¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Gravatar es un servicio global de avatares operado por Automattic en Estados Unidos. WordPress, los sistemas de comentarios y muchas aplicaciones web recuperan los avatares de los usuarios mediante un hash de su correo electrónico y una consulta a gravatar.com. Cada solicitud expone la dirección IP del visitante y el hash del correo a Automattic en Estados Unidos.
Gravatar, el Globally Recognised Avatar, lo opera Automattic Inc. en San Francisco. Está integrado en el núcleo de WordPress y lo utilizan miles de sistemas de comentarios, foros y aplicaciones SaaS. Cada solicitud a gravatar.com transfiere dirección IP, user agent y un hash del correo electrónico a Estados Unidos.
Cuando una página necesita mostrar un avatar (autor de comentario, miembro de foro, widget de perfil), el sitio calcula un hash del correo (MD5 históricamente, SHA 256 en versiones modernas) y construye una URL del tipo secure.gravatar.com/avatar/{hash}. El navegador descarga la imagen directamente desde Automattic, que puede así registrar IP, user agent y la URL de origen mediante la cabecera Referer.
Gravatar normalmente no instala cookies de seguimiento en el sitio editor, pero puede colocar cookies de Automattic (wpcom_*, tk_*) si el visitante tiene sesión iniciada en WordPress.com. En cada petición se transmiten IP del visitante, hash del correo y URL Referer, que se almacenan en los logs de Automattic. La AEPD recuerda que un correo hasheado sigue siendo dato personal según el considerando 26 del RGPD.
El tribunal de Múnich (2022) declaró que cargar recursos externos que filtran la IP sin consentimiento viola el RGPD. Las peticiones a Gravatar siguen exactamente ese patrón. Aunque la imagen del avatar no sea una cookie, la transferencia de la IP a un tercero estadounidense se rige por el artículo 6 del RGPD y el hash del correo por el artículo 4.1. El consentimiento es la base jurídica más segura para un sitio europeo.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Automattic está autocertificada en el EU US Data Privacy Framework, equivalente a una decisión de adecuación según el artículo 45 del RGPD para importadores estadounidenses certificados. Si el DPF se invalida (como ocurrió con Privacy Shield y Safe Harbor), las transferencias deberán apoyarse en cláusulas contractuales tipo con medidas complementarias y una EIT documentada. Verifique el estado de Automattic en dataprivacyframework.gov.
Desactive Gravatar en WordPress hasta obtener el consentimiento (Ajustes > Comentarios > Mostrar avatares) o utilice un proxy de privacidad como el plugin Avatar Privacy, que aloja los avatares localmente. Bloquee Gravatar en su CMP bajo la categoría funcional o marketing. Documente a Automattic como subencargado estadounidense en el registro de actividades, la política de privacidad y el banner. Si acepta comentarios, ofrezca un identicon genérico o un fallback local.
Websites using Gravatar must obtain user consent under GDPR regulations.
DPIA considerations
No siempre se requiere una EIPD específica para Gravatar, pero la transferencia a Estados Unidos debe analizarse en una EIT. Documente el hash del correo, la exposición de la IP, el plazo de conservación y las garantías contractuales (certificación DPF o cláusulas contractuales tipo).
Sample consent text
Este sitio utiliza Gravatar, operado por Automattic en Estados Unidos, para mostrar avatares en los comentarios y el área de miembros. Gravatar recibe un hash de su correo electrónico junto con su IP y puede almacenarlo en EE. UU. Las solicitudes a Gravatar se envían con su consentimiento.
Third-party domains contacted
gravatar.comsecure.gravatar.com0.gravatar.comen.gravatar.comautomattic.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| wpcom_loggedin | third_party | 2 weeks | Set by Automattic for visitors signed in to WordPress.com when avatars are fetched. |
| tk_ai | third_party | 1 year | Anonymous identifier used by Automattic Tracks for product analytics across Automattic properties. |
| tk_lr | third_party | 1 year | Stores the landing page referrer for Automattic Tracks analytics. |
Gravatar es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Gravatar rara vez instala cookies en el sitio editor. Si el visitante tiene sesión iniciada en WordPress.com, pueden aparecer cookies de sesión de Automattic como wpcom_loggedin, wp_api_sec, tk_ai o tk_lr en la respuesta de gravatar.com. Son cookies de terceros que requieren consentimiento.
Sí, en el EEE. Aunque la petición de avatar no instale cookies de origen, transfiere la IP del visitante y un hash del correo a Automattic en Estados Unidos. Según el artículo 6 del RGPD la base más segura es el consentimiento, sobre todo tras la sentencia del LG Múnich sobre solicitudes similares de Google Fonts.
Se recomienda el consentimiento (artículo 6.1.a del RGPD). El interés legítimo (artículo 6.1.f) solo puede argumentarse si se ofrecen avatares locales y se documenta una EIT. En WordPress lo más sencillo es desactivar los avatares remotos por defecto.
Sí. Cada petición a Gravatar llega a la infraestructura de Automattic en Estados Unidos. Automattic se ampara en el EU US Data Privacy Framework para la transferencia. Verifique el estado de certificación de Automattic en dataprivacyframework.gov y documente la transferencia en el registro de actividades.
En general no se requiere una EIPD independiente, pero si Gravatar se combina con sistemas de comentarios, analítica o marketing, la EIPD global del sitio debe mencionar el hash de correo, la exposición de la IP y la transferencia a EE. UU. Una EIT sigue siendo obligatoria.
Desactive los avatares remotos en WordPress (Ajustes > Comentarios > desmarcar Mostrar avatares), instale un proxy de privacidad (plugin Avatar Privacy) que cachea Gravatar localmente, o bloquee Gravatar mediante su CMP bajo la categoría marketing. Ofrezca un identicon genérico como respaldo. Documente la decisión en la política de privacidad.
Alternativas autoalojadas: Libravatar (federado, compatible con el RGPD), Avatar Privacy (plugin WordPress), Boring Avatars (identicons SVG procedurales) o almacenamiento de avatares en su propio servidor o almacenamiento de objetos. Cada una elimina por completo la transferencia a EE. UU.
Cuando Automattic actualice su política de privacidad, condiciones o mecanismo de transferencia, refleje los cambios en la tabla de cookies y la política de privacidad. Si cambia el estado DPF (suspensión o invalidación), aumente la versión del banner para invalidar los consentimientos previos.