¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
OneSignal es una de las plataformas de notificaciones push web y móvil más utilizadas, operada desde Estados Unidos. Registra un service worker en su sitio para enviar notificaciones y rastrea tokens de suscripción, metadatos de dispositivo y direcciones IP en infraestructura AWS US. Tanto la suscripción push como las cookies asociadas requieren consentimiento explícito además del prompt nativo del navegador.
OneSignal es una plataforma de engagement con el cliente fundada en 2014 en San Mateo (California). Es una de las soluciones más utilizadas para push web, push móvil, mensajería in app, email y SMS, con más de un millón de sitios y apps. El SDK web registra un service worker en el dominio del editor para gestionar las notificaciones push.
OneSignal almacena un identificador de suscripción push, el OneSignal player ID y un registro de dispositivo (navegador, SO, país, idioma, dirección IP). En el sitio del editor registra un service worker (OneSignalSDKWorker.js) y usa localStorage para el player ID. Los SDK móviles recogen eventos de instalación y uso. Los tags y segmentos pueden incluir cualquier atributo personalizado adjuntado por el editor.
El push web se considera un rastreador no esencial por la mayoría de los reguladores europeos, por lo que el SDK de OneSignal y su service worker solo deben cargarse tras el consentimiento conforme al artículo 5(3) ePrivacy. El prompt nativo del navegador es un consentimiento adicional pero insuficiente porque no cubre el almacenamiento y tratamiento previos necesarios para registrar la suscripción. Las notificaciones de marketing se basan en consentimiento (art. 6(1)(a) RGPD).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
OneSignal aloja su infraestructura principal en AWS US. Los tokens de suscripción, registros de dispositivos, direcciones IP y eventos de engagement se tratan en Estados Unidos. Las transferencias se basan en la certificación del Data Privacy Framework UE-EE. UU. (cuando aplique) y en las cláusulas contractuales tipo del DPA de OneSignal. Los planes Enterprise pueden ofrecer opciones de residencia regional.
Firme el DPA de OneSignal desde el panel. Bloquee el SDK con su CMP y cárguelo solo tras opt in explícito. Use un soft prompt personalizado antes de solicitar el permiso nativo del navegador, con descripción clara de la finalidad. Mencione a OneSignal en su política con la transferencia a EE. UU., la base SCC y DPF y las categorías de datos. Proporcione una ruta de baja evidente en las notificaciones y en los ajustes de OneSignal.
Websites using OneSignal must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD para despliegues de OneSignal con grandes bases de suscriptores, segmentación conductual e identificación cross device, dado los identificadores persistentes y la transferencia a EE. UU.
Sample consent text
Utilizamos OneSignal (OneSignal Inc., Estados Unidos) para enviar notificaciones push. Al aceptar, consiente el registro de una suscripción push, los identificadores asociados y la transferencia de sus datos a EE. UU. con las garantías adecuadas.
Third-party domains contacted
cdn.onesignal.comapi.onesignal.comonesignal.comimages.onesignal.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| onesignal-pageview-count | first_party | Persistent (localStorage) | Tracks the number of pageviews so OneSignal can trigger a soft prompt after a configured threshold. |
| onesignal-notification-prompt | first_party | Persistent (localStorage) | Records whether the user has dismissed the soft prompt to avoid repeated prompting. |
OneSignal instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
OneSignal almacena un identificador de suscripción push y el OneSignal player ID en el localStorage del dominio editor, registra un service worker (OneSignalSDKWorker.js) y envía un registro de dispositivo (navegador, SO, país, idioma, IP) a su backend. También se guardan en localStorage contadores opcionales de páginas vistas y prompts.
Sí. La mayoría de los reguladores europeos consideran el push web un rastreador no estrictamente necesario, por lo que el SDK de OneSignal y su service worker solo deben cargarse tras el consentimiento conforme al artículo 5(3) ePrivacy. El prompt nativo del navegador es un consentimiento adicional pero insuficiente porque no cubre el almacenamiento ni el registro previos.
Consentimiento (art. 6(1)(a) RGPD) para la suscripción push, los identificadores asociados y las notificaciones de marketing. El opt in debe ser granular y tan fácil de retirar como de prestar. La programación y la analítica de notificaciones en el backend de OneSignal son tratamiento por encargo conforme al art. 28.
Sí. OneSignal Inc. es una empresa estadounidense y su infraestructura principal funciona en AWS US. Los tokens de suscripción, registros de dispositivos, direcciones IP y eventos de engagement se tratan en EE. UU. Las transferencias se basan en la certificación del Data Privacy Framework UE-EE. UU. (cuando aplique) y en las cláusulas contractuales tipo del DPA de OneSignal.
Se recomienda para despliegues con grandes bases de suscriptores, segmentación conductual e identificación cross device, dada la persistencia de los identificadores y la transferencia a EE. UU.
Firme el DPA de OneSignal. Bloquee el SDK con su CMP y cárguelo solo tras opt in explícito. Use un soft prompt personalizado que explique la finalidad antes de pedir el permiso nativo del navegador. Mencione a OneSignal en su política con la transferencia a EE. UU., la base SCC y DPF y las categorías de datos. Proporcione una ruta de baja evidente en las notificaciones.
Alternativas europeas: WonderPush (Francia), Pushwoosh (con residencia europea disponible), Sendmunk (Alemania) y Mautic autoalojado con extensión de web push. Para móvil, Firebase Cloud Messaging en regiones europeas puede servir para mensajes transaccionales pero plantea las mismas cuestiones para marketing.
Indique que OneSignal (OneSignal Inc., Estados Unidos) es encargado para notificaciones push y engagement. Describa el service worker, el player ID, el registro de dispositivo, el tratamiento de la IP y la analítica de campañas. Indique la transferencia a EE. UU. con base SCC y DPF y proporcione un enlace o página de baja en un solo clic.