Detección de jugadores de riesgo en el juego online: cómo deberán implementar los operadores el mecanismo único de la DGOJ

La protección de los jugadores y la prevención de conductas adictivas han sido, desde la aprobación de la Ley 13/2011, de regulación del juego, uno de los objetivos prioritarios de la política regulatoria de las actividades de juego en línea en España. 

Sin embargo, hasta la fecha, cada operador de juego ha desarrollado sus propios protocolos y herramientas para detectar a los jugadores con perfil de riesgo. Este contexto, lejos de garantizar una protección homogénea, ha generado una notable disparidad en los criterios, umbrales y niveles de protección aplicados por los distintos operadores del mercado, que se ha traducido en que el hecho de que un usuario sea identificado como jugador de riesgo dependa casi más del operador que de la propia condición del usuario.

Y esta disparidad no sólo es un problema para los usuarios, sino que supone, además, un riesgo latente para los propios operadores, que operan en la incertidumbre de no saber si sus protocolos serían considerados suficientes en caso de ser supervisados. 

A dónde va el mercado: evolución normativa hacia la homogeneización

El Real Decreto 958/2020, de comunicaciones comerciales de las actividades de juego, supuso un primer avance en materia de detección de comportamientos de riesgo de los jugadores, al obligar a los operadores a contar con mecanismos de detección de perfiles de riesgo y reportar anualmente sus resultados a la Dirección General de Ordenación del Juego (“DGOJ”).

Sin embargo, el análisis de los datos recabados durante estos últimos 5 años por la propia DGOJ ha puesto de manifiesto una gran disparidad entre los resultados de los distintos operadores. En concreto, los porcentajes de cuentas activas identificadas como “en riesgo” oscilan entre el 0% y el 13,6%, según el operador.

Ante esta situación, la verdadera transformación llegó con la aprobación del Real Decreto 176/2023, por el que se desarrollan entornos más seguros de juego. Este Real Decreto, en su Disposición final tercera, obliga a la DGOJ a desarrollar, en el plazo de dos años desde su entrada en vigor (esto es, hasta el 15 de septiembre de 2025), un mecanismo único y obligatorio para la detección de comportamientos de riesgo.

A la fecha de redacción de este artículo, ya se va con retraso.

No obstante, en cumplimiento de dicho mandato legal, el pasado 19 de agosto la DGOJ publicó el Acuerdo de inicio del procedimiento administrativo para la adopción de la resolución de la DGOJ por la que se aprueba el mecanismo de detección de comportamientos de riesgo de las personas usuarios (en adelante, el “Mecanismo de Detección de Comportamientos de Riesgo de la DGOJ”).

Dicho Acuerdo tiene un plazo de tres meses para resolverse (esto es, hasta el 19 de noviembre de 2025) y, posteriormente, publicarse en el Boletín Oficial del Estado, entrando en vigor el día siguiente a su publicación.

El Mecanismo de Detección de Comportamientos de Riesgo de la DGOJ: breve análisis conceptual

El Mecanismo de Detección de Comportamientos de Riesgo aprobado por la DGOJ se apoya en un modelo estadístico avanzado, conocido como XGBoost (Extreme Gradient Boosting). Se trata de una herramienta de predicción que combina muchos pequeños árboles de decisión, de manera que cada uno corrige los fallos del anterior. Así se consigue un resultado mucho más preciso y capaz de identificar patrones de juego que a simple vista pasarían desapercibidos.

En términos sencillos, este modelo sirve para clasificar comportamientos: distinguir entre jugadores que presentan un riesgo y los que no. Y lo hace de forma homogénea para todos los operadores, con las mismas variables y criterios.

La DGOJ ha entrenado ya el modelo y ha definido cómo debe aplicarse en la práctica: de manera automática, durante los siete primeros días de cada mes, y analizando los 183 días previos de actividad de todos los jugadores registrados.

El mecanismo funciona en fases consecutivas:

Aunque pueda parecerlo, la aplicación del modelo no es sencilla, pues no acepta improvisaciones: la estructura y orden de variables es cerrada, no pueden entrar nulos y cualquier desajuste invalida la iteración. El mecanismo exige estar al día en la primera semana de cada mes y, además, enlaza con obligaciones de comunicación al usuario y de exclusión publicitaria inmediatas.

Imaginemos la primera ejecución. Datos de juego, pagos, límites, autoexclusiones, sistemas de gestión de interacciones con clientes (CRM)… Todo debe converger en un dataset de determinadas características, sin huecos ni desorden, y con el exacto significado que la DGOJ define.

Superado ese peaje, el modelo devuelve una probabilidad y se efectúa la mencionada identificación de los jugadores de riesgo.

Identificados estos perfiles, el operador deberá aplicar, en el plazo de 24 horas, las medidas de protección y seguimiento establecidas en el Real Decreto 176/2023, por el que se desarrollan entornos más seguros de juego, durante un mínimo de 6 meses.

La aplicación de las medidas deberá realizarse con tiempos y evidencias: se debe constatar quién contactó, cuándo, qué se dijo, si hubo respuesta, qué medidas se aplicaron y con qué resultado… Así mismo, el área de Marketing deberá asegurarse de dejar a esos clientes fuera de cualquier campaña promocional y, a su vez, el área de Atención al Cliente necesitará guiones claros para responder a preguntas razonables (“¿por qué a mí?”, “¿durante cuánto tiempo?”, “¿qué tengo que hacer para salir de esta categoría?”).

Cumplir será obligatorio, pero estar preparado para demostrarlo es lo que marcará la diferencia

El modelo, a partir de las variables calculadas, aplica un umbral fijado en 0,3160608 para determinar si un jugador presenta un comportamiento de riesgo, considerando la totalidad de sus cuentas.

Este umbral común aporta homogeneidad, pero no necesariamente contempla la diversidad de contextos o de combinaciones de producto que existen en el mercado. De ahí que puedan producirse falsos positivos, por ejemplo en perfiles de elevada actividad que, sin embargo, cuentan con solvencia económica suficiente y no muestran un patrón problemático.

Además, si bien la ventana temporal de 183 días garantiza consistencia en el análisis, puede resultar poco ágil para detectar escaladas rápidas de juego intensivo. En este punto, resulta recomendable que los operadores complementen esta obligación con subperiodos internos de vigilancia, que no sustituyen al mecanismo oficial, pero sí permiten anticipar alertas y adoptar medidas preventivas con carácter previo a la iteración mensual. Todo ello debe ir acompañado de una documentación clara y verificable: qué indicadores se monitorizan, qué umbrales internos se emplean y con qué criterios se evalúa su utilidad.

La ejecución del mecanismo exige, asimismo, una coordinación transversal entre áreas. No basta con identificar al jugador en riesgo si, por ejemplo, los sistemas de marketing siguen incluyendo su perfil en campañas comerciales, lo que generaría un riesgo sancionador y reputacional inmediato para los operadores. Lo mismo ocurre con la integración en el Registro General de Interdicciones de Acceso al Juego (RGIAJ), los sistemas de límites, las pasarelas de pago y los procedimientos de KYC y AML: la detección carece de eficacia si las restricciones no se aplican de forma automática y coherente en todos los sistemas.

En consecuencia, el mecanismo no debe concebirse como responsabilidad exclusiva de un departamento, sino como un proceso corporativo. Es necesario definir una política interna de roles y responsabilidades: quién prepara los conjuntos de datos, quién valida la ejecución mensual, quién revisa los casos de riesgo directo, quién contacta con los jugadores, y cómo se documenta cada una de estas actuaciones. La lógica de las tres líneas de defensa —operación, compliance y auditoría independiente— es una solución útil, a la que debe sumarse una formación específica para todos los equipos implicados.

Finalmente, desde una perspectiva de negocio, es previsible que en el corto plazo surjan fricciones comerciales: una parte de la cartera dejará de recibir comunicaciones comerciales y algunos jugadores cuestionarán las medidas. La estrategia correcta no es diluir el mecanismo, sino convertir la intervención en un elemento de confianza. Un contacto serio, con información clara, que ofrezca herramientas de autocontrol y dé seguimiento razonable, puede reforzar la relación con el cliente. En este sentido, cumplir correctamente también puede convertirse en una ventaja reputacional.

Conclusión

En definitiva, el Mecanismo de Detección de Comportamientos de Riesgo de la DGOJ aportará seguridad jurídica y elevará el estándar de protección. El éxito, sin embargo, se decidirá en la “sala de máquinas”: datos que cuadran, procesos que llegan a tiempo, decisiones que se entienden y evidencias que convencen. Quien llegue a esa cita con una estructura sólida no solo cumplirá; saldrá fortalecido.

El reto no es “cumplir” con la norma. El verdadero desafío es demostrar, con evidencias objetivas y auditables, que la detección se ejecuta conforme a los parámetros fijados y que las medidas aplicadas son efectivas y proporcionales. Esto implica ajustar procesos internos, reforzar la gobernanza y anticipar los efectos comerciales de intervenciones que, en muchos casos, modificarán la relación con el cliente.

Y cuanto antes se empiece, menos improvisaciones habrá que llevar a cabo cuando llegue la hora de ejecutarlo.

En el equipo de TMT (Tecnología, Medios y Entretenimiento) de New Law de PwC Tax & Legal conocemos de primera mano los retos que implica aterrizar este nuevo mecanismo en la operativa diaria de los operadores. Nuestro valor está en unir la perspectiva jurídica con la tecnológica y de negocio, ayudando a los equipos a integrar el modelo en sus sistemas, coordinar áreas críticas (compliance, marketing, IT, atención al cliente) y generar la trazabilidad que la DGOJ exigirá. No se trata solo de cumplir con la norma, sino de demostrarlo con evidencias y, al mismo tiempo, proteger la relación con los jugadores y la reputación de la compañía