GH GambleHub

Política de privacidade e GDPR

1) Atribuição e alcance

O objetivo é garantir o processamento legal, transparente e seguro de dados pessoais (PII) dos jogadores, parceiros e funcionários em todas as jurisdições da operadora.
Abrangência: aplicativos Web/Celular, CRM/BI/DWH, antifrod/AML/KYC, PSP/provedores de sanções CUS, safort, marketing, afiliados, estúdios live, hospedagem e loging.

2) Papéis e Responsabilidades (RACI)

Data Defesa Officer (DPO) - A: supervisão de conformidade, RoPA DPIA/DTIA, respostas aos reguladores.
Head of Compliance - A: política, apetite de risco, escalações e relatórios.
Legal - C: fundamentos legais, contratos DPA/SCCs, textos de banners e notificações.
Segurança/SRE - R: medidas técnicas e organizacionais (TOMs), registro de acesso, incidentes.
Data/BI - R: catálogo de dados, minimização, camuflagem/pseudonimização.
Marketing/CRM - R: consentimento, preferência, demissão, cookie.
Produt/Engineering - R: Private by Design/Default, armazenamento e remoção.
Apoio/VIP - R: solicitações de sujeitos (DSAR), verificação de identidade.

3) Base legal de processamento (Lawful Bases)

Consent (Consentimento) - marketing, cookies analíticos/promocionais, personalização não obrigatória.
Contract (Contrato) - Registro, processamento de apostas/conclusões, safort.
Legal Obligation - KYC/AML/sanções, contabilidade e relatórios.
Legitimate Interests - antifrode, segurança, melhoria do produto (com teste de equilíbrio de interesses - LIA).
Vital/Public Interest - maletas RG/segurança RG RG, se aplicável e permitida por lei.

4) Direitos das entidades de dados (DSR/DSAR)

Acesso (Art. 15), Correção (Art. 16), Remover (Art. 17), Limitação (Art. 18), Portabilidade (Art. 20), Objeção (Art. 21), não ser objeto de uma solução exclusivamente automatizada (Art. 22).
SLA processamento DSAR: confirmação ≤ 7 dias, execução ≤ 30 dias (renovação por mais 60 quando a notificação do sujeito é difícil).
Verificação: multifacetado; proibir a divulgação de dados sensíveis em canais abertos.
Logi: Armazenamento, verificação de identidade, pacote de dados e data de resposta.

5) Registro de operações de processamento (RoPA)

Campos mínimos: alvo, categorias de sujeitos/dados, base legal, prazo de armazenamento, destinatários/terceiros países, medidas de segurança, fonte de dados, soluções automatizadas/perfilagem, DPIA/DTIA, se houver.

6) DPIA/DTIA: quando e como

DPIA - em alto risco: perfilagem em larga escala, novos modelos antifrode, processamento de geodutos, desencadeadores RG, observação sistemática.
DTIA/TIA - Em transferências fora do EEE/Reino Unido: avaliação do acesso local das agências governamentais, contratações/medidas técnicas.
Processo: screening → avaliação de riscos e medidas → alinhamento DPO/Legal → implementação de controles → registro de suposições.

7) Cookies, pixels, SDK e banner de consentimento

Categorias: estritamente necessárias, funcionais, analíticas, de marketing.

Requisitos:
  • Antes do consentimento, carregamos apenas os devidos.
  • Consentimento granular e rejeição individual; registro de versões e estampas de tempo.
  • CMP com IAB TDF (se aplicável); atualização automática do banner quando os alvos/fornecedores são alterados.
  • Fácil de soltar/alterar a escolha a qualquer momento.

8) Processadores e subprocessadores

DPA com cada provedor: item, alvos, categorias de dados, prazos, TOMs, subprocessadores, auditorias.
Registro público de subprocessadores (versionalidade); notificação de alterações e direito de objeção.
Verificações: due diligence (ISO/SOC2), incidentes de teste, relatórios de demanda pentest, plano de off-boarding.

9) Transferências

SCCs/IDTA + DTIA; se necessário, medidas adicionais: E2EE, criptografia de clientes, quase anonimização, chaves na UE.
Registramos o mecanismo legal, os países e os beneficiários na Política/Registro.

10) Armazenamento e remoção

Matriz de prazos (exemplo):
CategoriaPrazoBase
Conta de jogadorAté 5 anos após encerramentoAML/contabilidade em várias jurisdições
Documentos KYC/AML5-10 anosLegal Obligation
Logs de acesso ao PII1-3 anosLegitimate Interests/Segurança
Eventos de marketing24 mesesConsent/LI
Gravações de safort24-36 mesesContract/LI

Políticas de remoção: tarefas automáticas (job) em armazenamento DWH/armazenamento; remoção em cópias de segurança por ciclo; A fixação nas revistas. Pseudônimo de ID para analistas.

11) Segurança (TOMs)

Técnica: criptografia At Rest/Transit, segmentação de redes, minimização de direitos, KMS/rotação de chaves, DLP, EDR/IDS/WAF, SSO/MFA, gerente de segredo, revista WORM.
Políticas de acesso, treinamento, NDA, clean desk, verificação de vendedores, gerenciamento de incidentes (SÃO/NIST).
Private by Design/Default: avaliação em processos de mudança, conjuntos de dados mínimos padrão, dados de teste sem PII.

12) Notificações de fugas e incidentes

Avaliação: confirmação de fato, volume e risco.
Prazos (orientações): órgão supervisor de dados - até 72 horas, sob risco de direitos/liberdades; usuários - sem atraso indevido.
Conteúdo da notificação: descrição do incidente, categorias e número estimado de registros, contato DPO, implicações, medidas tomadas, recomendações às entidades.
Logs: timeline, soluções, modelos de e-mail/respostas, CAPA.

13) Marketing e comunicação

Separa as mensagens de transação (sem consentimento) e de marketing (somente com consentimento).
Gerenciamento de preferências: centro de configurações, subscrição de tópicos/canais, duplo-opt-in (onde necessário).
Afiliados e tracking: restrições contratuais de coleta/transferência de PII, proibição de transferência de identificadores sem base ou consentimento.

14) Política de privacidade pública - estrutura

1. Quem somos e os contactos do DPO.
2. Os dados que coletamos (categorias e fontes).
3. Objetivos/fundamentos legais (tabela «objetivo → dados → base → prazo»).
4. Cookies/SDK e gerenciamento de concordância.
5. Receptores e transferências de fronteiras (mecanismos e medidas).
6. Os direitos dos sujeitos e como exercê-los.
7. Segurança de dados (TOMs de alto nível).
8. Prazo de armazenamento e critérios.
9. Soluções automatizadas/perfilagem e lógica em termos gerais.
10. Mudanças de política (versionabilidade) e como notificamos.
11. Contatos para queixas (DPA por jurisdição, se necessário).

💡 Linguagem simples e compreensível; evitar jargão e excesso de detalhes técnicos.

15) Modelos e exemplos de formulação

15. 1 Tabela de alvos/bases (fatia):

AlvoDadosBasePrazo
Registro e contaIdentificações, contatosContratovida da conta + X
KYC/AMLDocumentos, fotos, liveness, hits de sançãoLegal Obligation5-10 anos
Antifrode/segurançaDevice-ID, IP, comportamentoLegitimate Interests24 mes
MarketingEmail/Push/cookie-IDConsentantes da retirada

15. 2 Banner cookie (mínimo):

"Usamos cookies. Ao clicar em Aceitar tudo, você aceita armazenar cookies de análise e marketing. Você pode alterar a seleção por categoria. Rejeitar opcionais - apenas cookies rigorosamente necessários

15. 3 Seção de perfil (exemplo):

"Usamos o perfil para prevenir fraudes e para um jogo responsável (RG). É essencial para a segurança e condiz com os nossos interesses legítimos. Você pode desagradar, a não ser que o contrário seja ordenado pela lei (por exemplo, AML)"

16) SOP de processo

SOP-1: Atualização de Políticas

Novos alvos/vendedores/SDK/jurisdição.
Etapas: inventário → LIA/DPIA → texto update → localização → atualização CMP → comunicação aos usuários → versão/data de entrada.

SOP-2: DSAR

Canal de solicitação → verificação de identidade → estimativa de quantidade de dados → coleta de pacote (exportação de sistemas) → auditoria legal → emissão/rejeição com justificativa → registro.

SOP-3: Novo subprocessador

Due diligence → DPA/SCCs → DTIA → teste de incidente → inclusão no registro público → notificação dos usuários (se necessário).

17) Treinamento e auditoria

Onboarding + ensino anual sobre privacidade para todos; treinamentos adicionais para Suport/Marketing/Engineering.
Auditoria interna uma vez por ano: RoPA, conformidade com o prazo de armazenamento, verificação seletiva DSAR, revezamento SMR/cookie, solicitações de teste, pentest/forense logs de acesso.
KPI:% dos funcionários treinados; SLA DSAR; Proporção de sistemas com pseudônimo ativado; feitos pelo CAPA.

18) Localização e Multiplicidade

GDPR/UK GDPR como padrão básico; considerar ePrivacy/PECR para comunicações e cookies.
Nuances locais (por exemplo): idade de consentimento para processamento de dados da criança, prazo de armazenamento de KYC, formulários de notificação, requisitos de linguagem do documento.
Conduzir a matriz de divergências por país e referências a normas/licenças aplicáveis.

19) Mapa de tráfego de implementação (exemplo)

Semanas 1-2, inventário de dados/sistemas, RoPA, mapa de fluxo, rascunho de política.
Semanas 3-4: SMR/banner, registro de subprocessadores, DPA/SCCS, DPIA para processos de alto risco.
Mês 2: iniciar um centro de preferência, automação de remoção/anonimato, treinamento de funcionários.
Mês 3 +: auditorias periódicas, testes DSAR, atualizações de localização e registros.

20) Folha de cheque breve pronto

  • DPO designado, contatos publicados
  • RoPA atual e mapa de fluxo de dados
  • Política publicada, localizada, com versões
  • CMP com logs de concordância/falha comprovados
  • DPA/SCCs e registro público de subprocessadores
  • DPIA/DTIA concluídos para processos de risco
  • Retenção-jobs e procedimentos de remoção/anonimato
  • SOP em DSAR e incidentes, proprietários treinados
  • Métricas/KPI e auditoria anual de privacidade

TL; DR

Política forte = objetivos e fundamentos claros + inventário e RoPA + consentimento/cookie sob controle + transferências onteiriças seguras + registro de subprocessadores + prazos claros de armazenamento e remoção + DSAR de treinamento/incidentes. Isso reduz os riscos legais e de reputação e fortalece a confiança dos jogadores.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.