Evaluación de impacto de la protección de datos
Este documento es una traducción. Los documentos originales, jurídicamente vinculantes, están en inglés y pueden consultarse aquí.
1. Necesidad de una DPIA
Nombre del Proyecto: Gamban
Fecha de Evaluación: 02/11/2024
Evaluador(es): Nick Michalopoulos
Esta DPIA es necesaria debido a cambios en las prácticas de manejo de datos, específicamente porque los datos de los clientes han sido clasificados como Datos de Categoría Especial. Esto genera la necesidad de una evaluación de impacto sobre la protección de datos (DPIA) para cualquier tipo de procesamiento que probablemente implique un alto riesgo.
2. Descripción del tratamiento
¿Qué datos serán procesados?
- Datos de identidad: incluye el nombre de usuario;
- Datos de contacto: incluye la dirección de correo electrónico del usuario y número de teléfono;
- Datos del dispositivo: incluye información sobre los diversos dispositivos que nuestra licencia de bloqueo cubre.
- Datos de marketing: preferencias del usuario con respecto a recibir nuestro boletín informativo.
- Datos de perfil: incluye el estado de adicción al juego, que abarca el nivel de juego, la hora de la última sesión de juego y su nombre de usuario.
- Datos técnicos: incluye la dirección de protocolo de internet (IP), tipo y versión de navegador, configuración de zona horaria y ubicación, tipos y versiones de complementos del navegador, sistema operativo y plataforma, y otra tecnología en los dispositivos que los usuarios utilizan para acceder al sitio web de Gamban.
- Datos de transacciones: incluye detalles sobre pagos realizados por y para el usuario y otros detalles de los servicios adquiridos por el usuario.
- Datos de uso: incluye información sobre tendencias de uso de nuestro sitio web y productos.
Propósito del procesamiento de datos:
- Servicios de software
- Notificaciones importantes sobre el producto, funciones de soporte técnico y alertas cuando la suscripción está por finalizar
- Mantenimiento de registros internos
- Análisis estadístico para fines de desarrollo de productos
¿Quién tendrá acceso a los datos?
- Organismos reguladores
- Organismos legales
- La policía
- Cualquier otra autoridad competente con funciones específicas estipuladas por la ley
- Terceros con quienes el usuario haya aceptado expresamente compartir su información personal
- Socios comerciales y proveedores de servicios
Flujo de datos:
- Recopilación de datos: Los datos de los usuarios se recopilan cuando se registran a través del sitio web o la aplicación de Gamban.
- Transmisión de datos: Los datos se transmiten de forma segura mediante HTTPS a los servidores de Gamban. Los datos específicos del dispositivo se comunican entre el dispositivo del usuario y el sistema de Gamban para habilitar la funcionalidad de bloqueo.
- Almacenamiento de datos: Los datos recopilados se almacenan en bases de datos cifradas alojadas en Azure (Microsoft Corporation).
- Uso de datos: Los datos se procesan según lo expresado anteriormente.
- Compartición de datos: Los datos no se comparten con terceros a menos que los usuarios den su consentimiento explícito o sea requerido por la ley.
- Eliminación de datos: Los usuarios pueden solicitar la eliminación de datos a través de la aplicación o el soporte. Los datos eliminados se eliminan permanentemente de los servidores activos y las copias de seguridad en un plazo de 12 meses.
¿Dónde se procesan los datos?
- Ubicaciones principales de procesamiento de datos: Los datos se procesan y almacenan en servidores alojados por Azure en el Reino Unido y la UE. El procesamiento de datos localizado ocurre en los dispositivos de los usuarios para habilitar la funcionalidad de bloqueo.
- Ubicaciones de respaldo y recuperación ante desastres: Las copias de seguridad cifradas se almacenan en el Reino Unido y la UE.
- Servicios de terceros: Datos limitados (por ejemplo, para notificaciones por correo electrónico o soporte al usuario) o datos específicos de la plataforma pueden ser procesados por proveedores de terceros de confianza:
- Zendesk, Inc.
- Braintree (una empresa de PayPal)
- Apple Inc.
- Google LLC, con sus ubicaciones y términos de procesamiento listados en cada uno de sus acuerdos de procesamiento de datos.
3. Necesidad y proporcionalidad
Gamban se basa en las siguientes bases legales para procesar los datos de los usuarios:
- Consentimiento (Artículo 6(1)(a) y Artículo 9(2)(a)): Los usuarios otorgan su consentimiento explícito para el procesamiento de sus datos personales y de categoría especial al registrarse en el servicio.
- Cumplimiento de un Contrato (Artículo 6(1)(b)): El procesamiento de datos es necesario para cumplir con la obligación contractual de proporcionar un servicio de bloqueo de apuestas.
- Interés Público Sustancial (Artículo 9(2)(g)): El procesamiento de datos de categoría especial respalda el objetivo de salud pública de mitigar los daños relacionados con el juego, alineándose con las leyes nacionales.
El procesamiento de datos es esencial para proporcionar la funcionalidad principal de Gamban: bloquear contenido relacionado con el juego en los dispositivos de los usuarios. Por ejemplo:
- Datos Personales: Las direcciones de correo electrónico e identificadores de dispositivos son necesarios para autenticar a los usuarios, configurar bloqueos específicos para cada dispositivo y proporcionar soporte.
- Datos de Categoría Especial: Los datos de comportamiento vinculados a la autoexclusión del juego garantizan que el servicio se adapte para abordar los daños relacionados con el juego.
Sin este procesamiento, Gamban no podría brindar sus servicios de manera efectiva ni apoyar su misión de reducir los daños relacionados con el juego. Los datos recopilados se minimizan en la medida necesaria para cumplir con el propósito del servicio. Las medidas incluyen:
- Solo datos esenciales: Gamban no recopila datos personales o sensibles en exceso.
- Anonimización: Los datos agregados y anonimizados se utilizan para análisis siempre que sea posible.
Gamban asegura el cumplimiento del RGPD del Reino Unido mediante la implementación de medidas robustas para garantizar los derechos de los interesados, incluyendo:
Derecho de Acceso (Artículo 15):
- Los usuarios pueden solicitar acceso a sus datos personales por correo electrónico o a través de la aplicación.
- Gamban proporciona una copia de los datos, generalmente en un plazo de un mes, asegurando que esté en un formato claro y de uso común.
Derecho de Rectificación (Artículo 16):
- Los usuarios pueden solicitar correcciones a datos personales inexactos o incompletos.
- Los cambios se implementan rápidamente y se notifica a los usuarios una vez que la rectificación se ha completado.
Derecho de Supresión (Artículo 17):
- Los usuarios pueden solicitar la eliminación de sus datos cuando ya no sean necesarios para el propósito por el que fueron recopilados o si retiran su consentimiento.
- Tras recibir una solicitud válida, los datos se eliminan permanentemente de los sistemas activos y las copias de seguridad en un plazo de [plazo especificado, por ejemplo, 30 días].
Derecho a la Restricción del Procesamiento (Artículo 18):
- Los usuarios pueden solicitar que Gamban restrinja temporalmente el procesamiento de sus datos mientras se resuelven problemas como la exactitud o reclamaciones legales.
- Los datos permanecen almacenados pero no se procesan activamente hasta que se levante la restricción.
Derecho a la Portabilidad de los Datos (Artículo 20):
- Los usuarios pueden solicitar una copia de sus datos en un formato estructurado y legible por máquina para transferirlos a otro servicio.
Derecho de Oposición (Artículo 21):
- Los usuarios pueden oponerse al procesamiento basado en intereses legítimos o marketing directo.
- En caso de oposición, Gamban cesa el procesamiento a menos que existan motivos legítimos imperiosos.
Derecho a Retirar el Consentimiento (Artículo 7(3)):
- Los usuarios pueden retirar su consentimiento en cualquier momento a través de la configuración de su cuenta o contactando al soporte.
Toma de Decisiones Automatizada (Artículo 22):
- Gamban no realiza toma de decisiones automatizada ni elaboración de perfiles que produzcan efectos legales o significativamente similares.
Para facilitar estos derechos, Gamban ha implementado:
- Política de Privacidad y de Cookies: Instrucciones claras sobre cómo los usuarios pueden ejercer sus derechos.
- Soporte al Usuario: Un equipo de soporte dedicado asiste con solicitudes y consultas relacionadas con los derechos.
- Política de Protección de Datos: Procesos internos que garantizan un manejo oportuno y conforme de las solicitudes.
4. Identificación y evaluación de riesgos
| Riesgo | Probabilidad | Impacto | Descripción |
|---|---|---|---|
| Acceso no autorizado a datos | Medio | Alto | El acceso no autorizado a datos sensibles de los usuarios por parte de actores malintencionados podría provocar violaciones de confidencialidad, daños a la reputación y multas legales. |
| Brecha de datos | Baja | Alto | Una brecha que exponga datos de categoría especial (por ejemplo, datos de comportamiento vinculados al juego) podría causar daños significativos a los usuarios y sanciones regulatorias. |
| Mecanismos de consentimiento inadecuados | Baja | Medio | El incumplimiento en la obtención de un consentimiento válido podría hacer que el procesamiento sea ilegal, lo que llevaría a multas y pérdida de confianza de los usuarios. |
| Minimización insuficiente de datos | Baja | Medio | La recopilación de más datos de los necesarios podría aumentar la exposición a riesgos y violar los principios del RGPD. |
| Fallo en garantizar los derechos sobre datos | Baja | Medio | El incumplimiento de los derechos de los interesados (por ejemplo, acceso, rectificación, eliminación) podría resultar en acciones regulatorias o quejas de los usuarios. |
| Uso indebido de datos por terceros | Baja | Alto | El uso indebido de datos por parte de procesadores terceros podría perjudicar a los usuarios y generar responsabilidad para Gamban. |
| Interrupciones del servicio | Medio | Medio | Las interrupciones o fallos podrían impedir que los usuarios accedan al servicio de Gamban, socavando la confianza y aumentando las solicitudes de soporte. |
5. Mitigación de riesgos
| Riesgo | Medida Mitigadora | Responsable |
|---|---|---|
| Acceso no autorizado a datos | - Implementar autenticación multifactor (MFA) para el acceso al sistema. | Equipo de Seguridad Informática |
| - Cifrar los datos en reposo y en tránsito utilizando protocolos estándar de la industria. | Equipo de Seguridad Informática | |
| - Realizar pruebas de penetración y evaluaciones de vulnerabilidades de forma regular. | Equipo de Seguridad Informática | |
| Brecha de datos | - Mantener un Plan Integral de Respuesta a Incidentes (IRP). | Oficial de Protección de Datos (DPO), Equipo de TI |
| - Capacitar regularmente a los empleados sobre prevención y respuesta a brechas de datos. | DPO, RR. HH. | |
| Mecanismos de consentimiento inadecuados | - Utilizar una plataforma de gestión de consentimiento compatible con el RGPD para recopilar, registrar y gestionar el consentimiento de los usuarios. | Equipo de Producto, Equipo Legal |
| - Revisar regularmente los formularios de consentimiento para garantizar claridad y cumplimiento. | Equipo Legal | |
| Minimización insuficiente de datos | - Realizar Evaluaciones de Impacto en la Protección de Datos (DPIAs) para todas las nuevas actividades de procesamiento de datos. | DPO |
| - Revisar regularmente las prácticas de recopilación de datos para garantizar el cumplimiento del principio de minimización de datos. | DPO, Equipo de Producto | |
| Fallo en garantizar los derechos sobre datos | - Establecer flujos de trabajo internos para manejar solicitudes de acceso, rectificación y eliminación de datos de manera rápida. | Equipo de Soporte, DPO |
| - Implementar herramientas amigables para que los usuarios gestionen sus preferencias y derechos sobre los datos. | Equipo de Producto | |
| Uso indebido de datos por terceros | - Garantizar que todos los procesadores terceros firmen Acuerdos de Procesamiento de Datos (DPAs). | Equipo Legal, DPO |
| - Realizar auditorías regulares del cumplimiento de los terceros con los requisitos contractuales y regulatorios. | DPO, Equipo de Adquisiciones | |
| Interrupciones del servicio | - Configurar sistemas redundantes y planes de recuperación ante desastres para minimizar el tiempo de inactividad del servicio. | Equipo de TI |
| - Probar regularmente la resiliencia del sistema y las capacidades de respuesta. | Equipo de TI |
6. Proceso de consulta
- ¿Se consultó a las partes interesadas durante la DPIA? Sí
- ¿Quién fue consultado?
- Jack Symons: Cofundador
- Matt Zarb-Cousin: Cofundador
- Nick Michalopoulos: Oficial de Protección de Datos
- Resumen de la consulta: Durante el proceso de la DPIA, se consultó a Jack Symons, Matt Zarb-Cousin y Nick Michalopoulos para obtener perspectivas sobre las actividades de procesamiento de datos de Gamban y la alineación de estos procesos con la misión de la empresa de reducir los daños relacionados con el juego. Sus comentarios ayudaron a:
- Identificar los riesgos clave asociados con el manejo de datos de categoría especial.
- Validar la necesidad de la recopilación y el procesamiento de datos para ofrecer servicios esenciales.
- Revisar las medidas existentes de protección de datos y proponer mejoras cuando fuese necesario.
- Asegurar que la DPIA refleje el compromiso de Gamban con la privacidad de los usuarios y el cumplimiento de los requisitos del RGPD del Reino Unido.
Su aporte ha sido fundamental para desarrollar una DPIA integral y efectiva.
7. Resultado de la DPIA
La DPIA se ha considerado aceptable con las mitigaciones de riesgos propuestas y ha sido aprobada por la gerencia. Hasta ahora, no hay riesgos elevados restantes que no puedan mitigarse mediante las medidas propuestas. Sin embargo, si surgen riesgos en el futuro, se tomarán los siguientes pasos para resolverlos o mitigarlos:
- Medidas de seguridad mejoradas: Implementar cifrado adicional o realizar análisis de vulnerabilidades con mayor frecuencia.
- Revisiones regulares: Llevar a cabo revisiones periódicas de las prácticas de procesamiento de datos, especialmente cuando se introduzcan nuevos servicios o funciones.
- Notificación a los usuarios: Si se identifica una situación de alto riesgo, se notificará a los usuarios de manera inmediata y se llevarán a cabo las acciones correctivas correspondientes.
8. Registro de DPIA
Fecha de finalización: 14/11/2024
Revisado por (gerencia): Jack Symons
Mantenimiento de registros: Nick Michalopoulos