GDPR e tratamento de dados pessoais

1) O que rege o GDPR e quem é o sujeito

• você está instalado na UE/EEE ou apontando para os usuários na UE (produtos/serviços, monitoramento do comportamento);
• você é um controlador (definir os alvos/recursos de processamento) ou um processador (processando o PD em nome do controlador).

• Controlador: Detentor de alvos/fundos, responsável pela legalidade e transparência.
• Processador: Aceita as instruções documentadas do controlador, conclui DPA.
• DPO (oficial de proteção de dados): supervisão independente, DPIA/DSR, aconselhamento, comunicação com supervisão.

2) Princípios de processamento (st.5)

1. Legalidade, justiça, transparência.
2. Limitação de alvo. Objetivos bem descritos, compatíveis.
3. Minimizar os dados. Só o necessário.
4. Precisão. Atualização e correção.
5. Restrição de armazenamento. Retensna e remoção/anonimato.
6. Integridade e privacidade. Segurança padrão.
7. Responsabilização. Prova de conformidade (polices, logs, DPIA).

3) Fundamentos legítimos (st,6) - matriz para iGaming/Fintech

4) Categorias especiais e biometria (st,9)

O processamento de categorias especiais (saúde, crenças, etc.) é proibido se não houver um fundamento separado.
A biometria para identificação única (por exemplo, face-template para liveness/face-match) requer consentimento direto ou qualquer base legal estreita (dependendo do país). Guarde os modelos em vez de imagens «cruas», sempre que possível.

5) Perfilação e soluções automatizadas (st.22)

• divulgação transparente da lógica (dentro de limites razoáveis), importância e consequências;
• o direito à intervenção humana e a contestação da decisão;
• DPIA com alta probabilidade de risco de direitos/liberdades (profilagem em larga escala).
• Recomendações: guarde reason codes, versionize modelos/regras, faça uma auditoria bias.

6) DPIA/DTIA: quando obrigatório

DPIA conduz se o risco for elevado, como perfis em larga escala, biometria, «observação sistemática», novas fontes de dados.
Modelo DPIA: propósito e descrição do processamento → fundamentos legais → riscos dos sujeitos → medidas de mitigação → risco residual → plano.
DTIA: ambiente jurídico do país destinatário + contratual/aquelas medidas (SCC/equivalente, criptografia, divisão de chaves).

7) Transferências de fronteiras (gl.V)

Mecanismos: SCC, BCR, soluções de adequação, similares locais.
Técnicas: encriptação end-to-end, separação de chaves, minimização de campos, pseudonimização antes da transferência.
Documente o registro de transmissão e os resultados do DTIA; Reveja os riscos regularmente.

8) Direitos das entidades (DSR)

Direito de acesso, correção, remoção, limitação, portabilidade, objeção, desistência de marketing.
Prazo: normalmente até 30 dias (pode ser prorrogado por mais 60 com dificuldade, com notificação).
Verifique a identidade do requerente (sem revelar o excesso).
Exceções: armazenamento devido à AML/obrigação fiscal, etc documentem.

9) Cookie/SDK e marketing

Divida os cookies por categorias: obrigatório/funcional/analista/marketing.
Para analistas/marketing na UE/EESE - opt-in (escolha real), diário de concordâncias, descrições detalhadas.
Respeite Do Not Track/Opt-out; use o analista de servidores e minimizar os dados.
E-mail/SMS marketing - consentimento separado; guardem a lagoa do consentimento e os temporizadores.

10) Segurança e «private by design/default»

Criptografia in transit e at rest, toquenização de adereços de pagamento, isolamento de áreas de dados (PII ↔ analista).
Controle de acesso RBAC/ABAC, MFA, JIT, Registro de Ação, Arquivo WORM.
Controle DLP de descarga e troca; a proibição de cópias não autorizadas de dados de prod em dave/estágio.
Minimize os campos, agregue e anonime onde não for necessário identificar.

11) Registro de operações (RoPA) e retenções

Faça RoPA: alvo, base, categorias de dados e sujeitos, destinatários, datas de armazenamento, medidas de segurança, transferências para o exterior.
Matriz de Retensas: para cada categoria de PD - prazo (por exemplo, AML/KYC ≥5 anos após o fim do relacionamento), forma de remoção/anonimato, proprietário responsável.

12) Fugas e notificações (st.33/34)

Avalie o risco para os direitos e liberdades: em caso de risco de danos, informe o órgão fiscalizador em 72 horas e, em caso de alto risco, os sujeitos sem atrasos indevidos.
Plano de resposta: isolamento, forense, reparação, comunicações, pós-mar; Guardem artefactos e soluções.

13) Processadores, DPA e gerenciamento de vendedores

Com cada processador, conclua DPA: objeto, categorias de PD, subprocessadores, segurança, assistência com DSR/incidentes, auditoria, remoção/retorno de dados.
Conduza a dê diligence: localização, certificação (ISO/SOC), incidentes, medidas de segurança, subprocessadores.
Reavaliação anual e em mudanças (sanções, M&A, geografia).

14) Matriz «Objetivos → Bases → Prazo de armazenamento»

15) Documentação para seu wiki (esqueletos)

1. Política de privacidade (camada): versão breve + completa.
2. Política de cookies/gestão consênica.
3. Registro de remuneração (RoPA).
4. Modelo DPIA/DTIA + critérios de desencadeador.
5. Política DSR (SLA/procedimentos/modelos).
6. Política de retenção e remoção + job-pipline.
7. Política de incidentes e notificações (RACI, formulários).
8. Modelo DPA e folha de cheque dê diligence vendedores.
9. Regras de perfilação e soluções automatizadas (explorabilidade, apelações).

16) Métricas e controle

DSR SLA: proporção de solicitações encerrada ≤30 dias.
Consent Coverage: proporção de eventos com opt-in valente/opt-out.
Data Minimization Index: Número médio de PD por fic.
Access Violations/Exports: incidentes de acesso e descarga, tendência.
Encrypition Coverage:% tabelas/baquetes/bacapes na criptografia.
Invidente MTTR/MTTD e repetível.
Vendor Compliance Rate e resultados de áudio.
RoPA Completeness и Retention Adherence.

17) Folhas de cheque

• DPIA/fundamentos da legalidade são confirmados pelo DPO.
• Os objetivos/fundamentos/retenções estão inseridos na RoPA.
• Minimizar campos/apelidar/isolar áreas de dados.
• O banner de conselhos e as categorias de cookies estão configurados.
• Os DPA/vendedores estão alinhados e os subprocessadores estão listados.
• Logs, alertas, auditorias, remoção/anonimato - incluídos.

• Reversão de acessibilidade (RBAC/ABAC), reavaliando.
• Teste de recuperação de bacapes.
• Revisão do DTIA/SCC e da lista de subprocessadores.
• A auditoria é retensiva (removida por prazo) e o registro DSR.
• Treinamento de plano IR e atualização de playbooks.

• Comprovação do requerente.
• Coleta dados de sistemas por RoPA.
• Resposta dentro de um prazo em que os motivos das exceções são fixados.
• Atualizar os registros e notificar as partes (quando portável).

18) Mapa de trânsito de implementação

1. Inventário de sistemas e fluxos de PD; formação de RoPA.
2. Atribuição de DPO, aprovação de políticas e RACI.
3. Iniciar o circuito DPIA/DTIA e gerenciamento de Consens.
4. Separação de áreas de dados, criptografia, DLP, logs e arquivo WORM.
5. Retensshn pipline e remoção/anonimato.
6. Wendor Review, DPA, registo de subprocessadores.
7. Perfilação: reason codes, apelações, explorabilidade.
8. Métricas regulares, relatório do Board, auditorias externas/internas.

Resultado

A conformidade GDPR não é apenas uma política no site, mas sim um sistema de gerenciamento do ciclo de vida do PD: fundamentos corretos, minimização e segurança padrão, DPIA/DTIA, respeito aos direitos das entidades, vendedores controláveis e métricas mensuráveis. Ao incorporar privacidade à arquitetura e processos, você vai manter as licenças, parcerias e a confiança dos jogadores - sem comprometer a velocidade do produto e a conversão.