¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Cartful es un asistente de compras con IA, con sede en Estados Unidos, para tiendas de comercio electrónico. Se carga como un widget tipo chat en el sitio, hace preguntas guiadas al visitante, ingiere el catálogo del comerciante y construye un perfil de comprador para ofrecer recomendaciones personalizadas. Cartful registra navegación, clics, eventos de carrito y respuestas del chat entre sesiones, y los almacena en infraestructura cloud de Estados Unidos. Para despliegues europeos esto combina analítica no esencial, perfilado conductual y una transferencia Schrems II; requiere consentimiento RGPD y análisis de impacto de transferencias.
Cartful es un asistente de compras impulsado por IA para tiendas de comercio electrónico, operado por Cartful Solutions Inc. desde Estados Unidos. Se distribuye como un widget JavaScript que se carga en páginas de categoría, producto y carrito y entabla con el visitante una conversación tipo chat: algunas preguntas concretas sobre preferencias y, a continuación, sugerencias ordenadas de productos a partir del catálogo del comerciante. Cartful se comercializa entre retailers medianos y grandes como herramienta de aumento de conversión y personalización, y suele integrarse con Shopify, BigCommerce o plataformas a medida mediante una etiqueta, una clave Storefront API y un feed de catálogo.
Desde la óptica de protección de datos, Cartful se sitúa en la intersección entre analítica, perfilado conductual y apoyo a la decisión. Su valor central depende de construir y reutilizar un perfil de comprador entre sesiones y páginas, por lo que es sin ambigüedades un servicio no esencial sujeto a consentimiento en el derecho europeo.
Cartful instala cookies propias persistentes y entradas de almacenamiento local para identificar al mismo comprador entre sesiones, guardar el perfil de recomendación y recordar el historial del chat. Recoge dirección IP, huella del dispositivo y del navegador, URL, referente, parámetros UTM, eventos de clic y scroll, productos vistos, tiempo en página, eventos de añadir al carrito y compra, el catálogo del comerciante (IDs de producto, atributos, precios) y las respuestas del visitante al asistente. Cuando el comerciante lo activa, Cartful también puede recibir un identificador de cliente autenticado o un correo capturado en un formulario de alta.
Ese flujo se envía a las API de Cartful alojadas en AWS en Estados Unidos. Cartful construye un perfil de preferencias inferido (estilo, talla, ocasión, presupuesto, afinidad de marca) y lo almacena bajo un identificador persistente para alimentar futuras recomendaciones. Perfiles e historiales se conservan durante toda la vigencia contractual de la cuenta del comerciante.
Se aplican dos capas del derecho europeo. El artículo 5.3 de la Directiva ePrivacy y sus transposiciones (Guía de Cookies de la AEPD, directrices CNIL, paragraph 25 TDDDG) exigen consentimiento previo para leer o escribir las cookies y el almacenamiento local de Cartful. El artículo 6 RGPD exige además una base jurídica propia para el tratamiento; por el componente de perfilado, las Directrices 03/2022 del CEPD sobre dark patterns y 8/2020 sobre targeting recomiendan consentimiento explícito y granular. El artículo 22 RGPD puede activarse si las recomendaciones producen efectos significativos sin intervención humana efectiva.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
El script no debe cargarse y el widget no debe renderizarse hasta que la plataforma de gestión del consentimiento registre un opt in positivo. El consentimiento debe ser explícito, informado y granular, presentado con la misma prominencia que el botón de aceptar y tan sencillo de rechazar como de aceptar. La base jurídica del artículo 6 es el consentimiento (art. 6.1.a). El interés legítimo difícilmente supera la ponderación, dado el perfilado persistente con fines de influencia comercial y la transferencia a un país sin decisión de adecuación plena sin certificación DPF del importador.
Cartful Solutions Inc. está establecida en Estados Unidos y aloja los datos de producción en regiones AWS US. Las transferencias desde el EEE se apoyan en el Marco UE EEUU de Privacidad de Datos cuando Cartful o sus subencargados están certificados, con CCT (2021/914) como mecanismo de respaldo y un análisis de impacto que aborde FISA 702 y la Orden Ejecutiva 12333 conforme a Schrems II (TJUE C 311/18). Incluso con cobertura DPF, AEPD, CNIL y BfDI esperan que el comerciante documente los flujos de datos, las categorías transferidas, la conservación en el importador y las medidas técnicas adicionales (cifrado, seudonimización, controles de acceso).
Firmar el DPA de Cartful y verificar la certificación DPF de la entidad importadora. Realizar una EIPD que cubra el perfilado y la transferencia a Estados Unidos. Condicionar el widget de Cartful a un consentimiento explícito en el CMP (entrada de vendor TCF v2.2 cuando sea posible). Bloquear el script en la cabecera del documento hasta leer el estado de consentimiento. Desactivar las funciones opcionales (captura de correo, cross device) cuando se retire el consentimiento. Documentar la conservación de perfil e historial y solicitar la eliminación mediante la API admin de Cartful. Actualizar la política de privacidad y el aviso de cookies. Añadir Cartful a la lista de proveedores y al registro de actividades de tratamiento.
Websites using Cartful must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD conforme al artículo 35 RGPD porque Cartful realiza perfilado conductual sistemático de los compradores en línea, construye un perfil inferido de preferencias y lo utiliza para influir en las decisiones de compra, transfiriendo además datos a Estados Unidos. La EIPD debe describir las categorías de datos (IP, recorrido de navegación, eventos de clic y scroll, eventos de carrito, respuestas del chat, preferencias inferidas, correo electrónico opcional), las finalidades (personalización, recomendaciones, analítica), la conservación de historial y perfil, la base jurídica (consentimiento), el mecanismo de transferencia (Marco DPF y/o CCT), las medidas adicionales, el riesgo de influencia decisional sobre el interesado, el canal de recurso y el derecho del artículo 22 RGPD cuando proceda.
Sample consent text
Utilizamos Cartful, un asistente de compras con IA operado por Cartful Solutions Inc. en Estados Unidos, para hacerle algunas preguntas y recomendar productos. Con su consentimiento, Cartful instala cookies persistentes y almacenamiento local, registra sus respuestas, clics y actividad de carrito, construye un perfil de comprador y lo conserva en servidores en la nube de Estados Unidos. La transferencia se apoya en el Marco UE EEUU de Privacidad de Datos y en Cláusulas Contractuales Tipo de la UE. Puede rechazar; la tienda sigue siendo plenamente utilizable sin recomendaciones personalizadas.
Third-party domains contacted
cartful.comapp.cartful.comapi.cartful.comcdn.cartful.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cartful_visitor | Persistent | 12 months | Persistent first party identifier that recognises the same shopper across sessions on the merchant site. Used to associate browsing events, chat answers and the inferred preference profile maintained by Cartful in the United States. |
| cartful_session | Session | Session | First party session cookie that groups page views, click events and chat interactions within a single Cartful conversation, used to deduplicate events and to serve the next recommendation step. |
| cartful_profile | Local Storage | Until cleared | Local storage entry holding the derived preference profile (style, size, occasion, brand affinity, budget) so the assistant can resume the conversation and pre rank product suggestions without a round trip on every page. |
| cartful_consent | Persistent | 6 months | Records the consent state read from the merchant CMP so the Cartful widget knows whether it is allowed to load, send events and persist the visitor identifier on subsequent visits. |
Cartful utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
Cartful instala cookies propias persistentes y entradas de almacenamiento local para identificar a un comprador entre sesiones, recordar el historial del chat y guardar el perfil de preferencias inferido. Registra dirección IP, huella del dispositivo y del navegador, URL, referente, parámetros UTM, eventos de clic y scroll, productos vistos, tiempo en página, eventos de añadir al carrito y compra, el catálogo del comerciante (IDs de producto, atributos, precios) y las respuestas del visitante al asistente. Con funciones opcionales, puede recibir además un identificador de cliente autenticado o un correo capturado en un formulario. Todos los datos viajan a las API de Cartful en AWS US.
Sí. Cartful es un servicio no esencial que instala cookies persistentes y almacenamiento local con fines de analítica y perfilado, por lo que el artículo 5.3 de la Directiva ePrivacy y sus transposiciones nacionales exigen un consentimiento previo, libre, específico e informado. El tratamiento implica además perfilado sistemático en el sentido del artículo 4.4 RGPD, lo que hace recomendable un consentimiento explícito y granular conforme a las Directrices 03/2022 del CEPD. El widget no debe cargarse y ningún evento debe enviarse a las API de Cartful antes de que la plataforma de gestión del consentimiento registre un opt in positivo. El rechazo debe ser tan sencillo como la aceptación.
El consentimiento del artículo 6.1.a RGPD es la única base jurídica realista para Cartful en una web europea. El interés legítimo difícilmente supera la ponderación porque el tratamiento combina perfilado persistente entre sesiones, influencia en decisiones de compra mediante recomendaciones y transferencia a Estados Unidos. La ejecución del contrato tampoco encaja, porque el comprador puede completar la compra sin el motor de recomendaciones. El consentimiento debe ir junto con el consentimiento ePrivacy para cookies y almacenamiento local, ser específico de la finalidad (recomendaciones personalizadas), informado (responsable, encargado, transferencia, conservación) y revocable en cualquier momento.
Sí. Cartful Solutions Inc. está establecida en Estados Unidos y procesa eventos en infraestructura AWS US. Las transferencias desde el EEE se apoyan en el Marco UE EEUU de Privacidad de Datos cuando la entidad importadora está certificada, con CCT (2021/914) como respaldo y un análisis de impacto de transferencias que cubra FISA 702 y la Orden Ejecutiva 12333 conforme a la sentencia Schrems II. El comerciante debe verificar el estado DPF del importador, documentar medidas adicionales (cifrado en tránsito y en reposo, identificadores seudonimizados, controles de acceso, procedimiento ante accesos gubernamentales) y actualizar el análisis cuando cambien los subencargados.
Una EIPD conforme al artículo 35 RGPD es recomendable y, en la práctica, obligatoria, porque Cartful realiza perfilado conductual sistemático y a gran escala de los compradores en línea, construye un perfil inferido de preferencias, lo utiliza para influir en las decisiones de compra y transfiere datos a un país tercero. La EIPD debe describir las categorías de datos, la lógica del perfilado, la base jurídica, la conservación del perfil y la historia de eventos, las medidas adicionales, el riesgo residual, el derecho del artículo 22 RGPD cuando las recomendaciones tengan efectos significativos y los canales para ejercer los derechos de acceso, rectificación, supresión y oposición.
Firmar el DPA de Cartful, verificar la certificación DPF de la entidad importadora, realizar una EIPD que cubra perfilado y transferencia a Estados Unidos y configurar el CMP para que la etiqueta de Cartful esté bloqueada hasta que se registre un consentimiento positivo. Desactivar funciones opcionales (captura de correo, cross device, enriquecimiento de usuario autenticado) hasta que se conceda el consentimiento, y volver a desactivarlas en cuanto se retire. Documentar la conservación de perfil e historial y solicitar la supresión de perfiles inactivos mediante la API admin de Cartful. Actualizar la política de privacidad (base jurídica, mecanismo de transferencia, conservación) y el aviso de cookies (cookies de Cartful nominadas).
Pueden evaluarse varias herramientas de recomendación y asistentes en sitio alojados en la UE: Nosto (regiones UE), Algolia Recommend (residencia UE), Klevu, Crobox, Findologic, Recombee (servidores UE), Dynamic Yield (con residencia UE) y enfoques de código abierto como Recommendations API sobre un stack autogestionado. Para asistentes conversacionales, HubSpot ChatSpot o instancias autohospedadas de Rasa o Botpress en infraestructura UE reducen tanto la fricción de consentimiento como el riesgo de transferencia. La elección depende del tamaño del catálogo, la latencia, el incremento de conversión, las condiciones contractuales (DPA, subencargados, mecanismos de transferencia) y el nivel de perfilado justificable en el CMP.
En el aviso de cookies, listar nominalmente las cookies de Cartful (cartful_session, cartful_visitor, cartful_profile) con su duración y categoría, y asociarlas a la finalidad de Cartful en el CMP. En la política de privacidad, designar a Cartful Solutions Inc. como encargado (o corresponsable según el contrato), enumerar las categorías de datos (IP, datos de dispositivo, eventos conductuales, respuestas del chat, perfil derivado, correo opcional), nombrar el país de destino (Estados Unidos), referirse al Marco UE EEUU de Privacidad de Datos y a las CCT, indicar el plazo de conservación y los canales de ejercicio de derechos. Auditar de nuevo tras cada cambio de configuración.