degli obiettiviAlias

TL; DR

Definiamo il ruolo attraverso obiettivi e metodi di elaborazione: decidi «perché/come» - controllore; esegue secondo le istruzioni: processore; decidi insieme - joint controllers. Formalizziamo questo in DPA/art. 26, controlliamo i sottoprocessori, forniamo DPIA/DTIA, i diritti dei soggetti e la sicurezza. Matrice dei ruoli nitida = meno rischi regolatori, meno aree di contenzioso e più rapido controllo.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.