GH GambleHub

GDPR: gerenciamento do consentimento do usuário

1) Alvo e área

Criar um processo de gerenciamento de concordância e preferência de comunicação, compatível com GDPR e ePrivacy, válido para todas as superfícies: Web, aplicativos móveis/SDK, e-mail/SMS/push, lendings de afiliação, striam/redes sociais, tags de venda.

2) Princípios básicos

Livre, específica, informada e inequívoca expressão de vontade (sem imprensa/condicionamento de acesso).
A separação de objetivos: analista, personalização, marketing, geolocalização, testes A/B, tags de terceiros - tumblers individuais.
A crítica é tão simples quanto o consentimento. Nada de buscas para recusar.
Não há patterns escuros. Sem distorções visuais/lockers.
Provável. Logs, versões de textos, screenshots UI, hashi políticos.
Minimização e privacidade padrão.

3) Fundamentos legais (guia curto)

Art. 6 (1) a) Consentimento: marketing, personalização, analista com identificadores, cookies não condicionados/SDK.
Art. 6 1) b) Contrato: transações necessárias para a prestação do serviço (cookies estritamente necessários).
Art. 6 (1) f) Interesse legítimo (LIA): medidas limitadas de desempenho com fortes garantias e direito de objeção.
Art. 8 Crianças: idade para o consentimento da criança - limiar nacional; para menores, proibição de marketing.
Art. 9 Categorias especiais: biometria/saúde - fora do marketing; fundamentos legais individuais/proibições.
ePrivacy: armazenamento/acesso ao dispositivo (cookies/armazenamento local/SDK) - apenas «estritamente necessários» sem consentimento; o resto é consentido.

4) Papéis e RACI

DPO/Head of Compliance - política, DPIA, controle de queixas/riscos. (A)

Legal - textos, localização de requisitos, matriz de base. (R)

Produt/UX - banners/preference center, anti-dark-patterns. (R)

Engineering/CMP Owner - integração CMP/SDK, API, versões, GPC/DNT. (R)

CRM/Marketing - segmentação por bandeiras de concordância, supressão. (R)

Data/Analytics - modos de identificação, restrições de rastreamento. (C)

InfoSec - criptografia, chaves, RBAC/ABAC para os logs de concordância. (C)

Auditório Internacional - amostra de provas, CAPA. (C)

5) Taxonomia de concordâncias e preferências

Funcionais (sem consentimento): estritamente necessários (autenticação, cesta, balanço, proteção contra frodes).

Consentimento (tumblers separados):

1. Analista (ID/cross-device)

2. Personalização de conteúdo/jogos

3. Marketing (e-mail/SMS/push/in-arr/telemática) - canais separados

4. Remarketing/Ads (incluindo pixels/SDK de terceiros)

5. Geolocalização não alta (cidade/região)

6. Teste A/B (se usar ID)

7. Marcas de formatação/pixels associados

6) Pattern X CMP (web/mobile)

Primeira camada (banner): Alvo breve + Aceitar tudo, Rejeitar tudo, Personalizar é a mesma visibilidade.
Segunda camada (painel): tumblers por categoria e páginas espelhadas «Mais» (vendedores, metas, prazos).
Centro de preferência (conta): canais de marketing (e-mail/SMS/push/telefone) - separados; O link «Abandonar tudo».
Revisão/alteração: em 1-2 clique de qualquer tela; não altera o acesso às funções obrigatórias.
Disponibilidade: contraste, teclado, screen-reader, locais.
GPC/» Do Not Track»: O sinal global é interpretado como rejeitar tudo, exceto os estritamente necessários.
SDK móvel: in-app CMP + permissões de sistema (OS prompts) → sincronização com o perfil do servidor.

7) IAB TCF 2. 2 (esqueleto de implementação)

Suporte à pilha de metas/características, lista de vendedores, string TC ao lado do cliente.
Salvar linhas TC, versões, folha de venda; mapping nas nossas bandeiras.
Bloquear marcas/SDK antes de obter o TC (prior consent).
Respeito ao status de Deny All e permissões de venda.
Para os mercados não TCC é um CMP «custômico» com o mesmo UX e revista.

8) Menores e vulneráveis

Se a idade <limite de mercado - faltam canais de marketing e personalização; analista - apenas necessário/PII-free.
Verificar a idade antes do download de SDK/pixels.
Bandeiras SE/RG: Quando você é autodeclarado - marketing forçado supressão independentemente do consentimento.

9) Privacidade, armazenamento e retenção

Modelo de minimização: armazenar os fatos de ação (accept/deny/withdraw), versões de texto, TC/hashi, em vez de cookies «crus».
Retenção: Enquanto o objetivo/relacionamento está em vigor + prazos de mercado (geralmente ≤ 24 m sem atividade para marketing).
Acesso: RBAC, registros inalterados (WORM), tempo em UTC.
Remoção: Revogação imediata stop-processing; o cron limpa os caixas de ID/SDK não utilizados.

10) Dados e provas (modelo mínimo)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Artefactos: hash de texto de política e banner, ecrã da versão, lista de marcas ativas/SDK no momento do consentimento.
Ligações: 'consent _ id' ↔ evento CRM/Ads para rastreabilidade de supressão.

11) API/SDK e bloqueio de marcas

Edge/CMP-SDK: Antes de selecionar - Carregamos apenas os script rigorosamente necessários.

Server-Side API:
  • `GET /consents? user_id=...`
  • `POST /consents` (create/withdraw)
  • 'POST/marketing/preferências' (bandeiras de canal)
  • `POST /gpc/signal`
  • Tag Management Guards: regras "fire if consent. purpose. marketing == true».
  • E-mail/SMS: Só para 'marketing. email = = true 'e «duplo opt-in» (se necessário para o mercado).

12) Compatibilidade com CRM/Ads/Afiliados

Supressão de fluxo: Revogação → atualização da supressão em CRM, Ads, Fids de afiliação (batch + near-real-time).
UTM/pós-beci: transferir apenas os técnicos; o consentimento não é «transacionado» para os parceiros sem um marco legal separado.
Afiliados: são obrigados a exibir o mesmo CMR/discleimer; Sem isso, as lidas não são qualificadas.

13) Processos e malas

Uma crítica através do e-mail «Unsubscribe all» e «Personalizar». Permissão - instantaneamente, confirmação na página/na carta.

DSAR/conversão: mostrar as bandeiras de concordância atuais, o registro de ação; exportação sem PII de terceiros

Alteração de metas: novo objetivo → novo pedido de consentimento (não «retroativo»).
Teste A/B: Alteração UI CMP - versão/crin em artefatos, auditoria de falta de patterns escuros.
Incidentes: descarga inadequada da marca sem consentimento → takedown imediato, auditoria de logs, CAPA.

14) KPI/KRI e dashboard

Opt-in Rate para objetivos/mercados/dispositivos

Withdraw/Mudança Rate e mediana «Time-to-Withdraw-Apply»

GPC Honor Rate (proporção de sinais GPC processados corretamente)

Tag Firing Violations (Iniciações sem consentimento)

Supressão Integrity (marketing em retirada = 0)

Complaint Rate и Regulatory Findings

Auditability Score (% dos registros com o pacote completo de artefatos)

15) Folhas de cheque

Antes de iniciar

  • A matriz de bases e objetivos foi acordada (Legal/DPO).
  • O CMP suporta «Rejeitar tudo», GPC, locais.
  • O Tag Gerente bloqueia todas as marcas de formatação antes do consentimento.
  • Centro preferencial com canais (e-mail/SMS/push/telefone).
  • Vínculo com CRM/Ads/afiliados para supressão.
  • Versões de texto/tela no WORM.

Em operações

  • Monitoramento de violações de regras firing e GPC.
  • DSAR responde às bandeiras atuais e ao registro.
  • Queixas e incidentes - SLA e CAPA.

Auditoria/melhorias

  • Amostras trimestrais de registros na totalidade das provas.
  • A/B reviu CMP para pattern escuros.
  • Atualização de locais/textos legais.

16) Modelos (inserções rápidas)

A) Texto da primeira camada (banner):
💡 Usamos arquivos e identificadores para analistas, personalização e marketing. Escolha o que lhe convém. Pode mudar de escolha a qualquer momento.
[Rejeitar tudo] [Personalizar] [Aceitar tudo]
B) Texto da segunda camada (alvo «Marketing»):
💡 Permitir e-mails/SMS/push sobre promoções e notícias. Sem a sua autorização, não enviaremos material promocional.
C) Carta de confirmação de recesso (confirmação):
💡 Você está excluído de mensagens de marketing. Você ainda pode receber notificações de serviço (transações/segurança). As configurações estão no perfil.
D) Resposta à queixa «difícil de recusar»:
💡 Revogação do consentimento disponível em 1-2 clique de qualquer tela («Configurações de privacidade»). Verificámos e corrigimos... Peço desculpa. Suas preferências foram atualizadas.

17) Estrutura técnica e eventos

События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.
Fichos: leitura automática de GPC; Gates SDK; server-side consent cache; Controle Integrity da Tag Gerente; exportar «PII-free» para analistas.
Testes CI/CD: linter bloqueio de marcas, migração de diagramas de versão, testes de screen CMP.

18) Riscos e prevenção

Bloqueio incompleto de marcas de formatação. → Regras no Tag Gestor «deny by default».
→ Lista de vendedores/alvos/jurisdição, DPA e auditoria.
→ Design-revezamento e controle de igualdade de botões.
→ de ecrã, hash de textos, revistas WORM.
Não correspondência de status no CRM/Ads. → Serviço de suprimento único + cruzamento diário.

19) Plano de implementação de 30 dias

Semana 1

1. Aprovar matriz de alvos/bases e texto (local).
2. Selecionar/configurar CMP (TDF 2. 2 + alvos de custom).
3. Especializar o modelo de dados e artefatos, incluir o WORM.

Semana 2

4. Integrar CMP/SDK, Tag Management «deny by default», GPC.
5. Construir centro de preferência e API supressão para CRM/Ads.
6. Preparar as versões A/B do banner, a fixação de screen.

Semana 3

7. Piloto 10-20% do tráfego: medição Opt-in/Withdraw/GPC Honorário.
8. Retrô sobre queixas/incidentes; Edição UX/texto.
9. Conectar os associados a uma camada CMP obrigatória.

Semana 4

10. Lançamento completo; incluir dashboard KPI/KRI e alertas.
11. Plano trimestral de áudios e CAPA.
12. Plano v1. 1: consent cache de servidores, relatórios automáticos de mercado.

20) Seções relacionadas

Verificação de idade e filtros de idade

Padrões promocionais e proibições/Discleers e veracidade da publicidade

Transparência dos termos de bónus

Complacência de afiliados e parceiros

Localização de dados de jurisdição

Jogo responsável e limites/Auto-exclusão/Reality Checks

Relatórios regulatórios e formatos de dados/Auditoria interna e externa

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.