¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
El CARTO Data Observatory es un marketplace de datos geoespaciales y un servicio de enriquecimiento integrado en la plataforma CARTO. Permite a los analistas suscribirse a datasets curados (demografía, POI, movilidad, clima) y unirlos en su data warehouse mediante SQL.
El CARTO Data Observatory es un catálogo y capa de entrega de datos geoespaciales integrado en la plataforma CARTO. Los usuarios exploran cientos de datasets curados (demografía, POI, movilidad, inmobiliaria, clima, límites administrativos), se suscriben y ejecutan joins espaciales dentro de su data warehouse cloud (BigQuery, Snowflake, Redshift, Databricks). Los datos se mueven server side mediante las APIs de CARTO sin salir del perímetro del cliente, lo que lo convierte en una herramienta back office de analítica. Solo el sitio de marketing y la UI de producto cargan cookies clásicas.
En el sitio CARTO y en la UI de la plataforma se instalan cookies para autenticación (sesión, CSRF), analítica de producto (Mixpanel o Amplitude), chat de soporte (Intercom) y marketing del sitio público (Google Analytics 4, HubSpot, LinkedIn Insight Tag). Dentro del Observatory, los datos intercambiados son mayoritariamente agregados (estadísticos, geográficos) y no personales. Solo aparecen datos personales en los perfiles de usuario, facturación, tickets de soporte y registros de auditoría de las suscripciones.
Para clientes de pago la base legal es la ejecución del contrato (artículo 6(1)(b) RGPD). Las cookies de sesión estrictamente necesarias están exentas según el artículo 22 LSSI. Las cookies de marketing, analítica y soporte en carto.com o en los dashboards requieren consentimiento previo, libre, específico, informado e inequívoco. CARTO actúa como encargado para los datos de cliente y como responsable para su sitio de marketing. El cliente firma el DPA y revisa la lista de subencargados.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La mayoría de datasets están agregados por unidad administrativa (NUTS, códigos postales, hexágonos, secciones censales) y no contienen datos directamente identificativos. Algunos datasets de movilidad, telco o geomarketing pueden derivar de datos personales y están sujetos a licencias específicas. El cliente lee cada licencia, identifica las fuentes personales y documenta la base legal de los joins, especialmente con identificadores individuales.
CARTO opera desde España y EE. UU. y utiliza AWS y Google Cloud. Los clientes europeos pueden solicitar un despliegue EU para el tenant de la plataforma, pero el soporte y funciones corporativas implican equipos y herramientas estadounidenses. Las transferencias se apoyan en CCT, en el EU US Data Privacy Framework cuando el socio está certificado y en medidas suplementarias (cifrado, control de acceso). La TIA es necesaria para los metadatos operativos.
Firme el DPA, conserve la documentación de CCT y DPF y elija la región EU para despliegues sensibles. Configure SSO, roles con mínimo privilegio y registros de auditoría. Condicione las cookies analíticas y de chat en carto.com al consentimiento, lea cada licencia del Observatory y documente la base legal de los joins con datos personales. Alinee la retención con sus políticas internas.
Websites using CARTO Data Observatory must obtain user consent under GDPR regulations.
DPIA considerations
Normalmente no es necesaria una EIPD completa: el Observatory entrega datos agregados server side. Resulta recomendable cuando se unen datasets con datos personales de residentes UE a gran escala, sobre todo movilidad, telco o sociodemografía fina. La AEPD y el CEPD consideran la analítica geoespacial masiva un tratamiento de riesgo.
Sample consent text
Utilizamos CARTO y el Data Observatory para enriquecer nuestros análisis con datos geoespaciales curados. Las cookies estrictamente necesarias mantienen su sesión. Las cookies de analítica, marketing y chat solo se instalan con su consentimiento y puede modificarlo cuando quiera.
Third-party domains contacted
carto.comapp.carto.comauth.carto.comdata.carto.comgoogleapis.comamazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| carto_session | first_party | Session | Authenticated session cookie for the CARTO platform UI. |
| carto_csrf | first_party | Session | Cross site request forgery protection token for the CARTO web application. |
| _ga | third_party | 2 years | Google Analytics 4 measurement on the CARTO marketing website (loaded only after consent). |
| intercom-id | third_party | 9 months | Identifies returning users in the Intercom support widget on the CARTO website. |
CARTO Data Observatory recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
No. El Observatory es un servicio de entrega de datos server side dentro de su data warehouse. Las cookies solo se usan en el sitio de marketing CARTO y en la UI de la plataforma utilizada por sus analistas.
Las cookies de sesión autenticada son estrictamente necesarias. Las cookies de analítica, marketing y soporte en el sitio o los dashboards necesitan consentimiento previo según el artículo 22 LSSI.
Ejecución del contrato (6(1)(b)) para la suscripción, interés legítimo (6(1)(f)) para los registros de seguridad y consentimiento (6(1)(a)) para las cookies no esenciales.
Sí. Metadatos de cuenta y soporte pueden tratarse en EE. UU. Las transferencias se apoyan en CCT y la certificación EU US Data Privacy Framework de los subencargados. Los despliegues sensibles pueden fijarse en la región UE.
Para datasets agregados normalmente no. Se recomienda cuando se cruzan datos de movilidad, telco o sociodemografía fina con datos personales de residentes UE a gran escala.
Active SSO, MFA, roles con mínimo privilegio y registros de auditoría. Escoja la región UE, cifre las credenciales del warehouse y revise anualmente los informes SOC 2 / ISO 27001.
Sí. La plataforma CARTO se puede desplegar en regiones UE. Alternativas incluyen Mapbox (con opciones UE), HERE Technologies o stacks open source (Geoserver, PostGIS) alojados en la UE, con un catálogo de datos más reducido.
Liste a CARTO como encargado, describa la UI, el catálogo, la entrega al warehouse, las transferencias UE EE. UU. y las garantías (CCT, DPF, región UE, cifrado). Enlace la política de privacidad de CARTO y el DPA.