¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Bloomreach es una plataforma de experiencia digital estadounidense que ofrece personalización con IA, búsqueda para comercio electrónico y gestión de contenidos para tiendas en línea y canales digitales.
Bloomreach es una plataforma de experiencia digital utilizada por empresas en el comercio electrónico y el marketing digital. La plataforma combina búsqueda en sitios web con IA, gestión de contenidos y automatización del marketing. Bloomreach ayuda a las empresas a crear experiencias digitales personalizadas en todos los canales y a mejorar las tasas de conversión.
Bloomreach actúa como encargado del tratamiento de los datos de clientes según el Art. 4, párr. 8 del RGPD. La plataforma procesa amplios datos de comportamiento para personalización y recomendaciones basadas en IA. Este tratamiento requiere una base legal sólida, generalmente el consentimiento según el Art. 6, párr. 1, letra a) del RGPD. Debe suscribirse un Acuerdo de Tratamiento de Datos con Bloomreach.
Bloomreach procesa comportamiento de navegación, visualizaciones de productos e historiales de compras, comportamiento de búsqueda y datos de clics, información de dispositivos y direcciones IP, así como datos del recorrido del cliente en todos los canales. Estos datos se utilizan para entrenar modelos de IA para recomendaciones de productos y contenido personalizado. El tratamiento es extenso y requiere información transparente a los usuarios en la política de privacidad.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Dado que Bloomreach tiene su sede principal en EE.UU., las transferencias de datos se realizan a un tercer país. La base son las Cláusulas Contractuales Tipo de la Comisión Europea incluidas en el Acuerdo de Tratamiento de Datos. Los operadores de sitios web deben realizar una Evaluación de Impacto de Transferencia que evalúe los riesgos específicos y, en su caso, identifique medidas de protección adicionales.
Para un uso de Bloomreach conforme a la protección de datos se recomiendan: suscribir un Acuerdo de Tratamiento de Datos, obtener un consentimiento válido antes del seguimiento, incluir Bloomreach en la política de privacidad con descripción completa de las funciones de personalización, configurar ajustes de minimización de datos y revisar periódicamente los plazos de retención.
Se requiere una Evaluación de Impacto en Protección de Datos según el Art. 35 del RGPD cuando Bloomreach se utiliza para el perfilado sistemático de clientes, automatización extensiva del marketing o el tratamiento de datos de grupos de personas en situación de vulnerabilidad. La evaluación debe analizar los riesgos de la personalización con IA, la transferencia de datos a EE.UU. y posibles discriminaciones por decisiones algorítmicas.
Websites using Bloomreach must obtain user consent under GDPR regulations.
DPIA considerations
Bloomreach procesa amplios datos de comportamiento y compras de clientes para personalización con IA en servidores estadounidenses. Se requiere una EIPD para el perfilado sistemático del comportamiento y la automatización del marketing. Deben implementarse las CCT.
Sample consent text
Acepto que Bloomreach analice mi comportamiento de navegación y compras para proporcionarme recomendaciones de productos personalizadas y contenidos relevantes. Los datos pueden transferirse a Estados Unidos.
Third-party domains contacted
api.exponea.com*.bloomreach.comdocumentation.bloomreach.comcdn.exponea.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __exponea_etc__ | first-party | 3 years (7 days on Safari ITP) | Stores the visitor's unique Bloomreach Engagement identifier (soft ID). Used to track all visitor actions (page views, clicks, purchases, events) and link them to a customer profile across sessions. |
| __exponea_time2__ | first-party | 1 hour | Synchronises local browser time with Bloomreach server time to ensure accurate event timestamping. |
| xnpe_<project-id> | third-party (first-party with CTD) | 3 years (default) | Server-side backend cookie set by the Bloomreach API (api.exponea.com). Stores the same visitor identifier as __exponea_etc__ for server-side identity resolution. Becomes first-party when a Custom Tracking Domain (CTD) is configured. |
| __exponea_ab_test__ | first-party | Configurable (default: 3 years) | Stores A/B test variant assignments to ensure visitors see consistent experiment variations across page loads and sessions. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Bloomreach Engagement sets several cookies: __exponea_etc__ (first-party client-side cookie storing the visitor's unique identifier, default 3 years, 7 days on Safari due to ITP), __exponea_time2__ (time synchronisation cookie, 1 hour), and xnpe_<project-id> (server-side backend cookie set by api.exponea.com, third-party by default, can be made first-party via Custom Tracking Domain). Additional cookies may be set for A/B testing experiments. Cookie expiration can be customised via the SDK configuration.
Bloomreach es una plataforma de experiencia digital que combina búsqueda en sitios web con IA, gestión de contenidos y automatización del marketing. Es utilizada principalmente por empresas de comercio electrónico para crear experiencias de usuario personalizadas y mejorar las tasas de conversión.
Yes. Bloomreach Engagement sets tracking cookies and processes personal data for customer profiling, personalisation, and marketing. Under the ePrivacy Directive, explicit consent is required before setting non-essential cookies. Under GDPR, consent is the appropriate legal basis for the profiling and marketing activities performed by the platform. Bloomreach provides built-in tracking consent features that can block all tracking until consent is obtained. The platform also supports integration with external CMPs.
Bloomreach proporciona infraestructura de cumplimiento del RGPD, incluyendo Acuerdo de Tratamiento de Datos y Cláusulas Contractuales Tipo. Sin embargo, el cumplimiento del RGPD depende de la correcta implementación de los procesos de consentimiento por parte del operador. Las funciones de personalización requieren un consentimiento válido de los usuarios.
Consent is the primary legal basis for Bloomreach Engagement due to the extensive profiling and marketing activities involved. Bloomreach supports three consent categories: general consent, specific consent, and legitimate interest. Legitimate interest may apply for limited, non-marketing analytics with a documented Legitimate Interest Assessment, but the scope of data processed by Bloomreach Engagement typically requires consent. Every consent event is recorded with a timestamp, source, and status in the customer profile for auditability.
Bloomreach procesa comportamiento de navegación, visualizaciones de productos e historiales de compras, comportamiento de búsqueda y datos de clics, información de dispositivos y direcciones IP, así como datos del recorrido del cliente. Estos datos se utilizan para personalización basada en IA y recomendaciones de productos. Para usuarios registrados se procesan adicionalmente datos de perfil y preferencias.
Potentially yes. Bloomreach, Inc. is headquartered in Mountain View, California. The default API endpoint (api.exponea.com) may route data through US infrastructure. EU-based instances are available for clients requiring data residency within the EEA. For any international data transfer, Standard Contractual Clauses (SCCs) must be in place as part of the Data Processing Agreement with Bloomreach. Configuring a Custom Tracking Domain (CTD) helps keep cookie data under the client's own domain but does not eliminate all US data flows.
Sí, para el uso de Bloomreach en el perfilado de comportamiento y las recomendaciones personalizadas se requiere el consentimiento previo de los usuarios según el Art. 6, párr. 1, letra a) del RGPD. El seguimiento solo puede activarse después de una aprobación activa. Bloomreach debe integrarse en el sistema de gestión de consentimiento.
Yes, a DPIA is strongly recommended and likely required for most Bloomreach Engagement deployments. The platform performs high-risk processing activities including: extensive behavioural profiling across sessions and devices, automated personalisation and A/B testing decisions, cross-device identity merging (soft ID cookies linked to hard ID identifiers), email and push marketing based on profiling data, and potential international data transfers to the US. These activities fall squarely within GDPR Article 35 criteria for mandatory DPIA.
Bloomreach utiliza inteligencia artificial y aprendizaje automático para analizar el comportamiento de los usuarios y mostrar recomendaciones de productos, resultados de búsqueda y contenido adaptados individualmente. Los modelos de IA se entrenan con datos históricos de comportamiento y compras y permiten una individualización automatizada de la experiencia del usuario.
Key steps: sign a DPA with Bloomreach including SCCs. Conduct a DPIA. Configure consent management with granular categories. Integrate a CMP to collect consent before the SDK loads. Enable tracking consent to block non-essential tracking until consent is given. Set up a Custom Tracking Domain (CTD) to convert third-party cookies to first-party. Request an EU instance for data residency. Document Bloomreach in your ROPA. Update your privacy and cookie policies. Implement data subject rights processes using exponea.anonymize() for erasure and data export features for access requests.
Los datos de Bloomreach se almacenan en servidores estadounidenses, con partes de la infraestructura basadas en servicios en la nube como AWS y Google Cloud. Para los clientes europeos pueden estar disponibles opciones de residencia de datos regionales. Las Cláusulas Contractuales Tipo se aplican a todas las transferencias de datos a EE.UU.
Para la configuración conforme al RGPD son necesarios los siguientes pasos: suscribir un ATD, configurar Bloomreach en la CMP como servicio que requiere consentimiento, activar la minimización de datos, establecer plazos de retención para datos de clientes y documentar completamente Bloomreach en la política de privacidad.
Alternatives depend on which Bloomreach product you need to replace. For analytics and CDP: Matomo (open source, self-hosted), Piwik PRO (EU-hosted CDP with analytics), or Segment with EU data residency. For personalisation: Algolia Recommend (search-focused), or Dynamic Yield (with EU processing options). For email marketing: Brevo (EU-based), or Mailchimp with EU data processing. No single platform matches the full scope of Bloomreach Engagement while offering the same level of privacy by default.
Your cookie policy should list: __exponea_etc__ (persistent, visitor identification and behavioural tracking, default 3 years), __exponea_time2__ (session, time synchronisation, 1 hour), xnpe_<project-id> (persistent, server-side visitor tracking, default 3 years, third-party under api.exponea.com unless CTD is configured). Disclose that Bloomreach processes browsing behaviour, purchase history, device information, and links anonymous sessions to identified profiles. State that Bloomreach, Inc. (US) acts as data processor. Mention the availability of consent withdrawal and the right to request data erasure.
Se requiere una Evaluación de Impacto en Protección de Datos para Bloomreach cuando se utiliza el perfilado sistemático de clientes para la predicción del comportamiento, cuando se usa la automatización del marketing a gran escala o cuando categorías especiales de datos fluyen en el proceso de personalización. La evaluación debe analizar los riesgos de la toma de decisiones con IA y la transferencia de datos a EE.UU.