¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Flocktory es una plataforma rusa de personalización on site, pop ups, programas de referidos y marketing post compra, propiedad de Sber. Rastrea visitantes en sitios ecommerce y activa campañas conductuales. Se requiere consentimiento y su uso es de alto riesgo para operadores de la UE, porque los datos se procesan en la Federación de Rusia, país sin decisión de adecuación bajo el RGPD.
Flocktory es una plataforma de marketing on site, personalización y referidos ampliamente desplegada por sitios ecommerce en Rusia y la Comunidad de Estados Independientes. La herramienta inyecta un script JavaScript en la página, observa el comportamiento del visitante en tiempo real, construye un perfil y activa campañas como pop ups de salida, ofertas post compra, formularios de captura de email, programas de miembro recomienda a miembro y recomendaciones de producto personalizadas. Flocktory fue adquirida por Sberbank, hoy Sber, banco ruso controlado por el Estado y sujeto a sanciones de la UE y de Estados Unidos. La plataforma opera desde la Federación de Rusia y se dirige principalmente a comercios rusos y de la CEI.
Flocktory recopila la dirección IP, el agente de usuario, señales de fingerprinting de navegador y dispositivo, cookies persistentes first party y de terceros, URL de las páginas, referente, eventos de scroll y clic, tiempo de permanencia, contenido de carrito y pedido, y cualquier dato personal introducido por el visitante en un formulario, como correo electrónico, teléfono o nombre. Los eventos se envían en tiempo real a los servidores de Flocktory mediante HTTPS y se vinculan en el lado del servidor con el perfil del visitante. El proveedor también admite integraciones de servidor a servidor que enriquecen el perfil con datos offline subidos por el comerciante.
Flocktory aloja los datos personales principalmente en la Federación de Rusia, conforme a la regla de localización de la Ley Federal 152 FZ, que exige almacenar en Rusia los datos personales de los ciudadanos rusos. La Federación de Rusia no está cubierta por ninguna decisión de adecuación de la Comisión Europea bajo el artículo 45 del RGPD. Cualquier transferencia desde el EEE a Flocktory constituye, por tanto, una transferencia internacional que debe basarse en las garantías del artículo 46, en la práctica las Cláusulas Contractuales Tipo, y en una evaluación de impacto de la transferencia exigida por la sentencia Schrems II del Tribunal de Justicia de la Unión Europea. Esta TIA debe concluir que las medidas suplementarias son efectivas frente a los amplios poderes de vigilancia de las autoridades rusas, en particular el régimen de interceptación SORM y la Ley Federal 374 FZ conocida como paquete Yarovaya. En la práctica, la mayoría de los responsables del tratamiento europeos comprobarán que estas medidas no pueden hacerse efectivas, lo que deja como única base legal la excepción del consentimiento explícito del artículo 49(1)(a) RGPD, de uso ocasional y no sistemático.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sber, sociedad matriz de Flocktory, está sujeta desde 2022 a medidas restrictivas de la UE, incluidas restricciones de banca corresponsal y congelaciones de activos de determinados directivos. Los operadores europeos que envían datos personales y comisiones a un proveedor controlado por Sber deben comprobar que la relación contractual no infringe el régimen de sanciones de la UE, en particular las prohibiciones del Reglamento 833/2014 del Consejo y las medidas de desconexión de SWIFT. Más allá del riesgo jurídico, desplegar una herramienta de marketing vinculada al Estado ruso en un sitio de marca europea supone un riesgo reputacional que debe ser evaluado por los departamentos legal, de cumplimiento y de comunicación.
Dado que Flocktory deposita cookies y lee identificadores de dispositivo con fines de marketing, se aplica el artículo 5(3) de la Directiva ePrivacy. Es necesario un consentimiento previo, libre, específico, informado e inequívoco antes de cargar cualquier script de Flocktory. El script debe inyectarse de forma condicional a través de una plataforma de gestión del consentimiento, nunca codificado de forma fija en la cabecera de la página. La nota informativa mostrada al usuario debe revelar la transferencia a la Federación de Rusia, la ausencia de decisión de adecuación, el riesgo de acceso por parte de las autoridades rusas y la identidad de Sber como matriz última. Las autoridades de control han subrayado repetidamente que un consentimiento recogido sin revelar una transferencia a un país tercero de alto riesgo no es informado y, por tanto, no es válido.
Para la mayoría de los responsables del tratamiento europeos, Flocktory no es una opción recomendada. La combinación de un país tercero no adecuado, una estructura de propiedad expuesta a las sanciones de la UE y la ausencia de medidas suplementarias eficaces frente a la vigilancia estatal produce un riesgo residual alto. Los operadores europeos que todavía necesiten usar la herramienta, por ejemplo para servir a una audiencia rusa o de la CEI desde un dominio separado, deberían aislar ese despliegue, restringirlo a usuarios que hayan consentido, documentar la excepción del artículo 49 y excluir el tráfico de residentes de la UE mediante geofiltrado en la capa de gestión del consentimiento.
Websites using Flocktory must obtain user consent under GDPR regulations.
DPIA considerations
Flocktory trata datos personales en la Federación de Rusia, país sin decisión de adecuación bajo el RGPD. Una Evaluación de Impacto en la Protección de Datos conforme al artículo 35 del RGPD es muy recomendable, y en la mayoría de los casos formalmente obligatoria, antes de desplegar la herramienta en un sitio dirigido a la UE. La EIPD debe abarcar: las categorías de datos recopilados (dirección IP, identificadores de navegador y dispositivo, eventos de comportamiento, correo electrónico si se proporciona, datos de compra), la base legal para la transferencia a Rusia bajo el artículo 46 del RGPD, la existencia y eficacia de medidas suplementarias frente a los accesos de autoridades rusas conforme a la Ley Federal 374 FZ y al régimen SORM, el impacto de las sanciones de la UE y de la propiedad por Sber, el plazo de conservación, la efectividad real de los derechos de los interesados cuando el responsable solo es accesible en Rusia, y la disponibilidad de alternativas menos intrusivas alojadas en el EEE.
Sample consent text
Utilizamos Flocktory, un servicio de personalización de marketing operado por Flocktory Ltd, parte del grupo Sber, para mostrar pop ups y ofertas personalizadas en este sitio. Flocktory deposita cookies en su dispositivo, construye un perfil conductual y transfiere sus datos personales, incluida su dirección IP y sus eventos de navegación, a servidores ubicados en la Federación de Rusia. La Federación de Rusia no está reconocida por la Comisión Europea como país con un nivel adecuado de protección de datos, y sus datos pueden ser consultados por autoridades públicas rusas. Al hacer clic en Aceptar, usted otorga su consentimiento explícito a estas cookies y a esta transferencia internacional bajo el artículo 49(1)(a) del RGPD.
Third-party domains contacted
flocktory.comwww.flocktory.comapi.flocktory.comcdn.flocktory.comstatic.flocktory.comevents.flocktory.comp.flocktory.comtracking.flocktory.comsber.rusberbank.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| flocktory | third_party | 1 year | Primary Flocktory identifier cookie used to recognize the visitor across sessions and to attribute popup impressions, conversions and referral events. Stores a unique pseudonymous user ID linked to the behavioral profile on Flocktory servers in Russia. |
| flocktory_uid | third_party | 1 year | Visitor unique identifier set by the Flocktory tag for cross page tracking, profile building and audience segmentation, used to trigger personalized campaigns. |
| flocktory_session | third_party | Session | Session cookie that groups the events of a single visit, used to evaluate campaign triggering rules such as exit intent, scroll depth and time on page. |
| _flocktory | first_party | 1 year | Mirrored first party cookie set on the merchant domain when first party context is enabled, carrying the same Flocktory user identifier to bypass third party cookie restrictions in modern browsers. |
| flocktory_referrer | first_party | 6 months | Stores the identifier of the referring user in a member get member referral campaign, used to attribute the reward when the referred visitor completes a qualifying action. |
| flocktory_popup_state | first_party | 30 days | Stores the state of each popup or exit intent campaign already shown to the visitor, used to enforce frequency capping and prevent re displaying a dismissed offer. |
| flocktory_test | third_party | 90 days | A or B test assignment cookie that pins the visitor to a specific variant of a personalization campaign for the duration of the test to ensure consistent experience and reliable measurement. |
| flocktory_email_lead | first_party | 180 days | Marker cookie indicating that the visitor has submitted an email address through a Flocktory capture form, used to suppress further email capture popups and link the future browsing to the captured contact. |
Flocktory es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Sí. Flocktory deposita cookies y lee identificadores de dispositivo para personalización de marketing, por lo que se aplica el artículo 5(3) de la Directiva ePrivacy. Se requiere un consentimiento previo, libre, específico, informado e inequívoco antes de cargar cualquier script de Flocktory. El script debe inyectarse de forma condicional a través de una plataforma de gestión del consentimiento. Además, dado que Flocktory procesa datos en la Federación de Rusia, el consentimiento debe revelar de forma explícita la transferencia internacional a un país no adecuado, la ausencia de decisión de adecuación, el riesgo de acceso por parte de autoridades rusas y la matriz Sber.
Flocktory aloja los datos personales principalmente en la Federación de Rusia, conforme a la Ley Federal rusa 152 FZ sobre localización de datos. En concreto, cuando un visitante europeo navega por un sitio que carga Flocktory, los identificadores y los eventos de comportamiento se transmiten a servidores bajo jurisdicción rusa. La Federación de Rusia no es objeto de una decisión de adecuación de la Comisión Europea bajo el artículo 45 del RGPD.
Alto. La combinación de creación de perfiles de comportamiento, identificadores persistentes, transferencia internacional a un país no adecuado, propiedad en manos de un banco ruso estatal sancionado y los amplios poderes de vigilancia de las autoridades rusas en virtud de SORM y la Ley 374 FZ produce un riesgo residual alto para los responsables del tratamiento europeos. Una EIPD bajo el artículo 35 del RGPD es muy recomendable, y el despliegue solo debe considerarse cuando no exista alternativa alojada en el EEE.
Schrems II trataba sobre transferencias a Estados Unidos, pero su razonamiento se aplica por analogía a cualquier transferencia a un país tercero no cubierto por una decisión de adecuación. Rusia es uno de esos países. El responsable del tratamiento debe realizar una Transfer Impact Assessment, evaluar si el derecho ruso, en particular la Ley 374 FZ y el régimen SORM, garantiza un nivel de protección esencialmente equivalente al de la UE, e identificar medidas suplementarias. En la mayoría de los casos, estas medidas no pueden hacerse efectivas frente a los poderes de acceso del Estado ruso.
Por sí solas, no. Las CCT son un instrumento contractual y no pueden impedir el acceso de las autoridades rusas a los datos. Deben complementarse con medidas suplementarias técnicas, contractuales y organizativas cuya eficacia el responsable pueda demostrar en el contexto jurídico ruso. Dadas las leyes rusas de vigilancia y de acceso a los datos, el análisis estilo CEPD concluye normalmente que no pueden diseñarse medidas eficaces. La vía legal restante en la práctica es la excepción del consentimiento explícito y ocasional del artículo 49(1)(a) del RGPD.
Pueden hacerlo. Sber, matriz de Flocktory, está sujeta a medidas restrictivas de la UE en virtud del Reglamento 833/2014 del Consejo y de instrumentos relacionados, incluidas restricciones de banca corresponsal y congelaciones de activos de determinados directivos. Los operadores europeos deben obtener un análisis jurídico que confirme que el pago de tarifas, la relación contractual y el acuerdo de tratamiento de datos con un proveedor controlado por Sber no entran en el ámbito de ninguna prohibición, incluida la facilitación indirecta, y que la contraparte no figura en la lista consolidada de sanciones de la UE.
En la mayoría de despliegues UE, sí. La AEPD y otras autoridades de control consideran que la creación sistemática de perfiles de comportamiento de los visitantes de un sitio, junto con una transferencia a un país tercero no adecuado y con alto nivel de acceso estatal a los datos, cumple varios criterios de las directrices del GT29 sobre EIPD. Por tanto, debe realizarse y documentarse una EIPD bajo el artículo 35 del RGPD antes del go live, con una conclusión clara sobre el riesgo residual y sobre las alternativas estudiadas.
Existen varias alternativas alojadas en el EEE para personalización on site, pop ups, exit intent y marketing de referidos, ya sean proveedores europeos o estadounidenses con regiones UE y mecanismos de transferencia adecuados bajo el artículo 46 con medidas suplementarias eficaces. Para la mayoría de responsables del tratamiento europeos, elegir una de esas alternativas es el enfoque más defendible. Flocktory solo debería considerarse para propiedades específicamente dirigidas a audiencias rusas o de la CEI, desplegadas en dominios aislados y con el tráfico UE excluido mediante geofencing.