¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
GoCertify es un servicio de verificación de identidad de la familia SheerID, operado por SheerID Inc. desde Portland (Oregón). Las tiendas en línea integran un formulario GoCertify para conceder descuentos a estudiantes, militares, docentes, primeros intervinientes o personal sanitario. El flujo de verificación recoge nombre completo, fecha de nacimiento, correo electrónico, nombre de la institución y, cuando es necesario, copias de documentos de identidad o tarjetas de pertenencia, todo procesado en Estados Unidos.
GoCertify es un servicio de verificación de identidad de la familia SheerID, operado por SheerID Inc. desde Portland (Oregón). Marcas y comercios integran un formulario GoCertify (o un iframe a una página de verificación SheerID) en el carrito o la ficha de producto para conceder descuentos a estudiantes, docentes, militares, primeros intervinientes o personal sanitario. La persona introduce algunos identificadores, sube en ocasiones una copia de un documento y GoCertify devuelve una decisión de elegibilidad junto con un código de descuento de un solo uso.
Aunque la integración visual reside en el origen del comercio, los datos terminan en los servidores SheerID en Estados Unidos, lo que convierte a GoCertify en un encargado de tratamiento tercero conforme al RGPD y a la directiva ePrivacy.
El formulario recoge nombre, apellidos, fecha de nacimiento (para verificar la edad en los programas de estudiantes), correo electrónico, nombre de la institución (centro, unidad, hospital, consejería) y país. Si la verificación automática falla, se pide subir un documento: carné de estudiante, tarjeta militar, identificación hospitalaria o del SNS, certificado docente o credencial de primer interviniente. El documento se almacena en SheerID y puede ser revisado por un verificador humano en Estados Unidos.
GoCertify también deposita cookies propias y de terceros (sheerid.com, gocertify.com) para medir la conversión, almacenar el estado de la verificación y evitar múltiples envíos desde el mismo navegador. Cookies y subida de documentos constituyen un almacenamiento y tratamiento dentro del alcance de los artículos 5(3) ePrivacy y 4(1), 9 RGPD.
Las cookies de GoCertify no son estrictamente necesarias para el comercio, por lo que el artículo 5(3) ePrivacy, la Guía sobre Cookies de la AEPD y el TDDDG alemán exigen consentimiento previo. La verificación se basa en el artículo 6(1)(b) RGPD (medidas precontractuales para el descuento). Cuando se sube un documento, se aplica además el artículo 9 RGPD. Un carné de estudiante que revele una edad inferior a 16 años activa el artículo 8 RGPD, y una tarjeta militar o sanitaria puede revelar categorías especiales como salud o afiliación sindical.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bloquee la integración de GoCertify por defecto detrás de una categoría Funcional o Verificación. Muestre el formulario solo cuando la persona solicite activamente el descuento, para que el consentimiento sea específico. Cuando se requiera subir un documento, presente un consentimiento explícito dedicado (casilla clara que indique que se tratará un documento de identidad y puede revelar categorías especiales) antes de mostrar el widget de subida. Registre el consentimiento, mencione la transferencia a SheerID en EE. UU. y ofrezca una vía alternativa de verificación manual a quienes rechacen.
Todo el tratamiento de GoCertify ocurre en la infraestructura de SheerID en Estados Unidos. La transferencia se rige por el EU US Data Privacy Framework cuando SheerID está certificado, o por las Cláusulas Contractuales Tipo 2021. Es obligatorio un análisis de impacto de transferencia porque el conjunto de datos incluye documentos de identidad y potenciales categorías especiales. Las medidas suplementarias deben incluir cifrado en tránsito y en reposo, conservación corta de las subidas, acceso por roles, ocultación de campos no necesarios en la copia del documento y compromiso contractual de SheerID para impugnar requerimientos desproporcionados de autoridades.
Incluya a SheerID y a GoCertify en el registro de actividades, la lista de subencargados y el registro de cookies. Actualice la política de privacidad y el aviso del checkout para nombrar a SheerID, la transferencia a EE. UU., las categorías de datos, la duración y los derechos. Configure GoCertify para borrar los documentos subidos en cuanto se registre la decisión, restrinja el acceso al panel de verificación, realice una EIPD antes del lanzamiento y revise anualmente el informe de seguridad y la certificación DPF de SheerID.
Websites using GoCertify must obtain user consent under GDPR regulations.
DPIA considerations
Es necesaria una Evaluación de Impacto siempre que GoCertify se utilice para verificar la elegibilidad de un descuento dirigido a estudiantes, docentes, militares, primeros intervinientes o personal sanitario. El tratamiento implica documentos de identidad, puede afectar a menores (estudiantes menores de 16 años), puede revelar categorías especiales (pertenencia a una profesión protegida o, indirectamente, origen o religión a través del nombre de la institución) y envía datos personales a un encargado en Estados Unidos. Documente la base jurídica de las cookies (consentimiento), de la verificación (consentimiento o consentimiento explícito), las categorías de documentos aceptados, la duración de conservación de los archivos subidos, el uso de decisiones automatizadas y el análisis de transferencia hacia SheerID en EE. UU.
Sample consent text
Utilizamos GoCertify, un servicio de verificación de identidad de SheerID Inc. (Estados Unidos), para confirmar su elegibilidad para este descuento. Con su consentimiento, su nombre, fecha de nacimiento, correo electrónico, institución y, si es necesario, una copia de su documento se transferirán a los servidores de SheerID en Estados Unidos para su revisión. Puede retirar su consentimiento en cualquier momento; rechazarlo simplemente impedirá aplicar el descuento.
Third-party domains contacted
gocertify.comservices.sheerid.comsheerid.comoffers.sheerid.comcdn.sheerid.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sheerid_sid | Persistent | 1 year | Identifies the verification session and links the form submission to the verification result, so the merchant can issue or revoke the gated discount code. |
| sheerid_fp | Persistent | 6 months | Device fingerprint used by GoCertify and SheerID to detect fraudulent multiple submissions from the same browser, used as a fraud signal for the eligibility check. |
| sheerid_verification_status | Persistent | 1 year | Stores the latest verification outcome and the program identifier so a returning visitor can be served the discount code without resubmitting documents. |
| gocertify_session | Session | Browser session | Temporary CSRF and session cookie set on gocertify.com while the verification form is open in the embedded iframe. |
GoCertify instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
El formulario de verificación recoge nombre, apellidos, fecha de nacimiento (para verificar la edad en los programas de estudiantes), correo electrónico, nombre de la institución o unidad y país. Si la verificación automática falla, se pide subir un documento: carné de estudiante, tarjeta militar, identificación hospitalaria o del SNS, certificado docente o credencial de primer interviniente. GoCertify también deposita cookies en sheerid.com y gocertify.com para medir conversiones, evitar envíos múltiples y recordar el estado, y registra IP y user agent para detectar fraude.
Sí, en dos niveles. Las cookies y los scripts remotos de GoCertify no son estrictamente necesarios para el comercio, por lo que el artículo 5(3) ePrivacy, la Guía de Cookies de la AEPD y el TDDDG alemán exigen consentimiento previo. Cuando el flujo solicita una subida de documento, el artículo 9 del RGPD exige consentimiento explícito para el tratamiento de datos que puedan revelar categorías especiales. Bloquee el iframe por defecto, muestre el formulario solo cuando la persona pida activamente el descuento y supedite el widget de subida a una casilla de consentimiento explícito independiente.
Las cookies se basan en el artículo 6(1)(a) RGPD (consentimiento) y el artículo 5(3) ePrivacy. La verificación en sí puede apoyarse en el artículo 6(1)(b) RGPD como medida precontractual del contrato con descuento. Cuando se sube un documento, también se aplica el artículo 9: por lo general solo el 9(2)(a) consentimiento explícito es viable, porque el contexto laboral 9(2)(b) y el interés público esencial 9(2)(g) no encajan en una promoción privada. Si el documento revela que la persona es menor de 16 años, el artículo 8 RGPD añade el requisito de consentimiento parental.
Sí. SheerID Inc., que opera GoCertify, tiene su sede en Portland, Oregón y aloja la plataforma en regiones AWS de Estados Unidos. Los identificadores y los documentos subidos se almacenan en EE. UU. y pueden ser revisados por verificadores humanos estadounidenses. La transferencia se apoya en el EU US Data Privacy Framework cuando SheerID está certificado, o en las Cláusulas Contractuales Tipo 2021. Un análisis de impacto de transferencia es obligatorio porque el conjunto de datos incluye documentos de identidad y potenciales categorías especiales.
Sí, una EIPD es muy recomendable y suele ser obligatoria. El tratamiento combina varios desencadenantes de las directrices del CEPD y de las listas de alto riesgo de la AEPD y la CNIL: documentos de identidad, posibles categorías especiales, posible tratamiento de menores, decisiones automatizadas (puntuación de elegibilidad) y transferencia a un tercer país con leyes de vigilancia. La EIPD debe describir el flujo a SheerID, las categorías de documentos, el papel de las comprobaciones automáticas, la revisión humana, la duración de conservación, las medidas suplementarias Schrems II y los derechos previstos.
Bloquee el iframe de GoCertify detrás de una categoría Funcional o Verificación en su CMP. Muestre el formulario solo cuando la persona elija activamente reclamar un descuento restringido. Aporte una capa de información dedicada que nombre a SheerID, la transferencia a EE. UU., las categorías de datos, la duración de conservación y los derechos. Supedite el widget de subida a una casilla de consentimiento explícito independiente. Configure GoCertify para borrar los documentos subidos en cuanto se registre la decisión y conservar solo el resultado y la marca temporal.
Entre las opciones europeas figuran ID Now (Alemania, hosting UE), la instancia UE de Onfido (Irlanda), Veriff (Estonia con residencia UE), Yoti (Reino Unido con opción de residencia UE) y ID Wall (España). Para casos más ligeros, puede emitir lotes cerrados de códigos para estudiantes o militares a través de una asociación socia ubicada en el EEE, o comprobar el dominio del correo electrónico contra una lista de instituciones reconocidas. La ganancia de privacidad depende sobre todo de la residencia de datos, la lista de subencargados y la capacidad del proveedor de tratar un documento de identidad bajo una excepción documentada del artículo 9 o únicamente con consentimiento explícito.
Añada una sección que nombre a SheerID Inc. y al producto GoCertify, enumere las cookies depositadas en sheerid.com y gocertify.com con su finalidad y duración, y aclare que el embed permanece bloqueado hasta otorgar el consentimiento. La política de privacidad debe describir también el flujo de verificación, las categorías de datos y documentos, el mecanismo de transferencia (DPF o CCT más medidas suplementarias), la duración de conservación de las subidas (idealmente el tiempo justo para registrar la decisión), la base jurídica (art. 6(1)(b) y art. 9(2)(a)) y los derechos de acceso, rectificación, supresión y retirada.