¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Plivo es una plataforma CPaaS estadounidense que compite con Twilio y Vonage. Las empresas europeas utilizan Plivo para enviar SMS transaccionales y de marketing, operar IVR de voz, entregar contraseñas de un solo uso y enrutar llamadas. Aunque las comunicaciones principales ocurren en el servidor, el SDK de navegador de Plivo puede cargar JavaScript para click-to-call, y la plataforma trata grandes volúmenes de números de teléfono, grabaciones de llamadas y contenido de mensajes, situándose plenamente bajo el RGPD, la Directiva ePrivacy y la normativa nacional de telecomunicaciones.
Plivo es una empresa CPaaS con sede en Estados Unidos que proporciona APIs programables de voz, SMS, MMS, WhatsApp Business y verificación. Compite con Twilio, Vonage y MessageBird, y es popular en Europa para mensajería transaccional, autenticación de dos factores, SMS de marketing y enrutamiento de voz en centros de contacto.
Plivo gestiona números de teléfono, contenido SMS, duración y metadatos de enrutamiento, grabaciones de llamadas, buzón de voz, entradas IVR, identificadores de sesión WebRTC, direcciones IP e información de código MNC. En flujos verificados por Plivo, también pueden tratarse documentos de identidad. El SDK de navegador deposita un pequeño número de cookies y entradas localStorage.
Los números de teléfono son datos personales. El SMS de marketing a consumidores UE requiere consentimiento previo y explícito según el art. 13 ePrivacy y el art. 6(1)(a) RGPD. El SMS transaccional (confirmación de pedido, OTP) puede basarse en contrato o interés legítimo. Las grabaciones de llamada requieren doble consentimiento y un anuncio claro al inicio de la llamada. El DPA de Plivo incluye las CCT 2021 para transferencias a EE.UU.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Plivo ofrece infraestructura regional UE (Frankfurt). Plivo Inc., como responsable estadounidense, conserva acceso a metadatos, datos de facturación, interacciones de soporte y grabaciones. La transferencia se cubre con CCT y, cuando aplica, con el EU-US DPF. Es necesaria una Evaluación de Impacto de la Transferencia.
Para el SMS de marketing recoja un consentimiento granular y libre al solicitar el número de teléfono (casilla separada no premarcada, no en las condiciones generales). Atienda las respuestas STOP y mantenga una lista de supresión. Para el click-to-call WebRTC, el SDK requiere consentimiento antes de establecer el flujo de medios; según ePrivacy, el acceso al micrófono es ya un evento regulado. Condicione el SDK a una categoría del CMP y proporcione un anuncio claro.
1. Firmar el DPA de Plivo y seleccionar la región UE cuando esté disponible. 2. Mapear todos los flujos SMS, voz y grabación en un Registro de Actividades de Tratamiento. 3. Realizar una EIPD para grabación de llamadas y SMS de marketing. 4. Configurar los formularios de alta para recoger consentimiento de SMS granular y guardar la prueba. 5. Documentar Plivo en la política de privacidad con divulgación de la transferencia a EE.UU. 6. Construir una lista automática de supresión por respuesta STOP. 7. Limitar la conservación de grabaciones al mínimo necesario, con controles de acceso basados en roles.
Websites using Plivo must obtain user consent under GDPR regulations.
DPIA considerations
Plivo trata números de teléfono, CDR, contenido SMS (incluidos OTP y mensajes de marketing), grabaciones de llamadas, buzón de voz, entradas IVR e interacciones de soporte. Consideraciones clave EIPD: (1) el número de teléfono es identificador directo bajo el RGPD; (2) las grabaciones pueden contener categorías especiales (salud, creencias); (3) el SMS de marketing activa las reglas de consentimiento previo del art. 13 ePrivacy, sin soft opt-in en la mayoría de Estados miembros para B2C; (4) transferencia de datos a soporte e ingeniería en EE.UU.; (5) los subencargados de Plivo incluyen AWS y operadores de telecomunicaciones globales, ampliando el mapa de flujos; (6) riesgo de acceso por autoridades a las grabaciones almacenadas. Se recomienda firmemente una EIPD para cualquier despliegue con grabación de llamadas, campañas de marketing o verticales sensibles.
Sample consent text
Consiento recibir comunicaciones SMS de <EMPRESA> en el número facilitado, incluidos mensajes de marketing y actualizaciones de producto. Los mensajes se envían vía Plivo Inc. en Estados Unidos, bajo Cláusulas Contractuales Tipo. La frecuencia varía, pueden aplicarse tarifas de SMS y datos, y puedo darme de baja en cualquier momento respondiendo STOP.
Third-party domains contacted
plivo.comapi.plivo.comcdn.plivo.comphlo.plivo.comsdk.plivo.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| plivo_session | Functional | Session | Stores the WebRTC session token when the Plivo browser SDK is used for click-to-call. Required to maintain the active media stream. |
| plivo_endpoint | Functional | Session | Identifies the JavaScript SDK endpoint instance for signalling and reconnection during WebRTC calls. |
| plivo_consent (localStorage) | Functional | 1 year | Records whether the visitor has accepted the click-to-call notice and microphone access. |
Plivo utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
La mayoría del uso es del lado del servidor y no deposita cookies en sus visitantes. El SDK de navegador de Plivo para click-to-call WebRTC puede depositar plivo_session, plivo_endpoint (identificadores de sesión) y almacenar restricciones de medios WebRTC en localStorage. Ninguna es estrictamente necesaria salvo que click-to-call sea la función principal del sitio.
Sí para SMS de marketing. Según el art. 13 ePrivacy y la mayoría de transposiciones nacionales, el SMS de marketing requiere consentimiento previo, explícito y opt-in en el momento de recoger el número. Para SMS transaccional (confirmación de pedido, restablecimiento de contraseña) puede apoyarse en ejecución del contrato o interés legítimo, con transparencia en la política de privacidad.
La entrega de OTP se basa generalmente en interés legítimo según el art. 6(1)(f) RGPD para seguridad y prevención del fraude, o en ejecución del contrato cuando el usuario ha solicitado el servicio autenticado. Debe documentarse una ponderación, especialmente para 2FA por SMS, que hoy se considera más débil que las apps autenticadoras.
Sí. Plivo Inc. tiene su sede en San Francisco. Incluso con selección de región UE (Frankfurt), el equipo estadounidense de Plivo conserva acceso para soporte, facturación, fraude e ingeniería. El DPA de Plivo incluye las CCT 2021 y Plivo participa en el EU-US Data Privacy Framework cuando aplica. Documente la transferencia y realice una TIA.
Se recomienda una EIPD para cualquier despliegue que grabe llamadas, ejecute campañas de marketing de gran audiencia o trate contextos sensibles (salud, jurídico, financiero). La combinación de contenido de voz, números de teléfono y transferencia a EE.UU. suele cumplir los criterios del art. 35(3) RGPD.
Firmar el DPA de Plivo, seleccionar la región UE para el almacenamiento, condicionar el SMS de marketing a un consentimiento granular con prueba de captura, configurar el manejo de STOP y las listas de supresión, documentar todo en el Registro de Actividades de Tratamiento y divulgar Plivo y la transferencia a EE.UU. en la política de privacidad. Para grabación de voz, implementar políticas de retención automáticas y acceso basado en roles.
Alternativas CPaaS basadas o alojadas en la UE: MessageBird (Países Bajos), Sinch (Suecia, regional UE), Infobip (Croacia), Vonage (EE.UU. con regiones UE) y CM.com (Países Bajos). Para flujos solo de SMS, el operador belga Esendex y el alemán Spryng son opciones nativas UE.
Si usa el SDK de navegador de Plivo, liste plivo_session y plivo_endpoint en su política de cookies con finalidad y duración. En el aviso de privacidad, identifique a Plivo Inc. como encargado del tratamiento, especifique la transferencia a EE.UU. (DPF UE-EE.UU. o CCT), liste las categorías de datos tratadas (números de teléfono, contenido de mensajes, grabaciones, IP) y describa los derechos del interesado, incluida la supresión de grabaciones.