GH GambleHub

Papéis dentro do GDPR

1) Definições e princípios básicos

Controlador: define seus próprios objetivos e maneiras de processamento de dados pessoais (PD). É responsável pela legalidade, transparência, direitos das entidades, segurança-TOMs, seleção e controle dos processadores.
Processador: só processa o PD com orientações documentadas do controlador, fornece TOMs, ajuda com direitos de entidade e incidentes, registra e permite auditorias.
Joint Controlers (Controladores Compartilhados): Dois + caras em conjunto definem os objetivos e os métodos; requer uma distribuição transparente das responsabilidades e um ponto de contato para as entidades.
Subprocessador: fornecedor recrutado pelo processador; somente é permitido com autorização prévia por escrito do controlador e obrigações equivalentes.

Regra de ouro: quem decide porquê e como processar é o controlador; Quem só «executa por instrução» é o processador.

2) Como definir o papel na prática (árvore de soluções)

1. Quem define os objetivos de processamento do negócio?

→ Você? É mais um controlador.

2. Você pode reutilizar os dados para seus objetivos (analista, marketing)?

Sim controlador (ou controlador compartilhado, se os objetivos forem comuns).

3. Os meios e restrições exatos são indicados pela outra parte e os seus objetivos são produzidos?

Sim, processador.

4. Há um produto comum/plataforma colaborativa com os objetivos definidos por ambas as partes?

Sim joint controlers (precisa de art. 26 arrangement).

5. Você atrai nuvem/vendedor na sua missão?

→ Vendor - subprocessador; você é um controlador; O seu processador principal é obrigado a obter a sua autorização.

3) Papéis no ecossistema iGaming - matriz de exemplos

InteraçãoPapéis típicosComentário
Operador de JogadorControlador ↔ Sujeito de dadosO operador define os alvos (conta, apostas, RG, AML)
Operador ↔ Provedor CUS/SançõesControlador ↔ ProcessadorEscrevendo DPA + instruções, proibindo o uso de dados
Operador ↔ PSP/BancoMais frequentes Controladores individuaisPSP tem seus próprios objetivos regulatórios e armazenamento
Operadora ↔ Plataforma antifrodNormalmente ProcessadorSe o serviço «compartilhar» insights agregados para seus próprios fins - é possível compartilhar controlador ou controlador individual
Operadora ↔ Hospedagem/Nuvem/CDNProcessador/SubprocessadorForte segurança e logs de acesso; territorialidade
Operador ↔ Analista/Marketing-SDKMix: Processador ou Controlador individualDepende se o provedor pode usar o PD para seus próprios fins
Operador ↔ AfiliadaFrequentemente Controladores IndividuaisLidas/cliques são processados de acordo com os objetivos da afiliação; transferência de PD - DPA/contrato + minimização
Processador ↔ SubprocessadorProcessador ↔ SubprocessadorPrecisa de compromissos iguais e permissão do controlador
Promoção conjunta com o parceiroJoint ControllersPreciso de arte. 26 agreement com atribuição de responsabilidades

4) Responsabilidades de papel (RACI de alto nível)

AtividadeControladorProcessadorControladores compartilhados
Fundamentos legais (lawful bases), notificaçãoA/RCA/R (coruja.)
Processamento DSAR (acesso, remoção, etc.)A/RR (ajuda)A/R (por distribuição)
DPIA/DTIAA/RC/R (ajuda)A/R (coruja.)
Incidentes/fugas (notificações DPA/users)A/RR (notificar o controlador, ajuda)A/R (coruja.)
Seleção e auditoria de processadores/subprocessadoresA/RR (registrar, notificar)A/R (cada um na sua área)
Transferências de fronteira (SCCs/IDTA)A/RR (execução)A/R (coruja.)
Retenschn/remoçãoA/RR (cumprimento de instruções)A/R (coruja.)

5) Documentos e acordos

DPA: controlador → processador obrigatório para o esquema.
Mínimo: itens/categorias PD, alvos/instruções, TOMs, privacidade, ajuda com DSAR/DPIA, notificações de incidentes, remoção/retorno de dados, auditoria, subprocessadores (lista/mecanismo de consentimento).
Art. 26 Arrangement (Joint Controlers): Distribuição transparente de responsabilidades (informação, DSAR, ponto de contato), essência dos papéis na política pública.
SCCS/UK IDTA + DTIA: Obrigatórios para transmissões fora do EEE/UK quando não houver adequação.
RoPA: registro de processamento do controlador e do processador (seu conjunto).
Termos de marketing/SDK: proibição de uso secundário, papéis e objetivos claros.

6) Zonas críticas e erros típicos

1. Mistura de papéis: «processador» usa dados para fins próprios → na verdade é um controlador/controlador compartilhado.
2. Subprocessadores sem permissão: O processador adiciona um fornecedor sem o seu consentimento.
3. DPA vazio: não há instruções claras sobre retenção/remoção/incidentes/auditoria.
4. Controle compartilhado opaco: sem art. 26 - Queixas e riscos penais.
5. SDK Marketing: provedores puxam PD para si mesmos - você é responsável pela divulgação e legalidade.
6. PSP/Bancos: Considerá-los processadores é um erro; muitas vezes são controladores individuais.

7) Mini-modelo DPA (fatias de formulação)

Objetivo e natureza de processamento: «Processador processa PD exclusivamente para verificação KYC por orientação do Controlador».
Instruções: «Qualquer alteração de objetivos requer o consentimento por escrito do Controlador».
Subprocessadores: "O processador não atrai subprocessadores sem autorização escrita prévia; mantém e publica um registo relevante".
Segurança: «O processador suporta TOMs (criptografia, pseudonimização, controle de acesso, registro), além do descrito no Anexo A».
Incidentes: «O processador notifica o Controlador sem atrasos indevidos e fornece todas as informações para as notificações do regulador e das entidades».
Remover/Retornar: «Quando o serviço terminar, o processador remove/devolve o PD e remove as cópias em backaps conforme o cronograma».
Auditoria: «O supervisor pode realizar auditorias/questionários/relatórios externos (SOC2/ISO), com razoável notificação».

8) DPIA/DTIA e onteiriça

DPIA: controlador executa; o processador fornece informações sobre sistemas, riscos, TOMs.
DTIA: com SCCs/IDTA - Avaliação da aplicação da lei do destinatário, medidas adicionais (E2EE, chaves de clientes, quase anonimização, armazenamento de chaves em EC/UK).

9) Trabalhar com direitos de entidade (DSAR) em papéis distribuídos

Controlador: aceita o pedido, confira a identidade, coordena a coleta, responde dentro do prazo (normalmente ≤30 dias).
Processador: fornece o carregamento rápido/remove sob ordens, não atende diretamente ao sujeito (a não ser que o oposto seja prescrito).
Controladores compartilhados: especifique um ponto de contato no acordo e uma troca de dados para responder.

10) Segurança e incidentes: quem faz o quê

Controlador: política de incidentes, plano de notificação DPA/usuários, gerenciamento de CAPA.
Processador: aviso imediato ao controlador, forense técnico, containment, revistas, ajuda com notificações.
Controladores compartilhados: matriz de notificações acordada; uma única linha de comunicação.

11) Retenschn, remoção, dados de teste

Controlador: fixa prazos de armazenamento para fins/leis (AML, contabilidade), publica na política.
Processador: Remoção/anonimato programada, limpeza separada de bacapes; a proibição de usar PD em ambientes de teste sem disfarce/sintético.

12) Integração operacional (prática)

FAB/Mudança: Qualquer mudança de papel/subprocessador/território - via FAB e edição DPA/SCCs.
Data Map & RoPA: mapa vivo de fluxo; o controlador tem alvos e destinatários, o processador tem categorias e operações.
Gerenciamento de Wendor: due diligence antes do onboarding (ISO/SOC2, Pentest, Política de Incidentes, Geografia de Dados).
Auditorias: folha de cheque, questionários, registros seletivos de acesso ao PII, lógica de remoção.

13) Folha de cheque «Definindo o papel»

  • Quem define os alvos e as opções-chave de processamento?
  • Você pode reutilizar o PD para seus próprios fins?
  • Há fundamentos legais independentes na segunda parte?
  • Quem é responsável pelo sujeito (DSAR)?
  • Se o DPA é necessário (art. 28) ou arrangement (art. 26)?
  • Existem subprocessadores e um mecanismo de concordância?
  • Haverá transferências de fronteira e qual mecanismo (SCCs/IDTA)?

14) Perguntas frequentes (FAQ)

O PSP é um processador ou controlador?
Normalmente, um controlador separado: seus próprios objetivos (serviços de pagamento, prevenção de fraudes, relatórios regulatórios).

O provedor KYC pode armazenar fotos para o treinamento de modelos?
Somente com o status de controlador (com base e divulgação individuais) ou com o seu consentimento explícito e base legal correta. Senão, é proibido.

A afiliada que trouxe o jogador é um processador?
Mais frequentemente, um controlador separado, ele recolhe o PD em sua casa para seus próprios fins. Campanhas conjuntas exigem uma distribuição clara dos papéis.

Loging de nuvem servidor - de quem são os dados?
Processamento de logs - obrigação de segurança do processador; reutilizar para seus próprios fins requer uma base individual (senão não pode ser usada).

15) Mini-política de papéis (fatia para padrão interno)

1. Por padrão, o operador é o controlador de todos os fluxos PD dos jogadores/parceiros.
2. Qualquer vendedor com acesso a PD é personalizado como processador (DPA) ou controlador separado (com fins próprios).
3. Adicionar um subprocessador requer consentimento por escrito e atualização do registro.
4. Qualquer mudança de papel/território/alvo é através de FAB, DPO e Legal.
5. DSAR e incidentes - Coordenados pelo controlador, os processadores respondem no SLA.

16) Mapa de trânsito de implementação

Semanas 1-2: Inventário de fluxo de dados e papéis; rascunho da matriz «quem é quem»; atualização RoPA.
Semanas 3-4: conclusão/atualização DPA, art. 26 (onde necessário), registro de subprocessadores; preparação de questionários de auditoria.
Mês 2: DTIA/SCCS/IDTA, atualização de políticas públicas, treinamento de equipes.
Mês 3 +: auditorias regulares de vendedores, teste DSAR, tabletop de incidentes, revisão de papéis em alterações de produto/marketing.

17) Modelo de «Matriz de papéis» curto (exemplo)

FluxoFunção do operadorFunção de contrapartidaDocumentosComentário
KUS/SançõesControladorProcessadorInstruções DPA +Sem uso
Pagamentos (PSP)Otd. controladorOtd. controladorContrato + Privaciy NoticeResponsabilidade separada
Hospedagem/nuvemControladorProcessador/subprocessadorDPA, SCCs/IDTAGeografia de dados
Marketing-SDKControladorProcessador ou otd. controladorDPA / Joint/ToSVerificar reutilização
AnalistaControladorProcessadorDPA, limitação de metasPseudônimo

TL; DR

Definimos o papel através de metas e maneiras de processamento, decidindo «porquê/como» - controlador; executa sob ordens: processador; juntos decidem - joint controlers. Formalizamos isso em DPA/art. 26, conduzindo RoPA, controlando subprocessadores, garantindo DPIA/DTIA, direitos das entidades e segurança. Matriz clara de papéis = menos riscos regulatórios, menos áreas de disputa e mais rápida auditoria.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.