Política de Privacidad y Protección de Datos Personales

Datos de Contacto del DPO

Dato Personal (Personal Data)

Cualquier información relativa a una persona física identificada o identificable ("Titular de Datos", "Data Subject"). Se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante identificador único tal como: nombre completo, número de identificación (DNI, CI, pasaporte, RUC), datos de localización geográfica (GPS, dirección IP), identificador online (cookies, device fingerprint, session ID), o factores específicos de identidad física, fisiológica, genética, psíquica, económica, cultural o social (GDPR Art. 4.1).

Tratamiento o Procesamiento (Processing)

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como: recopilación, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (GDPR Art. 4.2). Incluye tanto procesamiento automatizado (algoritmos, ML) como manual (lectura por empleados).

Responsable del Tratamiento (Data Controller)

Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales (GDPR Art. 4.7). En este caso, ParaGaming actúa como Responsable respecto a los datos de sus usuarios, clientes y visitantes del sitio web, determinando qué datos recopilar, con qué finalidad, durante cuánto tiempo conservarlos y con quién compartirlos.

Encargado del Tratamiento (Data Processor)

Persona física o jurídica que trata datos personales por cuenta del Responsable (GDPR Art. 4.8). Ejemplos: proveedores de hosting (DigitalOcean, AWS), servicios de email marketing (Mailchimp), plataformas de analytics (Google Analytics), gateways de pago (Bancard). Los Encargados solo pueden tratar datos según instrucciones documentadas del Responsable y están sujetos a obligaciones contractuales mediante Data Processing Agreements (DPA).

Consentimiento del Titular (Consent)

Manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen (GDPR Art. 4.11). Características requeridas: (i) Libre: sin coacción, presión o consecuencias negativas por rechazar; (ii) Específico: separado por finalidad (no consentimiento global); (iii) Informado: con información clara previa; (iv) Inequívoco: acción afirmativa (checkbox marcado activamente, NO pre-marcado). El silencio, casillas pre-marcadas o inacción NO constituyen consentimiento válido.

Violación de Seguridad (Data Breach)

Toda violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, divulgación no autorizada o acceso no autorizado a datos personales transmitidos, conservados o tratados de otro modo (GDPR Art. 4.12). Tipos: (i) Breach de confidencialidad (acceso no autorizado); (ii) Breach de integridad (alteración no autorizada); (iii) Breach de disponibilidad (pérdida de acceso, ransomware). Requiere notificación a autoridad competente en 72 horas (Art. 33 GDPR) y a afectados si existe alto riesgo (Art. 34 GDPR).

Pseudonimización (Pseudonymization)

Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado específico sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas para garantizar que no se atribuyan a una persona identificada o identificable (GDPR Art. 4.5). Ejemplo: reemplazar nombres por IDs únicos (UUID), almacenar la tabla de correspondencia ID-nombre en servidor separado con cifrado. La pseudonimización reduce riesgos pero los datos siguen siendo personales (a diferencia de anonimización irreversible).

Transferencia Internacional de Datos

Transmisión de datos personales que son objeto de tratamiento o destinados a ser tratados tras su transferencia a un tercer país (fuera del Espacio Económico Europeo - EEA) u organización internacional (GDPR Cap. V). Requiere garantías adicionales: (i) Decisión de adecuación de la Comisión Europea (ej: Andorra, Argentina, Uruguay); (ii) Cláusulas Contractuales Tipo (SCC - Standard Contractual Clauses); (iii) Normas Corporativas Vinculantes (BCR); o (iv) Consentimiento explícito del titular. Transferencias a EE.UU.: requieren certificación EU-US Data Privacy Framework (sucesor de Privacy Shield anulado por Schrems II).

Profilado (Profiling)

Forma de tratamiento automatizado de datos personales consistente en utilizar datos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos (GDPR Art. 4.4). Ejemplos: scoring crediticio automatizado, publicidad comportamental personalizada, sistemas de recomendación (Netflix, Amazon), rechazo automático de solicitudes de empleo. El titular tiene derecho a NO ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente (Art. 22 GDPR).

Datos Sensibles (Special Categories of Data)

Categorías especiales de datos personales que revelan: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual (GDPR Art. 9.1). Estos datos están PROHIBIDOS de procesar salvo excepciones explícitas (consentimiento explícito, interés público esencial, medicina preventiva, etc.). ParaGaming NO recopila ni procesa datos sensibles intencionalmente, salvo que el usuario los proporcione voluntariamente.

1. Licitud, Lealtad y Transparencia

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el titular (Art. 5.1.a GDPR). Licitud: Todo tratamiento debe tener una base legal válida (consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo). Lealtad: El tratamiento debe ser razonable y no utilizarse de manera perjudicial o discriminatoria para el titular. Transparencia: Información clara, accesible y comprensible sobre cómo se procesan los datos, sin lenguaje jurídico opaco.

2. Limitación de la Finalidad

Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (Art. 5.1.b GDPR). Aplicamos "purpose specification" (especificación previa del fin) y "purpose limitation" (prohibición de uso para fines incompatibles). Ejemplo: datos recopilados para facturación NO se usarán para marketing sin consentimiento adicional específico.

3. Minimización de Datos

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (Art. 5.1.c GDPR). Solo recopilamos datos estrictamente necesarios, evitando "recolección por las dudas". No solicitamos fecha de nacimiento completa si solo necesitamos verificar mayoría de edad. No pedimos dirección postal si no enviamos correspondencia física. Implementación de "data minimization by design".

4. Exactitud

Los datos personales serán exactos y, si fuera necesario, actualizados. Se adoptarán medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos respecto de los fines para los que se tratan (Art. 5.1.d GDPR). Permitimos a usuarios actualizar su información en cualquier momento. Implementamos verificación por email, validaciones de formato, recordatorios periódicos para actualización de datos.

5. Limitación del Plazo de Conservación

Los datos personales serán mantenidos de forma que permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento (Art. 5.1.e GDPR). Aplicamos políticas de retención específicas. Ejemplo: logs de acceso 12 meses, datos de facturación 5 años (plazo prescripción fiscal), datos de soporte técnico 2 años. Después: eliminación segura o anonimización irreversible para estadísticas.

6. Integridad y Confidencialidad

Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (Art. 5.1.f GDPR). Implementamos: cifrado TLS 1.3, hashing bcrypt, firewalls, control de acceso basado en roles (RBAC), auditorías de seguridad, backups encriptados, capacitación en ciberseguridad.

7. Responsabilidad Proactiva (Accountability)

El responsable del tratamiento será responsable del cumplimiento de los principios anteriores y capaz de demostrarlo (Art. 5.2 GDPR). No basta cumplir, debemos poder probarlo. Mantenemos: Registro de Actividades de Tratamiento (ROPA), políticas documentadas, DPIAs para tratamientos de alto riesgo, Data Processing Agreements con terceros, logs de auditoría, capacitación del personal, evaluaciones periódicas de compliance.

Bancard S.A. (vPOS)

Servicio: Procesamiento de pagos con tarjetas de crédito/débito emitidas en Paraguay.

Datos Compartidos: Nombre del titular de tarjeta, email, monto de transacción, moneda, descripción del producto. NO compartimos número completo de tarjeta ni CVV (procesado directamente por Bancard mediante iframe seguro PCI DSS).

Ubicación: 🇵🇾 Paraguay - Certificación PCI DSS Level 1, cumplimiento normativo Banco Central del Paraguay.

Política de Privacidad: bancard.com.py/privacidad

1. EU-US Data Privacy Framework (DPF)

Proveedores estadounidenses certificados bajo el Data Privacy Framework (sucesor de Privacy Shield) cumplen con principios equivalentes al GDPR, validados por Decisión de Adecuación C(2023) 4745 de la Comisión Europea.

Proveedores certificados DPF que utilizamos:

• Amazon Web Services (AWS) - ID: 6094
• Google Cloud Platform / Firebase - ID: 1558
• Microsoft Azure / Clarity - ID: 84

2. Cláusulas Contractuales Tipo (SCC - Standard Contractual Clauses)

Para proveedores NO certificados DPF, aplicamos las Cláusulas Contractuales Tipo (SCC) adoptadas por Decisión de Ejecución (UE) 2021/914 de la Comisión Europea. Estas cláusulas son módulos contractuales pre-aprobados que garantizan nivel adecuado de protección.

Módulos aplicados:

• Módulo 2 (Controller to Processor): ParaGaming (responsable) → Proveedor cloud (encargado)
• Cláusula de Transferencia Posterior: Si el encargado subcontrata, debe aplicar mismas SCC

3. Transfer Impact Assessment (TIA)

Conforme a la Sentencia Schrems II (C-311/18), realizamos evaluación de impacto en transferencias (TIA) analizando:

• Legislación del país de destino: ¿Permite acceso gubernamental desproporcionado a datos?
• Medidas suplementarias: Cifrado end-to-end, pseudonimización, minimización de datos
• Mecanismos de recurso efectivo: ¿Los titulares pueden impugnar accesos indebidos?

Cookies Estrictamente Necesarias (Siempre Activas)

Estas cookies son esenciales para que el sitio web funcione correctamente. Sin ellas, servicios básicos como login, carrito de compra o seguridad no estarían disponibles. NO requieren consentimiento según Art. 5.3 Directiva ePrivacy y Considerando 66 GDPR ("estrictamente necesarias para proveer servicio solicitado").

Incluyen: cookies de sesión (PHPSESSID), tokens anti-CSRF, cookies de balanceo de carga, cookies de gateway de pago (Bancard session), cookies de seguridad (rate limiting, prevención ataques).

1. Derecho de Acceso (Art. 15 GDPR / Art. 18 LGPD)

El titular tiene derecho a obtener confirmación sobre si ParaGaming trata sus datos personales y, en tal caso, acceder a la siguiente información:

• Copia de todos los datos personales objeto de tratamiento
• Finalidades del tratamiento
• Categorías de datos personales tratados
• Destinatarios a quienes se comunicaron o comunicarán los datos
• Plazo de conservación previsto
• Existencia de decisiones automatizadas, incluida la elaboración de perfiles
• Información sobre transferencias internacionales y garantías aplicadas

2. Derecho de Rectificación (Art. 16 GDPR / Art. 18 LGPD)

El titular puede obtener sin dilación indebida la rectificación de datos personales inexactos o la completitud de datos incompletos. Implementamos formulario de actualización en el panel de usuario y procesamos solicitudes por email en máximo 5 días hábiles.

3. Derecho de Supresión "Derecho al Olvido" (Art. 17 GDPR / Art. 18 LGPD)

El titular tiene derecho a obtener la supresión de sus datos personales cuando concurra alguna de las siguientes circunstancias:

• Los datos ya no son necesarios para los fines para los que fueron recogidos
• El titular retira el consentimiento y no existe otra base legal
• El titular se opone al tratamiento basado en interés legítimo y no prevalecen motivos legítimos imperios
• Los datos han sido tratados ilícitamente
• Obligación legal de supresión

Excepciones: NO procede supresión cuando el tratamiento sea necesario para: cumplir obligación legal, ejercicio/defensa de reclamaciones, interés público en salud pública, fines de archivo de interés público.

4. Derecho de Limitación del Tratamiento (Art. 18 GDPR / Art. 18 LGPD)

El titular puede obtener "congelamiento" temporal del tratamiento cuando: (i) impugne exactitud de datos (limitado mientras verificamos), (ii) tratamiento sea ilícito pero titular prefiere limitación en vez de supresión, (iii) no necesitemos datos pero titular los requiera para reclamaciones, (iv) haya ejercido oposición (limitado mientras verificamos si prevalecen motivos legítimos del responsable). Durante limitación, datos solo pueden tratarse con consentimiento o para reclamaciones legales.

5. Derecho de Portabilidad (Art. 20 GDPR / Art. 18 LGPD)

El titular tiene derecho a recibir sus datos personales en formato estructurado, de uso común y lectura mecánica (JSON, CSV, XML) y a transmitirlos a otro responsable sin que ParaGaming lo impida, cuando: (i) tratamiento se base en consentimiento o contrato, (ii) tratamiento se efectúe por medios automatizados. Implementamos exportación en JSON con un click desde panel de usuario. Plazo: 15 días hábiles para volúmenes grandes.

6. Derecho de Oposición (Art. 21 GDPR / Art. 18 LGPD)

El titular puede oponerse en cualquier momento al tratamiento de datos personales basado en interés legítimo o misión de interés público. ParaGaming debe cesar el tratamiento salvo que acredite motivos legítimos imperiosos que prevalezcan sobre intereses del titular, o para ejercicio/defensa de reclamaciones. Oposición absoluta: Para marketing directo (opt-out), el usuario puede oponerse sin necesidad de justificación y ParaGaming debe cesar inmediatamente.

7. Decisiones Automatizadas y Perfilado (Art. 22 GDPR / Art. 20 LGPD)

El titular tiene derecho a NO ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente de modo similar. Excepciones: necesaria para contrato, ley lo autorice, consentimiento explícito. Si aplica excepción, titular tiene derecho a solicitar intervención humana, expresar su punto de vista e impugnar la decisión.

Procedimiento de Solicitud

1. Envío de Solicitud:

• Email: dpo@paragaming.games
• Formulario web: https://paragaming.games/dpo-request
• Correo postal: Atención DPO, Asunción, Paraguay

2. Información a Proporcionar:

• Nombre completo y email registrado
• Derecho que desea ejercer (acceso, rectificación, supresión, etc.)
• Descripción específica de lo solicitado
• Documentación de identidad (para verificación)

3. Plazos de Respuesta:

• Plazo General: 30 días calendario (Art. 12.3 GDPR)
• Solicitudes Complejas: Extensión de 60 días adicionales (totalizando 90 días), con notificación al titular en los primeros 30 días explicando razones
• Urgentes (brechas seguridad): 72 horas

4. Gratuidad:

El ejercicio de derechos es GRATUITO. Solo podrá cobrarse tarifa razonable si: (i) solicitudes son manifiestamente infundadas o excesivas (especialmente repetitivas), (ii) solicitud de copias adicionales (primera copia siempre gratuita).

Clasificación de Brechas por Tipo

Fases del Incident Response Plan (IRP)

1. Detección e Identificación (0-2 horas):
   • Alerta recibida vía SIEM, IDS, reporte de usuario o auditoría
   • Clasificación inicial: ¿Es realmente una brecha? ¿Afecta datos personales?
   • Activación del Incident Response Team (IRT): DPO, CISO, Legal, Operaciones
2. Contención (2-6 horas):
   • Aislar sistemas afectados (firewall rules, desconexión de red)
   • Cambiar credenciales comprometidas (passwords, API keys, tokens)
   • Bloquear IPs maliciosas, revocar sesiones sospechosas
   • Preservar evidencias forenses (capturas de memoria, logs, snapshots)
3. Evaluación e Investigación (6-24 horas):
   • Análisis forense completo: ¿Cómo ocurrió? ¿Desde cuándo? ¿Vector de ataque?
   • Cuantificación: ¿Cuántos registros afectados? ¿Qué datos específicos?
   • Evaluación de riesgo: ¿Alto riesgo para titulares? ¿Datos sensibles expuestos?
4. Notificación (24-72 horas máximo):
   • Notificación a autoridad de control dentro de 72h (Art. 33 GDPR)
   • Notificación a afectados si alto riesgo (Art. 34 GDPR)
   • Comunicación interna a dirección, socios, team
   • Comunicación externa (press release) si impacto reputacional significativo
5. Remediación (1-4 semanas):
   • Parcheo de vulnerabilidades explotadas
   • Refuerzo de controles de seguridad (WAF rules, rate limits, authentication)
   • Restauración desde backups si necesario, verificando integridad
   • Monitoreo reforzado durante 90 días post-incidente
6. Lecciones Aprendidas (Post-Mortem):
   • Reunión post-incident review dentro de 30 días
   • Documentación: timeline exacto, decisiones tomadas, efectividad de medidas
   • Actualización de políticas, procedimientos, capacitación basado en aprendizajes
   • Implementación de controles preventivos para evitar recurrencia

GDPR (Reglamento General de Protección de Datos - Unión Europea)

Art. 8 GDPR: El consentimiento del menor solo es válido si tiene al menos 16 años (estados miembros pueden reducir hasta 13 años con legislación nacional, pero ParaGaming aplica edad superior 18+ por naturaleza contractual de servicios). Si menor de edad aplicable, requiere consentimiento o autorización del titular de la patria potestad o tutela.

LGPD (Ley General de Protección de Datos - Brasil)

Art. 14 LGPD: El tratamiento de datos personales de niños y adolescentes debe realizarse en su mejor interés, conforme al Estatuto da Criança e do Adolescente (ECA). Requiere consentimiento específico y destacado de al menos uno de los padres o tutor legal. ParaGaming, al exigir 18+, cumple sobradamente evitando tratamiento de datos de menores.

COPPA (Children's Online Privacy Protection Act - Estados Unidos)

15 U.S.C. §§ 6501–6506: Regula recopilación de información personal de menores de 13 años. Requiere consentimiento verificable de padres antes de recopilar, usar o divulgar información personal de niños. Sanciones FTC pueden alcanzar $46,517 por violación. ParaGaming, al prohibir menores de 18 años, garantiza cumplimiento absoluto de COPPA.

Ley 6.534/2020 (Protección de Datos Personales - Paraguay)

Art. 13: Para datos personales de niños, niñas y adolescentes, debe considerarse su interés superior conforme a Código de la Niñez y la Adolescencia (Ley 1.680/2001). ParaGaming, estableciendo barrera de 18+, elimina tratamiento de datos de menores paraguayos.

Acción Inmediata

Si ParaGaming tiene conocimiento o sospecha razonable de que un usuario es menor de 18 años:

1. Suspensión Inmediata: Cuenta suspendida automáticamente, acceso bloqueado.
2. Investigación: Equipo de seguridad revisa evidencias (fecha nacimiento, contenido, comportamiento, documentos si existen).
3. Notificación a Padres/Tutores: Si se confirma que es menor, contactamos dirección email proporcionada solicitando verificación de padres/tutores.
4. Eliminación de Datos: Confirmado que es menor, todos los datos personales son eliminados dentro de 30 días, sin posibilidad de recuperación (salvo obligación legal retención - art. 17.3 GDPR).
5. Reembolso si Aplica: Si hubo pago de servicios, se efectúa reembolso completo inmediato (menor carece capacidad contractual, contrato nulo de pleno derecho).

GDPR - Reglamento (UE) 2016/679 (General Data Protection Regulation)

Ámbito Territorial: Se aplica a ParaGaming cuando procesamos datos de residentes en la Unión Europea (27 estados miembros) + EEA (Islandia, Liechtenstein, Noruega) + Suiza (mediante Acuerdo Bilateral), independientemente de que ParaGaming esté establecido en UE o no (Art. 3.2 GDPR - "targeting").

Autoridad de Control Líder: Agencia Española de Protección de Datos (AEPD) - www.aepd.es (por mayor volumen de usuarios hispanohablantes)

Sanciones: Hasta €20.000.000 o 4% del volumen de negocio anual global (lo que sea mayor) por infracciones graves (Art. 83 GDPR). Récord: Amazon €746 millones (2021), Meta €1.200 millones (2023).

LGPD - Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - Brasil)

Ámbito Territorial: Se aplica a tratamiento de datos personales de individuos localizados en Brasil, independientemente del medio, país de sede o país donde los datos estén localizados (Art. 3 LGPD).

Autoridad Nacional: Autoridade Nacional de Proteção de Dados (ANPD) - www.gov.br/anpd

Sanciones: Hasta R$50.000.000 (≈US$10M) por infracción o 2% del volumen de negocio en Brasil (Art. 52 LGPD). Incluye advertencia, publicización de infracción, bloqueo/eliminación de datos, suspensión de base de datos.

CCPA / CPRA (California Consumer Privacy Act - California Privacy Rights Act)

Ámbito Territorial: Se aplica a negocios que procesan datos de residentes de California (no ciudadanía, sino residencia) y cumplen umbral: ingresos anuales >$25M, o datos de >50.000 consumidores CA, o >50% ingresos de venta de datos personales (Civil Code §1798.140).

Autoridad de Control: California Privacy Protection Agency (CPPA) - cppa.ca.gov

Sanciones: Hasta $7,500 por violación intencional o $2,500 por violación no intencional (por consumidor). Derecho privado de acción para brechas: $100-$750 por consumidor por incidente. Class actions pueden alcanzar millones.

Ley 6.534/2020 - Protección de Datos Personales (Paraguay)

Ámbito Territorial: Datos de residentes paraguayos tratados en territorio nacional o en el extranjero cuando la actividad de tratamiento se relacione con oferta de bienes o servicios a titulares en Paraguay.

Autoridad de Control: Ministerio de Tecnologías de la Información y Comunicación (MITIC) - Dirección de Protección de Datos Personales (en proceso de consolidación institucional 2025-2026)

Sanciones: Multas de 1 a 2.000 jornales mínimos legales (≈US$20.000-$40.000), suspensión temporal o definitiva de base de datos, clausura parcial/total de actividad (Art. 54 Ley 6.534/2020).

Información de Contacto del DPO

• Información y Asesoramiento: Informa y asesora al responsable del tratamiento y a los empleados sobre obligaciones derivadas de GDPR, LGPD y demás normativas de protección de datos.
• Supervisión del Cumplimiento: Supervisa cumplimiento de políticas de protección de datos, incluyendo asignación de responsabilidades, sensibilización, formación del personal y auditorías.
• Evaluaciones de Impacto (DPIA): Cuando proceda, ofrece asesoramiento sobre evaluación de impacto en protección de datos (Data Protection Impact Assessment - Art. 35 GDPR) y supervisa su realización.
• Cooperación con Autoridades: Actúa como punto de contacto con autoridades de control (AEPD, ANPD, CPPA, etc.) y coopera con ellas en cuestiones relacionadas con el tratamiento.
• Atención a Titulares: Actúa como punto de contacto para titulares de datos en cuestiones relacionadas con tratamiento de sus datos y ejercicio de derechos (acceso, rectificación, supresión, etc.).
• Gestión de Brechas: Coordina respuesta ante violaciones de seguridad (data breaches), asegurando notificación a autoridad en 72h (Art. 33 GDPR) y a afectados si procede (Art. 34 GDPR).
• Actualización Normativa: Monitorea cambios en legislación, directrices de EDPB (European Data Protection Board), jurisprudencia de TJUE y mejores prácticas internacionales.

Pasos para Ejercer Derechos o Presentar Consultas

1. Preparación de Solicitud:

• Identifique claramente qué derecho desea ejercer (acceso, rectificación, supresión, etc.) o naturaleza de su consulta
• Reúna información necesaria: nombre completo, email registrado, descripción específica de lo solicitado
• Si solicita supresión o rectificación, prepare documentación respaldo si aplica

2. Envío de Solicitud:

• Opción A - Email: Envíe mensaje a dpo@paragaming.games indicando en asunto tipo de solicitud (ej: "Solicitud de Acceso Art. 15 GDPR"). Adjunte copia de documento identidad para verificación.
• Opción B - Formulario Web: Complete formulario en paragaming.games/dpo-request. Sistema genera ticket automático con número de seguimiento.
• Opción C - WhatsApp (urgente): Para casos urgentes (brechas, menores), contacte +595 983 041 202. Agente verificará identidad y escalará inmediatamente.

3. Verificación de Identidad:

Para proteger su privacidad, solicitaremos verificación de identidad mediante: (i) Email de confirmación a dirección registrada + respuesta confirmatoria, (ii) Copia de documento identidad (DNI, pasaporte), o (iii) Autenticación 2FA si tiene habilitada. Esto previene acceso fraudulento a datos por terceros no autorizados (Considerando 64 GDPR).

4. Acuse de Recibo:

Recibirá acuse de recibo dentro de 5 días hábiles confirmando que su solicitud fue registrada, con número de ticket, timeline esperado y contacto del responsable de su caso.

5. Respuesta Sustantiva:

Plazo General: 30 días calendario desde recepción de solicitud completa (Art. 12.3 GDPR).
Solicitudes Complejas: Extensión de hasta 60 días adicionales (total 90 días), con notificación en primeros 30 días explicando razones (complejidad, volumen de solicitudes).
Solicitudes Urgentes (brechas): Respuesta en 72 horas.

6. Formato de Respuesta:

Las respuestas se proporcionan por escrito (email o carta certificada si se solicitó). Para datos voluminosos (ej: solicitud de acceso a 5 años de historial), podemos proporcionar acceso seguro a portal online con credenciales temporales o exportación en JSON/CSV descargable.