¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Afterpay es un proveedor de pago aplazado (BNPL) propiedad de Block, Inc. (operado bajo la marca Clearpay en Reino Unido y la UE). Permite al cliente pagar la compra en cuatro plazos sin intereses. Los comercios integran un SDK JavaScript y un widget de precio en las páginas de producto y checkout. Antes incluso del pago, el widget carga scripts, fija cookies y transmite datos a Afterpay, lo que genera obligaciones específicas de RGPD y ePrivacy.
Afterpay es un servicio de pago aplazado operado por Afterpay Pty Ltd, filial al cien por cien de Block, Inc. (matriz de Square y Cash App). En Reino Unido y la mayor parte de Europa el mismo servicio se ofrece bajo la marca Clearpay. El comprador paga la compra en cuatro plazos iguales cada dos semanas, sin intereses y con comisiones reducidas. Los comercios integran Afterpay mediante un SDK JavaScript que muestra widgets de precio en las páginas de producto, un botón de checkout y una redirección a portal.afterpay.com o portal.clearpay.com donde se identifica al cliente y se toma la decisión crediticia.
El widget de Afterpay fija cookies first party y third party para el estado del carrito, la prevención de fraude y la analítica. Recoge la dirección IP, el User Agent, las páginas de producto vistas, el importe del carrito, la divisa, el identificador de comercio y una huella de dispositivo utilizada por el motor antifraude. En el checkout, Afterpay recoge nombre, dirección, correo, teléfono, fecha de nacimiento, medio de pago y, según el país, identificadores parciales para comprobaciones crediticias ligeras. Block, Inc. y sus socios de underwriting pueden consultar burós externos y bases antifraude.
El SDK de Afterpay cargado en páginas de producto y categoría fija cookies antes del checkout, activando el artículo 5.3 de la directiva ePrivacy y el artículo 22.2 de la LSSI. Esas cookies no son estrictamente necesarias para acceder al sitio del comercio y exigen consentimiento previo. El tratamiento de datos de pago, identidad y crédito durante el checkout puede basarse en la ejecución de un contrato (art. 6.1.b RGPD), mientras que la prevención de fraude suele apoyarse en el interés legítimo (art. 6.1.f). Las decisiones automatizadas para scoring crediticio están sujetas a las garantías del artículo 22 RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sí, para el widget, el calculador de cuotas y cualquier cookie analítica o de marketing fijada en páginas de catálogo o producto. El comercio debe bloquear el SDK de Afterpay tras una puerta de consentimiento y cargarlo solo después de aceptar al menos la categoría funcional o de marketing según corresponda. Dentro del checkout, cuando el usuario ya ha elegido Afterpay como método de pago, el tratamiento estrictamente necesario puede continuar sobre la base contractual, pero deben mantenerse los avisos de transparencia sobre los datos compartidos con Block.
Block, Inc. tiene su sede en Estados Unidos y opera infraestructura global sobre AWS. La entidad australiana también trata parte de los datos en Australia. Block se ha autocertificado en el Marco de Privacidad de Datos UE EE. UU., lo que aporta una decisión de adecuación para las transferencias a entidades Block certificadas. Para categorías fuera del DPF, Block recurre a las nuevas cláusulas contractuales tipo acompañadas de una evaluación de impacto de la transferencia. Los comercios deben citar a Block, Inc. y Afterpay Pty Ltd como destinatarios en su política y explicar el mecanismo.
Bloquee el SDK de Afterpay tras su CMP para cargarlo solo después del consentimiento. Firme un contrato de encargo o de corresponsabilidad con Block según corresponda en su país. Actualice la política de privacidad con las categorías de datos compartidos, el mecanismo de transferencia (DPF y cláusulas tipo) y los derechos relativos a decisiones automatizadas. Liste los dominios afterpay.com y clearpay.com y sus cookies en la política de cookies. Diseñe un flujo alternativo cuando Afterpay sea rechazado, para no bloquear el resto del checkout.
Websites using Afterpay must obtain user consent under GDPR regulations.
DPIA considerations
Puede requerirse una evaluación de impacto cuando Afterpay se combina con scoring crediticio, perfilado antifraude o flujos transfronterizos a gran escala. El tratamiento implica datos financieros, decisiones automatizadas para la evaluación crediticia y transferencias a EE. UU. y Australia, factores que las autoridades europeas señalan como activadores de una EIPD formal del art. 35 RGPD.
Sample consent text
Utilizamos Afterpay (Clearpay) para mostrar opciones de pago y procesar pedidos a plazos. Esto fija cookies y comparte tu dirección IP y datos de compra con Block, Inc. en Estados Unidos. ¿Aceptas?
Third-party domains contacted
afterpay.comstatic.afterpay.comjs.afterpay.comportal.afterpay.comapi.afterpay.comclearpay.comportal.clearpay.comjs.clearpay.comstatic.clearpay.co.ukCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| ap_sso_session | third party | Session | Maintains the authenticated session between portal.afterpay.com and the merchant site during a BNPL transaction. |
| ap_segment_id | third party | 13 months | Anonymous segmentation identifier used by Afterpay analytics and fraud engine to recognise repeat devices across merchants. |
| afterpay_device_id | third party | 1 year | Device fingerprint identifier used by Afterpay risk and credit decisioning to detect fraud and duplicate accounts. |
| _ap_session | third party | Session | Short lived session cookie for the widget rendering and checkout redirect flow. |
| cf_clearance | third party | 30 days | Cloudflare bot mitigation cookie set on Afterpay domains to validate that the request comes from a real browser. |
| OptanonConsent | third party | 1 year | OneTrust consent state cookie set on afterpay.com when the user visits Afterpay owned pages, recording the cookie preferences. |
Afterpay utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
El widget fija cookies como ap_sso_session para la autenticación en el portal, ap_segment_id para segmentación antifraude y analítica, y un identificador de huella de dispositivo para el scoring de riesgo. Según la integración pueden cargarse cookies de medición adicionales (Google Analytics, contadores internos). Todas las cookies no estrictamente necesarias deben condicionarse al consentimiento.
Para el widget de la ficha de producto, el calculador de cuotas y cualquier cookie de marketing, sí: se fijan antes del pago y no son estrictamente necesarias. Dentro del checkout, una vez elegido Afterpay, el tratamiento estrictamente necesario puede continuar sobre la base contractual, pero el banner debe seguir informando con transparencia de la compartición de datos.
Coexisten tres bases: contrato (art. 6.1.b RGPD) para ejecutar la operación BNPL, interés legítimo (art. 6.1.f) para la prevención del fraude y el riesgo crediticio, y consentimiento (art. 6.1.a) para cookies no esenciales, marketing y perfilado combinado. Si se toman decisiones automatizadas de crédito, se aplican las garantías del artículo 22 RGPD (revisión humana e impugnación).
Sí. Block, Inc. es un responsable estadounidense que opera infraestructura global sobre AWS. Block se ha autocertificado en el Marco de Privacidad de Datos UE EE. UU. Para los datos fuera del DPF, las transferencias se apoyan en las nuevas cláusulas contractuales tipo y en una evaluación de impacto de transferencia. Parte del tratamiento también se realiza en Australia, en Afterpay Pty Ltd.
En muchos casos sí. La combinación de scoring crediticio, decisiones automatizadas, tratamiento masivo de datos de pago y transferencias internacionales activa varios criterios del EDPB. Una EIPD es la opción más segura incluso para comercios medianos, sobre todo cuando Afterpay coexiste con otros rastreadores en el mismo flujo de pago.
Cargue el SDK de Afterpay solo tras el consentimiento de la categoría correspondiente, firme el contrato de encargo o corresponsabilidad adecuado con Block, actualice la política de privacidad con destinatarios y transferencias, y añada las cookies y dominios de Afterpay a la política de cookies. Asegúrese de que el BNPL sea una opción más y que el checkout pueda completarse sin Afterpay.
Proveedores BNPL europeos (Klarna, Alma, Scalapay, Sequra) ofrecen servicios comparables, a menudo con tratamiento en la UE. La diligencia sigue siendo necesaria, pero el riesgo de transferencia suele ser menor. Los métodos de pago tradicionales (tarjeta, adeudo SEPA, PayPal) permanecen disponibles para usuarios que rechazan el BNPL o el rastreo asociado.
Añada Afterpay (Clearpay) en la categoría Marketing o Funcional según convenga. Liste las cookies (ap_sso_session, ap_segment_id, identificadores de huella), el proveedor (Afterpay Pty Ltd y Block, Inc.), la finalidad (procesamiento del pedido, prevención del fraude, analítica) y el mecanismo de transferencia (DPF o cláusulas tipo). Actualice la política cada vez que Afterpay modifique su lista de cookies.