Política de Privacidad de Ripple Casino (España)
Esta Política de Privacidad explica cómo Ripple Casino trata sus datos personales en España conforme al RGPD y la LOPDGDD: qué datos recopilamos (registro, KYC/AML, juego y pagos en fiat y XRP), con qué bases legales, cuánto tiempo los conservamos, con quién los compartimos, si hay transferencias internacionales, sus derechos (acceso, rectificación, supresión, oposición, limitación y portabilidad) y cómo contactar con nuestro DPO. Incluye información sobre cookies, seguridad, verificación de edad, geolocalización y juego responsable.
¿Qué datos personales recopilamos y para qué?
Recopilamos solo los datos necesarios para crear y gestionar su cuenta, verificar que es mayor de edad y que cumple los requisitos legales (KYC/AML), prestar el servicio de juego, procesar pagos (incluido el uso de XRP en redes públicas como XRP Ledger) y cumplir obligaciones regulatorias en España y la UE. Tratamos estos datos conforme al RGPD, la LOPDGDD, la normativa sectorial de juego bajo la Dirección General de Ordenación del Juego y la normativa de prevención de blanqueo de capitales. Detallamos a continuación las categorías, finalidades y bases jurídicas.
¿Qué datos usamos para registro, verificación de edad y KYC?
Para abrir y mantener su cuenta, verificar su mayoría de edad y cumplir con diligencia debida (KYC), recopilamos e integramos información proporcionada por usted y, cuando procede, resultados de verificaciones con proveedores especializados y registros públicos habilitados legalmente.
Registro de cuenta:
- Identificación y contacto: nombre y apellidos, fecha de nacimiento, nacionalidad, documento de identidad (DNI/NIE/pasaporte), dirección postal, dirección de correo electrónico y número de teléfono.
- Credenciales de acceso: usuario y contraseñas cifradas, preferencias de idioma y zona horaria.
Verificación de edad e identidad (KYC):
- Capturas/documentos de identidad, comprobaciones de validez y coincidencia biométrica (cuando proceda) y contrastes antifraude.
- Resultados de screening en listas de sanciones y Personas Expuestas Políticamente (PEP), obtenidos de fuentes legítimas.
- Datos técnicos mínimos para evaluación de riesgo: dirección IP, país/ubicación aproximada y huellas de dispositivo para prevenir suplantaciones.
Juego responsable y autoexclusiones:
- Estado de autoexclusión que usted active con nosotros y, cuando proceda legalmente, contraste con registros públicos de prohibidos en España bajo supervisión de la autoridad competente de juego (DGOJ).
Bases jurídicas aplicables:
- Ejecución de contrato (art. 6.1.b RGPD) para crear/gestionar su cuenta.
- Obligación legal (art. 6.1.c RGPD) para verificar edad/identidad y diligencia debida AML/CTF según la Ley 10/2010 y RD 304/2014 (Ley 10/2010, RD 304/2014).
- Interés legítimo (art. 6.1.f RGPD) para seguridad y prevención del fraude, con prueba de ponderación.
¿Qué actividad de juego y transacciones (incl. XRP) registramos?
Registramos su actividad para prestar el servicio, garantizar la integridad de las operaciones, cumplir requisitos de juego responsable y atender auditorías regulatorias. En pagos y criptoactivos (p. ej., XRP), capturamos metadatos necesarios para procesar y reconciliar transacciones y cumplir AML.
Actividad de juego:
- Historial de sesiones, juegos utilizados, apuestas realizadas, resultados, saldos, bonus/bonificaciones y límites configurados.
- Eventos de seguridad (p. ej., intentos de acceso inusuales) y parámetros técnicos (IP, dispositivo, sello temporal) necesarios para investigación de incidencias.
Pagos y retiros en dinero fiat:
- Método de pago, identificadores de transacción, importes, divisa, estado y comprobantes requeridos por prevención de fraude y contabilidad.
Transacciones en XRP:
- Direcciones públicas involucradas, hash/ID de transacción, monto, memo/Destination Tag (si se usa), marcas temporales y estado de confirmación en la cadena.
- Conciliación interna con su cuenta y análisis AML/CTF sobre patrones de riesgo.
- Advertencia: las redes públicas como XRP Ledger son transparentes por diseño; ciertas operaciones e importes son visibles públicamente en exploradores de bloques. Documentación técnica: xrpl.org.
Principios aplicados:
- Minimización y seudonimización cuando sea viable.
- No le pediremos su clave privada ni su frase semilla; mantenga sus credenciales seguras.
¿Qué cookies y tecnologías de seguimiento empleamos?
Usamos cookies y tecnologías equivalentes para que el sitio funcione, recordar sus preferencias y, con su consentimiento, medir la audiencia y personalizar campañas. En España, la instalación de cookies no esenciales requiere consentimiento informado conforme a la LSSI y a las guías de la AEPD.
Estríctamente necesarias (exentas de consentimiento):
- Sesión y equilibrio de carga; autenticación; seguridad (p. ej., detección de abuso, CSRF).
Preferencias:
- Idioma, recordatorios de estado de inicio de sesión, ajustes de accesibilidad.
Analítica y rendimiento (requieren consentimiento):
- Métricas de uso y errores para mejorar estabilidad y experiencia.
Marketing/ads (requieren consentimiento):
- Medición de campañas, atribución y limitación de frecuencia publicitaria.
Tecnologías equivalentes:
- Almacenamiento local (localStorage/sessionStorage) para guardar sus ajustes.
- Etiquetas/píxeles y SDKs, activados solo tras su consentimiento (si no son esenciales).
Marco normativo:
- RGPD y LSSI 34/2002 (LSSI); consentimiento granular y revocable desde el panel de cookies.
| Categoría de datos | Ejemplos | Finalidad principal | Base jurídica | Referencia |
|---|---|---|---|---|
| Identificación y contacto | Nombre, fecha de nacimiento, DNI/NIE, dirección, email, teléfono | Abrir y gestionar la cuenta; verificar mayoría de edad | Art. 6.1.b (contrato); 6.1.c (obligación legal) | RGPD |
| KYC/AML | Documento de identidad, biometría (si procede), PEP/sanciones | Diligencia debida y prevención de blanqueo/FT | Art. 6.1.c (obligación legal) | Ley 10/2010 |
| Actividad de juego | Apuestas, resultados, límites, sesiones | Prestación del servicio y juego responsable | Art. 6.1.b (contrato) | DGOJ |
| Pagos fiat | Método, importe, identificadores, estado | Procesar depósitos/retiros y conciliación | Art. 6.1.b (contrato); 6.1.c (obligaciones contables/fiscales) | RGPD |
| Transacciones XRP | Dirección pública, hash, Destination Tag, monto | Procesar operaciones en cadena y AML | Art. 6.1.b (contrato); 6.1.c (AML) | xrpl.org |
| Datos técnicos | IP, país, dispositivo, logs | Seguridad, prevención de fraude y georrestricción | Art. 6.1.f (interés legítimo) | RGPD |
| Cookies/analítica | IDs seudónimos, eventos, píxeles | Métricas, personalización y marketing | Art. 6.1.a (consentimiento) | AEPD, LSSI |
Aplicamos minimización de datos, controles de acceso y medidas de seguridad proporcionales al riesgo. Cuando existan varias finalidades o bases jurídicas, informamos de la prioritaria y documentamos compatibilidades conforme a los arts. 5 y 6 del RGPD. Puede ejercer sus derechos en cualquier momento según se describe en la sección de derechos.
¿Cuál es la base legal y cuánto tiempo conservamos los datos?
Tratamos sus datos con arreglo a las bases jurídicas previstas en el RGPD y a la normativa española aplicable al juego online, prevención de blanqueo de capitales y servicios de la sociedad de la información. Aplicamos el principio de minimización y definimos plazos de conservación específicos por categoría, manteniendo los datos solo el tiempo necesario para cada finalidad o durante los plazos de obligación legal. Una vez cumplidas las finalidades, bloqueamos o anonimizamos la información cuando debamos conservarla para atender posibles responsabilidades.
¿Consentimiento, contrato o interés legítimo?
Asignamos una base legal clara a cada tratamiento. Cuando se requiere, recabamos su consentimiento granular; cuando sea imprescindible para el servicio, nos basamos en la ejecución del contrato; y cuando existe un interés legítimo ponderado (p. ej., seguridad antifraude), aplicamos salvaguardas y le ofrecemos mecanismos de oposición cuando proceda.
Ejecución de contrato (art. 6.1.b RGPD):
- Apertura y gestión de cuenta, acceso a juegos, atención al cliente, procesamiento de depósitos y retiradas.
- Registro de actividad de juego y conciliación de operaciones, incluyendo transacciones en XRP necesarias para prestar el servicio.
Obligación legal (art. 6.1.c RGPD):
- Diligencia debida KYC/AML/CTF conforme a la Ley 10/2010 y su Reglamento (RD 304/2014).
- Requisitos sectoriales de juego y juego responsable bajo la DGOJ.
- Obligaciones contables y fiscales (p. ej., Código de Comercio, art. 30; LGT 58/2003).
Interés legítimo (art. 6.1.f RGPD):
- Seguridad de la plataforma, prevención del fraude, integridad de torneos/promociones y mejora del servicio basada en métricas agregadas.
- Marketing directo cuando sea compatible con la normativa sectorial y con opción de oposición inmediata. Para comunicaciones electrónicas promocionales, rige el art. 21 de la LSSI 34/2002 (consentimiento previo, salvo relación contractual previa para productos/servicios similares con opción de baja).
Consentimiento (art. 6.1.a RGPD):
- Cookies y tecnologías de seguimiento no esenciales (según guías de la AEPD), comunicaciones comerciales por email/SMS cuando no aplique excepción de la LSSI, y ciertas verificaciones biométricas cuando la base adecuada sea el consentimiento.
¿Cómo aplicamos AML/CTF y otras obligaciones legales?
Como operador del sector del juego, somos sujetos obligados en materia de prevención de blanqueo de capitales y financiación del terrorismo. Implementamos políticas y controles de diligencia debida, monitorización transaccional y reporte, y conservamos evidencias conforme a los plazos legales, sin perjuicio de otras obligaciones sectoriales, contables y fiscales.
KYC y diligencia debida:
- Identificación formal y verificación de edad/identidad; evaluación de riesgo, determinación de PEP y screening de sanciones.
- Diligencia reforzada cuando concurren factores de mayor riesgo (p. ej., patrones atípicos o fuentes de fondos no claras).
Monitorización y reportes:
- Seguimiento de operaciones para detectar indicios y, cuando proceda, comunicación al SEPBLAC conforme a la Ley 10/2010 y RD 304/2014.
- Conservación íntegra y accesible de documentación y registros AML durante 10 años desde la terminación de la relación o ejecución de la operación, según el art. 25 de la Ley 10/2010.
Otras obligaciones:
- Requisitos del regulador del juego (DGOJ) en materia de integridad del juego y juego responsable.
- Conservación mercantil mínima de 6 años (libros, correspondencia, justificantes) conforme al art. 30 del Código de Comercio.
- Prescripción tributaria general de 4 años (derechos y obligaciones) conforme a la LGT 58/2003 (arts. 66 y ss.).
¿Durante cuánto tiempo conservamos cada categoría de datos?
Definimos plazos por categoría y finalidad. Mientras la cuenta está activa, conservamos los datos necesarios para prestarle el servicio. Tras la baja, aplicamos el principio de limitación del plazo, manteniendo únicamente la información imprescindible para obligaciones legales o para la defensa de reclamaciones, en estado de bloqueo conforme a la LOPDGDD.
Cuenta y contrato:
- Mientras dure la relación contractual y, tras la baja, durante el plazo de prescripción aplicable para atender posibles reclamaciones.
KYC/AML:
- 10 años desde la terminación de la relación o la ejecución de la operación, según art. 25 de la Ley 10/2010.
Contabilidad y fiscalidad:
- Documentación mercantil 6 años (art. 30, Código de Comercio); documentación relevante a efectos tributarios, al menos el plazo de prescripción de 4 años (LGT 58/2003).
Registros de juego y seguridad:
- Mientras sea necesario para garantizar integridad del servicio, investigación de incidencias, cumplimiento regulatorio y responsabilidad.
Marketing y consentimientos:
- Hasta que retire su consentimiento o se oponga; conservamos evidencias de consentimiento/opt-out el tiempo necesario para acreditar cumplimiento normativo.
Transacciones en XRP:
- Los datos on-chain (p. ej., hash y direcciones públicas) permanecen de forma permanente en la red XRP Ledger, fuera de nuestro control; la conciliación y metadatos internos se conservan según AML/contabilidad.
| Categoría | Finalidad principal | Base jurídica | Conservación | Referencia normativa |
|---|---|---|---|---|
| Identificación y cuenta | Prestación del servicio y soporte | Art. 6.1.b RGPD | Vigencia del contrato + prescripción aplicable | RGPD |
| KYC/AML (documental y registros) | Diligencia debida y monitorización | Art. 6.1.c RGPD | 10 años desde fin de relación/operación | Ley 10/2010, art. 25 |
| Actividad de juego | Integridad del juego y cumplimiento sectorial | Art. 6.1.b y 6.1.c RGPD | Necesario para servicio y obligaciones regulatorias | DGOJ |
| Pagos y conciliación | Procesar depósitos/retiros y contabilidad | Art. 6.1.b y 6.1.c RGPD | 6 años (mercantil) y 4 años (fiscal) según aplique | Cód. Comercio art. 30, LGT 58/2003 |
| Seguridad y fraude (logs técnicos) | Protección del servicio e investigación de incidentes | Art. 6.1.f RGPD | Mientras sea necesario para fines de seguridad y defensa | RGPD |
| Marketing y preferencias | Comunicaciones y personalización | Art. 6.1.a/6.1.f RGPD + LSSI | Hasta retirada del consentimiento u oposición | LSSI art. 21 |
| Transacciones XRP (on-chain) | Ejecución y trazabilidad técnica | Art. 6.1.b/6.1.c RGPD | Permanentes en la red; internos según AML/contable | xrpl.org |
Revisamos periódicamente nuestros plazos y eliminamos o anonimizamos la información cuando expiran las obligaciones o desaparecen las finalidades. Puede solicitar información adicional sobre criterios y plazos específicos aplicados a su caso a través de los canales indicados en esta política.
¿Con quién compartimos sus datos y hay transferencias internacionales?
Compartimos sus datos personales con proveedores que actúan como encargados del tratamiento conforme al artículo 28 del RGPD y bajo contratos que imponen confidencialidad, medidas de seguridad y limitación de finalidades. No vendemos sus datos. Priorizamos el tratamiento dentro del EEE; cuando es necesario transferir datos fuera del EEE, aplicamos un marco de garantías que incluye decisiones de adecuación, Cláusulas Contractuales Tipo (CCT) de la UE y medidas complementarias de seguridad. También podemos comunicar datos a autoridades públicas cuando exista obligación legal o requerimiento válido.
¿Qué proveedores (pagos, KYC, analítica) actúan como encargados?
Usamos proveedores especializados para operar el servicio con seguridad, cumplir obligaciones regulatorias y mejorar la experiencia. Todos ellos tratan datos siguiendo nuestras instrucciones y no pueden usarlos para fines propios. A continuación se describen las principales categorías de encargados y los datos mínimos necesarios que pueden tratar.
Pagos y antifraude:
- Pasarelas de pago, procesadores, bancos y proveedores de detección de fraude para depósitos y retiradas.
- Datos tratados: identificadores de cuenta, importes, método de pago, país, huellas de dispositivo, resultados de controles antifraude.
Verificación de identidad y KYC/AML:
- Servicios de verificación documental/biométrica, contrastes en listas de sanciones y PEP.
- Datos tratados: documento de identidad, selfies/biometría (si procede), nombre, fecha de nacimiento, resultado de verificaciones.
Analítica y medición:
- Plataformas de analítica de uso y rendimiento (activadas solo con su consentimiento cuando son no esenciales).
- Datos tratados: identificadores seudónimos, eventos de uso, telemetría de errores.
Infraestructura y seguridad:
- Servicios de cloud/hosting, CDN, WAF, mitigación DDoS y monitorización.
- Datos tratados: direcciones IP, registros técnicos, contenidos cifrados.
Atención al cliente y comunicaciones:
- Sistemas de ticketing/chat y plataformas de email/SMS (con consentimiento o base legal aplicable).
- Datos tratados: nombre, email, teléfono, histórico de interacciones, preferencias.
Contabilidad y auditoría:
- Servicios contables y de auditoría para conciliaciones e informes regulatorios.
- Datos tratados: extractos, justificantes de transacciones, registros de actividad agregados.
¿Cuándo compartimos datos con autoridades reguladoras?
Comunicamos datos personales a autoridades públicas únicamente cuando existe una obligación legal, un requerimiento válido o para la defensa de reclamaciones. Registramos y verificamos cada solicitud y divulgamos la información mínima necesaria para cumplir la ley.
Regulador del juego (DGOJ):
- Finalidad: cumplimiento de normativa sectorial, integridad del juego y juego responsable.
- Datos: identificativos, actividad de juego, límites y medidas de juego responsable.
- Base legal: art. 6.1.c RGPD y normativa sectorial. Autoridad: www.ordenacionjuego.es.
Prevención de blanqueo (SEPBLAC):
- Finalidad: comunicaciones de operaciones sospechosas y requerimientos AML/CTF.
- Datos: identificativos, medios de pago, patrones transaccionales y documentación de soporte.
- Base legal: art. 6.1.c RGPD; Ley 10/2010. Autoridad: www.sepblac.es.
Autoridad tributaria y mercantil:
- Finalidad: obligaciones fiscales y contables.
- Datos: justificantes de operaciones, facturación y conciliaciones.
- Base legal: art. 6.1.c RGPD; normativa fiscal/mercantil.
Fuerzas y Cuerpos de Seguridad/Jueces y Tribunales:
- Finalidad: investigación y persecución de delitos, ejecución de resoluciones judiciales.
- Datos: los estrictamente solicitados en mandamientos u oficios válidos.
- Base legal: art. 6.1.c y 6.1.f RGPD (defensa de reclamaciones).
Autoridades de protección de datos (AEPD/otras del EEE):
- Finalidad: tramitación de reclamaciones y cooperación transfronteriza.
- Datos: expediente y evidencias de cumplimiento.
- Autoridad en España: www.aepd.es.
¿Cómo protegemos transferencias fuera del EEE (Cláusulas Tipo)?
Aplicamos un enfoque escalonado para transferencias internacionales: (1) evitarlas cuando sea posible; (2) usar proveedores en países con decisión de adecuación; (3) en ausencia de adecuación, firmar las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914) y realizar una evaluación de impacto de la transferencia (TIA) conforme a las recomendaciones del EDPB, junto con medidas técnicas y organizativas complementarias como cifrado robusto, seudonimización y minimización de datos.
Decisiones de adecuación (art. 45 RGPD):
- Transferencias permitidas a países reconocidos por la Comisión Europea (p. ej., Suiza, Reino Unido, Japón, Corea del Sur). Referencia: Comisión Europea.
EE. UU. — entidades certificadas:
- Para destinatarios adheridos al EU–US Data Privacy Framework (DPF), la base es la decisión de adecuación de 2023. Registro: dataprivacyframework.gov.
Cláusulas Contractuales Tipo (art. 46 RGPD):
- Uso de CCT 2021/914 (módulos aplicables) cuando no exista adecuación, más TIA y salvaguardas técnicas/contractuales. Texto oficial: EUR-Lex.
Medidas complementarias:
- Cifrado fuerte con gestión de claves en el EEE, seudonimización, control de acceso e inspecciones de solicitudes gubernamentales.
- Revisión periódica de transferencias y documentación de TIA (EDPB Recomendaciones 01/2020: edpb.europa.eu).
Datos en cadenas públicas (p. ej., XRP Ledger):
- La publicación on-chain es global por diseño; evitamos registrar datos personales en transacciones y limitamos metadatos a lo estrictamente necesario.
| Destino/Marco | Base de transferencia | Ejemplos | Salvaguardas complementarias | Referencia legal |
|---|---|---|---|---|
| Dentro del EEE | No aplica (RGPD pleno) | Cloud/hosting en UE, procesadores de pagos europeos | Contratos art. 28 RGPD, cifrado y minimización | RGPD |
| País con adecuación | Art. 45 RGPD (decisión de adecuación) | Reino Unido, Suiza, Japón, Corea del Sur | Controles de acceso y acuerdos de procesamiento | Decisiones de adecuación |
| EE. UU. (entidades certificadas) | Art. 45 RGPD (EU–US DPF, 2023) | Plataformas de email/analítica certificadas | Limitación de datos, opt-out de marketing, cifrado | Data Privacy Framework |
| Tercer país sin adecuación | Art. 46 RGPD (CCT 2021/914) | Soporte técnico global | TIA, cifrado con claves en EEE, seudonimización | CCT 2021/914, EDPB 01/2020 |
| Datos en XRPL (on-chain) | N/A (divulgación pública por diseño) | Hash de transacción, dirección pública | Evitar datos personales on-chain, minimización | xrpl.org |
Puede solicitar información adicional sobre la lista actualizada de categorías de proveedores, la base jurídica aplicable y las garantías de transferencias en cualquier momento a través de los canales de contacto indicados en esta política. Mantendremos la documentación de transferencias y evaluaciones disponible para la autoridad de control competente cuando lo requiera.
Sus derechos de privacidad en España y la UE
Como persona usuaria en España y la UE, dispone de los derechos previstos en el RGPD y la LOPDGDD: acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones exclusivamente automatizadas (incluida la elaboración de perfiles) con efectos jurídicos o similares significativos. Atendemos sus solicitudes sin coste, normalmente en el plazo máximo de un mes (prorrogable dos meses más si son complejas o numerosas), previa verificación de identidad. En determinados casos, es posible que no podamos ejecutar plenamente algunos derechos (p. ej., supresión) por la existencia de obligaciones legales de conservación (KYC/AML, fiscalidad, normativa de juego), pero en esos casos bloquearemos los datos y le informaremos de los motivos y de su derecho a reclamar ante la AEPD.
¿Cómo ejercer acceso, rectificación, supresión y portabilidad?
Puede iniciar y gestionar sus solicitudes desde el centro de privacidad de su cuenta o por los canales indicados en esta Política. Le pediremos la información estrictamente necesaria para confirmar su identidad y localizar los datos. Cuando la supresión no sea posible por obligación legal, aplicaremos el bloqueo (inaccesibilidad operativa) hasta la finalización de los plazos de conservación.
Acceso (art. 15 RGPD):
- Le facilitaremos copia de sus datos personales, finalidades, categorías, destinatarios, plazos y fuentes, así como decisiones automatizadas relevantes.
- Formato: electrónico seguro, salvo que solicite otro medio adecuado.
Rectificación (art. 16 RGPD):
- Actualización o corrección de datos inexactos o incompletos (p. ej., dirección, teléfono, documento vigente).
Supresión (art. 17 RGPD):
- Aplicable cuando dejen de ser necesarios o retire su consentimiento (si aplica); puede verse limitada por KYC/AML, fiscalidad o normativa de juego.
- Si procede, bloquearemos los datos hasta que expire la obligación de conservación.
Portabilidad (art. 20 RGPD):
- Recibirá un fichero estructurado, de uso común y lectura mecánica (p. ej., JSON/CSV) o lo enviaremos al nuevo responsable cuando sea técnicamente posible.
- Aplica cuando la base jurídica sea consentimiento o contrato y el tratamiento se efectúe por medios automatizados.
Cómo presentar la solicitud:
- Desde su cuenta: sección “Privacidad” → seleccione el derecho → describa su petición.
- Recibirá acuse de recibo y número de referencia. Plazo estándar: 1 mes.
- Si no está conforme, puede reclamar ante la AEPD: sedeagpd.gob.es.
¿Cómo oponerse al marketing y a decisiones automatizadas?
Puede oponerse al tratamiento basado en interés legítimo (incluido marketing directo) en cualquier momento. Todas las comunicaciones comerciales incluyen un enlace de baja. Para decisiones automatizadas con efectos jurídicos o similares (p. ej., bloqueos automáticos por riesgo de fraude), garantizamos la intervención humana cuando lo solicite, así como la posibilidad de expresar su punto de vista y de impugnar la decisión.
Oposición (art. 21 RGPD):
- Marketing directo: la oposición es absoluta; dejaremos de tratar sus datos con esa finalidad.
- Otros intereses legítimos: valoraremos su solicitud y, salvo motivos legítimos imperiosos, cesaremos el tratamiento o aplicaremos limitación.
Decisiones automatizadas (art. 22 RGPD):
- Derechos: obtener intervención humana, expresar su postura y recurrir la decisión.
- Excepciones: cuando la decisión sea necesaria para el contrato, esté autorizada por ley con garantías o se base en su consentimiento explícito.
- Ejemplos en el sector: puntuación de riesgo antifraude o elegibilidad automática para promociones; siempre ofrecemos revisión humana a petición.
Canales de gestión:
- Panel de preferencias de marketing en su cuenta (email/SMS/notificaciones) y enlace “darse de baja” en cada comunicación.
- Solicitud específica de revisión humana para decisiones automatizadas desde el centro de privacidad.
Preferencias de cookies: ¿cómo retirar o cambiar su consentimiento?
La instalación de cookies no esenciales requiere su consentimiento informado conforme a la LSSI y a las guías de la AEPD. Puede cambiar o retirar su consentimiento en cualquier momento desde el panel de configuración de cookies del sitio. Su retiro no afectará a la licitud del tratamiento previo ni a las cookies estrictamente necesarias.
Panel de cookies del sitio:
- Accesible en el banner inicial o desde el enlace “Configuración de cookies” del pie de página.
- Active/desactive categorías (preferencias, analítica, marketing) y guarde su elección.
Ajustes del navegador (adicionales):
- Google Chrome: support.google.com/chrome/answer/95647
- Mozilla Firefox: support.mozilla.org
- Apple Safari: support.apple.com
- Microsoft Edge: support.microsoft.com
Pruebas de consentimiento:
- Conservamos registro de su estado de consentimiento y de los cambios efectuados para demostrar cumplimiento normativo.
| Derecho | Artículo RGPD | Qué implica | Cómo ejercer | Plazo de respuesta |
|---|---|---|---|---|
| Acceso | Art. 15 | Obtener copia de los datos y la información del tratamiento | Centro de privacidad o solicitud por canal habilitado | 1 mes (prórroga máx. +2 meses si complejo) |
| Rectificación | Art. 16 | Corregir datos inexactos o incompletos | Actualizar perfil o aportar prueba documental | 1 mes |
| Supresión | Art. 17 | Eliminar datos cuando aplique; bloqueo si hay obligaciones legales | Centro de privacidad; indicaremos límites legales (KYC/AML) | 1 mes |
| Limitación | Art. 18 | Restringir el uso de datos en supuestos específicos | Solicitud motivada; reflejado en su cuenta y sistemas | 1 mes |
| Portabilidad | Art. 20 | Recibir/transferir datos en formato estructurado y legible | Descarga segura o envío a nuevo responsable (si técnicamente posible) | 1 mes |
| Oposición | Art. 21 | Cesar tratamiento por interés legítimo; absoluta en marketing | Panel de marketing o enlace de baja; solicitud específica | Inmediato en marketing; 1 mes resto |
| Decisiones automatizadas | Art. 22 | Derecho a intervención humana, a expresar su punto de vista y a impugnar | Solicitud de revisión humana desde el centro de privacidad | 1 mes |
| Retirada del consentimiento | Art. 7.3 | Revocar en cualquier momento sin afectar a la licitud previa | Panel de cookies o preferencias; enlace “darse de baja” | Inmediato en cookies/marketing; 1 mes resto |
Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la Agencia Española de Protección de Datos a través de su sede electrónica (sedeagpd.gob.es) o consultar sus guías y recursos en www.aepd.es. También puede dirigirse a su autoridad de control local en la UE si reside fuera de España.
Seguridad, menores y cambios de la política
Adoptamos un enfoque de seguridad integral para proteger sus datos personales y la continuidad del servicio, con medidas organizativas, técnicas y procedimentales alineadas con el artículo 32 del RGPD. Está prohibido el acceso de menores de 18 años y aplicamos controles de verificación de edad y geolocalización, junto con herramientas de juego responsable. Revisamos y actualizamos esta Política cuando cambian nuestras operaciones o la normativa; notificaremos cambios materiales por canales visibles (banner, aviso en cuenta) y registraremos la versión y fecha de entrada en vigor.
¿Qué medidas de seguridad aplicamos y qué riesgos persisten?
Aplicamos medidas de “defensa en profundidad” para reducir la probabilidad e impacto de incidentes, combinando gobierno de la seguridad, controles técnicos y procedimientos operativos. Aun así, ningún sistema es invulnerable: persisten riesgos residuales (p. ej., ingeniería social, nuevas vulnerabilidades de software, fallos de terceros). Mantenemos planes de respuesta y notificaremos brechas a la autoridad y a los afectados cuando proceda (arts. 33 y 34 RGPD).
Gobierno y personas:
- Políticas de seguridad y privacidad aprobadas por la dirección y revisadas periódicamente.
- Formación y concienciación anti-phishing para personal con acceso a datos.
- Principio de mínimo privilegio y revisiones periódicas de accesos.
Controles técnicos:
- Cifrado de datos en tránsito mediante protocolos TLS modernos y cifrado en reposo para información sensible.
- Autenticación multifactor (MFA) para personal administrativo y accesos críticos.
- Segmentación de red, cortafuegos/WAF y mitigación DDoS.
- Monitorización continua, registro de eventos y detección de intrusiones.
- Gestión de vulnerabilidades, parches de seguridad y pruebas periódicas (incluida referencia a los riesgos del OWASP Top 10).
Procesos y resiliencia:
- Copias de seguridad cifradas y planes de continuidad/recuperación ante desastres.
- Evaluaciones de impacto en la protección de datos (DPIA) cuando el riesgo lo requiere.
- Procedimientos de respuesta a incidentes y notificación en menos de 72 horas cuando sea exigible (art. 33 RGPD: RGPD).
Referenciales y guías:
| Control | Objetivo | Marco/Referencia | Evidencia típica |
|---|---|---|---|
| Cifrado en tránsito | Proteger confidencialidad e integridad de comunicaciones | Art. 32 RGPD; Buenas prácticas TLS | Configuración TLS vigente; informes de escaneo; política de cifrado |
| Gestión de accesos y MFA | Reducir riesgo de accesos no autorizados | ISO/IEC 27001 A.5/A.8 | Listas de control de accesos; registros de MFA; revisiones trimestrales |
| WAF y segmentación | Mitigar ataques web y lateralidad en red | OWASP; ISO/IEC 27001 A.8 | Reglas WAF; diagramas de red; registros de bloqueos |
| Gestión de vulnerabilidades | Identificar y remediar fallos de seguridad | ENISA; ISO/IEC 27001 A.8/A.12 | Informes de escaneo/pen-test; SLAs de parcheo; actas de cambio |
| Backups cifrados y BCP/DRP | Garantizar disponibilidad y recuperación | ISO/IEC 27001 A.5/A.17 | Registros de copias; pruebas de restauración; plan BCP/DRP |
| Respuesta a incidentes | Contener, erradicar y notificar brechas | Arts. 33–34 RGPD; ENISA | Runbooks; informes post-mortem; evidencias de notificación |
Revisamos de forma continua nuestra postura de seguridad y el inventario de riesgos residuales, priorizando mitigaciones basadas en impacto y probabilidad. Publicaremos avisos de seguridad relevantes y recomendaciones para personas usuarias cuando detectemos amenazas activas (p. ej., campañas de phishing).
¿Cómo verificamos edad, geolocalización y juego responsable?
El acceso está estrictamente limitado a personas mayores de 18 años y ubicadas en jurisdicciones donde el servicio esté permitido. Aplicamos verificaciones de edad/identidad, comprobaciones de geolocalización y herramientas de juego responsable, de acuerdo con la normativa y las directrices de la autoridad reguladora del juego en España.
Verificación de edad/identidad:
- Comprobación documental y, cuando proceda, verificación biométrica mediante proveedores KYC autorizados.
- Contraste con registros oficiales de autoexclusión cuando lo requiera la normativa aplicable en España (p. ej., RGIAJ gestionado por la DGOJ).
Geolocalización y acceso:
- Detección de ubicación aproximada mediante dirección IP y otros indicadores técnicos; bloqueo de VPN/proxies conocidos.
- Cuando sea necesario, solicitud de pruebas adicionales de ubicación conforme a la normativa.
Juego responsable:
- Límites voluntarios de depósito/apuesta, recordatorios de actividad, periodos de pausa y autoexclusión.
- Monitoreo de patrones de riesgo y contacto proactivo cuando detectemos señales de juego problemático, de acuerdo con la normativa de la DGOJ.
Limitaciones técnicas:
- Los métodos de geolocalización no son infalibles; mantenemos controles antifraude adicionales para detectar elusión.
¿Cómo contactar con el DPO y reclamar ante la AEPD?
Puede dirigirse a nuestro Delegado de Protección de Datos (DPO) a través del centro de privacidad de su cuenta o mediante los canales de contacto indicados en el pie de página del sitio (“Privacidad” o “DPO”). Incluya su nombre completo, dirección de correo electrónico asociada a la cuenta, país de residencia, derecho que desea ejercitar y una descripción clara de su solicitud. Responderemos en un plazo máximo de un mes, prorrogable en casos complejos conforme al RGPD.
Contenido recomendado de la solicitud:
- Asunto: “At.: DPO – Ejercicio de derechos RGPD”.
- Información para verificar su identidad y detalles necesarios para localizar los datos.
Escalado y reclamaciones:
- Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la Agencia Española de Protección de Datos desde su sede electrónica: sedeagpd.gob.es o consultar información en www.aepd.es.
- Si reside en otro Estado del EEE, también puede acudir a su autoridad de control local o consultar el Comité Europeo de Protección de Datos: edpb.europa.eu.
Seguimiento y registro:
- Le proporcionaremos un número de caso y mantendremos registro de la gestión para demostrar cumplimiento.
Actualizaremos esta sección si cambian los canales de contacto o las autoridades competentes. Revise periódicamente la versión y fecha de esta Política para conocer las últimas modificaciones.
Preguntas Frecuentes
¿Puedo jugar de forma anónima usando XRP en Ripple Casino?
No. Aunque opere con XRP, la normativa española exige identificarle (KYC) y aplicar controles AML/CTF, por lo que la verificación es obligatoria. Además, las transacciones en XRP Ledger son públicas y permanentes. La base jurídica es el contrato y la obligación legal (art. 6.1.b y 6.1.c RGPD; Ley 10/2010), y los registros AML se conservan 10 años (art. 25). En cripto solo tratamos lo necesario para procesar y conciliar: dirección pública, hash de transacción y Destination Tag; nunca le pediremos su clave privada ni su frase semilla.
¿Dónde se almacenan mis datos y se transfieren fuera del EEE?
Priorizamos el alojamiento y el tratamiento dentro del EEE; solo transferimos fuera cuando es imprescindible y con garantías adecuadas. Si no hay decisión de adecuación (art. 45 RGPD), usamos Cláusulas Contractuales Tipo 2021/914 y evaluación de impacto de la transferencia con cifrado y seudonimización. Para EE. UU., cuando procede, utilizamos entidades certificadas en el EU–US Data Privacy Framework (2023). Los datos on‑chain en XRPL son globales y no se pueden borrar ni reubicar.
¿Cómo puedo minimizar mi exposición de datos al usar XRP Ledger?
No incluya datos personales en campos on‑chain como Memo y utilice únicamente el Destination Tag asignado por su cuenta. Recuerde que cada operación XRPL es visible de forma indefinida en exploradores públicos. Limite los metadatos de la transacción a lo estrictamente requerido para su depósito o retiro, verifique el Destination Tag antes de enviar y conserve sus credenciales fuera de línea; nosotros nunca solicitamos su semilla. Internamente aplicamos minimización y análisis AML para cumplir la Ley 10/2010 sin añadir PII a la cadena.
¿Cuál es la diferencia entre “bloqueo” y “supresión” de datos según la LOPDGDD?
La supresión elimina o anonimiza; el bloqueo impide el uso operativo pero conserva lo imprescindible para obligaciones legales. En España, el bloqueo se mantiene hasta que expiren plazos como 10 años por AML (Ley 10/2010, art. 25), 6 años mercantil (Cód. de Comercio, art. 30) o 4 años fiscal (LGT 58/2003). Durante el bloqueo, el acceso queda restringido y solo se tratará para atender responsabilidades o requerimientos válidos.
¿Cómo ejerzo mis derechos si no puedo acceder a mi cuenta?
Si no puede entrar, contacte con el DPO por los canales indicados en el pie de página aportando su identidad y el derecho que desea ejercer. Daremos respuesta en un máximo de 1 mes, ampliable 2 meses si es complejo (arts. 12 y 15–22 RGPD). Podremos pedir datos mínimos para verificarle y localizar su expediente, y entregaremos la información por un medio electrónico seguro. Cuando la supresión no sea posible por ley, aplicaremos el bloqueo e informaremos del motivo.
¿En qué plazo notifican una brecha de seguridad que afecte a mis datos?
Comunicamos a la autoridad competente en un máximo de 72 horas desde que tenemos constancia, según el art. 33 RGPD. Si el incidente entraña alto riesgo, informamos a los afectados sin dilación indebida (art. 34). Documentamos el hecho, el alcance, el número aproximado de interesados y medidas adoptadas, y reforzamos controles técnicos y organizativos para evitar recurrencia.
Me opuse al marketing y sigo recibiendo mensajes, ¿por qué?
La oposición al marketing directo es absoluta y aplicamos la baja de forma inmediata. Si sigue recibiendo mensajes, pueden ser comunicaciones transaccionales necesarias para el servicio o una incidencia que investigaremos. Las promociones requieren su consentimiento o la excepción del art. 21 LSSI para clientes con relación previa y productos similares, siempre con opción de baja visible. Si detecta errores, remítanos el ejemplo con fecha y canal para depuración.
¿Qué datos técnicos usan para geolocalizarme y por qué puede fallar?
Usamos la dirección IP y señales técnicas del dispositivo para cumplir la normativa del juego y aplicar georrestricciones. La precisión varía y el uso de VPN o proxies puede generar falsos positivos. El tratamiento se basa en interés legítimo para seguridad y cumplimiento (art. 6.1.f RGPD) y puede requerir pruebas adicionales de ubicación si hay discrepancias. Implementamos salvaguardas de minimización y revisiones cuando reporta un error.
¿Se toman decisiones automatizadas sobre mi cuenta y cómo pido revisión humana?
Sí, aplicamos modelos automatizados para antifraude y elegibilidad; puede solicitar intervención humana, expresar su punto de vista e impugnar la decisión (art. 22 RGPD). Usamos estos sistemas cuando son necesarios para el contrato o exigidos por ley, con salvaguardas y registros. Atendemos su solicitud en un máximo de 1 mes y documentamos el criterio, el resultado y la revisión humana realizada.
¿Qué puede pedirse en diligencia reforzada (KYC/AML) y cuánto se conserva?
En escenarios de mayor riesgo podemos requerir información adicional, por ejemplo aclaraciones sobre origen de fondos o documentación de soporte. Estas medidas se basan en obligación legal (art. 6.1.c RGPD; Ley 10/2010) y se conservan hasta 10 años desde el fin de la relación o la operación (art. 25). Aplicamos proporcionalidad y minimización y registramos la razón del refuerzo y su resultado.
¿Con qué base legal envían promociones a clientes existentes?
Usamos su consentimiento o la excepción del art. 21 LSSI para clientes con relación previa respecto de productos o servicios similares, siempre con baja inmediata disponible. Cuando el fundamento sea interés legítimo (art. 6.1.f RGPD), realizamos prueba de ponderación y respetamos su oposición en cualquier momento. Registramos el estado de consentimiento y las bajas para acreditar cumplimiento.
¿Puedo solicitar un volcado completo de mis datos y en qué formato lo entregan?
Sí, puede solicitar portabilidad cuando la base sea contrato o consentimiento; entregamos un fichero estructurado y de lectura mecánica, como JSON o CSV. El plazo de respuesta es de 1 mes, ampliable 2 si es complejo (art. 20 RGPD). La entrega se realiza por canal electrónico seguro y puede abarcar datos de cuenta, actividad de juego, operaciones y preferencias, dentro de los límites legales y de derechos de terceros.
¿Qué sucede si se detecta un menor de edad usando el servicio?
El acceso está prohibido a menores de 18 años; si se detecta, bloqueamos el acceso y la cuenta de forma inmediata. Conservamos la información en estado de bloqueo para cumplir obligaciones regulatorias y atender posibles requerimientos. La verificación de edad e identidad se efectúa bajo KYC y contrastes habilitados por la autoridad del juego, con bases legales de obligación y contrato.
¿Cómo acreditan y gestionan mi consentimiento de cookies?
Registramos su estado de consentimiento por categorías con marca temporal y versión del panel para poder acreditarlo ante la autoridad. Puede cambiarlo o retirarlo en cualquier momento desde “Configuración de cookies”; el retiro no afecta a la licitud previa y no desactiva las cookies estrictamente necesarias. Las cookies de analítica o marketing solo se activan con su consentimiento conforme a RGPD y LSSI.