¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Pushly es una plataforma de notificaciones push web operada por The Arena Group desde Nueva York. Usa el protocolo VAPID, un service worker registrado en el origen del editor y un SDK JavaScript para capturar suscripciones, y entrega las notificaciones a través de los servicios push de Apple, Google y Mozilla. Almacena endpoints de suscriptores y segmentos de comportamiento en Estados Unidos.
Pushly es una plataforma de notificaciones push web operada por The Arena Group, un grupo de medios estadounidense con sede en Nueva York. Se dirige a editores y sitios de comercio electrónico que quieren enviar artículos, alertas y promociones al navegador incluso cuando la persona no está en el sitio. La integración utiliza un SDK JavaScript cargado en cada página, un service worker registrado en el origen del editor y el protocolo VAPID descrito en el RFC 8292.
Cuando la persona acepta el aviso del navegador, este registra una suscripción push única en Apple APNs (Safari), Google FCM (Chrome, Edge) o Mozilla autopush (Firefox). La URL del endpoint y las claves de cifrado se envían a los servidores de Pushly y se guardan junto con los segmentos configurados por el editor.
Pushly almacena el endpoint de suscripción, la clave pública, el secreto de autenticación, la huella del navegador (user agent, idioma, zona horaria), la dirección IP en el momento de la suscripción y los eventos de comportamiento como impresiones, clics y cierres. Muchas integraciones también envían identificadores propios (etiquetas de artículo, segmentos, ID de usuario registrado) para segmentar, además de entradas en local storage utilizadas por el SDK.
Aunque el push web no depende técnicamente de cookies tradicionales, el endpoint persistente y los valores en local storage constituyen almacenamiento en el terminal en el sentido del artículo 5(3) de la directiva ePrivacy, y el endpoint junto con la IP califican como datos personales conforme al artículo 4(1) RGPD.
Las suscripciones push web requieren consentimiento explícito porque combinan almacenamiento de identificadores en el terminal (art. 5(3) ePrivacy) y comunicación comercial directa (art. 21 LSSI en España). Las Directrices 5/2020 del CEPD recuerdan que el consentimiento del RGPD debe ser específico, informado, inequívoco y manifestado mediante un acto afirmativo claro. El aviso nativo del navegador no basta: una implantación conforme a la AEPD añade un pre aviso explicativo y una categoría clara en el banner de cookies.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
No cargue el SDK de Pushly en la primera vista de página. Bloquéelo detrás de una categoría Marketing o Comunicaciones en su plataforma de gestión del consentimiento y registre el service worker solo después de aceptar esa categoría. Muestre un pre aviso que explique qué tipo de notificaciones se envían, con qué frecuencia y quién es el destinatario, y solo entonces dispare el aviso nativo del navegador. Registre el consentimiento (marca temporal, IP, versión del banner, elección) y ofrezca un enlace de baja en un clic en cada push.
Pushly almacena endpoints en regiones AWS de Estados Unidos. La entrega circula por Apple APNs (Cupertino, California), Google FCM (Estados Unidos) y Mozilla autopush (Estados Unidos). Las cuatro partes son estadounidenses y entran en el ámbito de las leyes de vigilancia de ese país, lo que sitúa la transferencia en el marco de las recomendaciones Schrems II del CEPD.
Apóyese en el marco EU US Data Privacy Framework cuando el destinatario esté certificado, firme las Cláusulas Contractuales Tipo 2021 cuando no lo esté, y documente medidas suplementarias: cifrado extremo a extremo del payload, seudonimización de los segmentos, conservación corta de los endpoints y un análisis de impacto de transferencia.
Incluya Pushly en el registro de actividades de tratamiento y en el registro de cookies y local storage. Documente la base jurídica, los destinatarios (The Arena Group y el servicio push correspondiente), las categorías de datos y el plazo de conservación. Realice una EIPD si segmenta por comportamiento o si envía push a menores. Ofrezca una página de preferencias para cambiar temas o revocar la suscripción, replique la revocación a Pushly por su API y audite mensualmente los endpoints dados de baja.
Websites using Pushly must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una Evaluación de Impacto cuando Pushly se utiliza para enviar notificaciones de comportamiento o personalizadas, para retargeting de visitantes anónimos, para segmentar por interacción con contenidos, o para enviar push a menores de 16 años. La evaluación debe documentar la base jurídica de la suscripción y de la segmentación, las categorías de datos transmitidas a Apple, Google y Mozilla, los plazos de conservación de endpoints y eventos de interacción, el rol de la segmentación automatizada conforme al artículo 22 RGPD y las medidas suplementarias aplicadas a las transferencias a Estados Unidos.
Sample consent text
Nos gustaría enviarle notificaciones push web a través de Pushly. Con su consentimiento, su navegador registrará una suscripción push única con nuestro service worker y Pushly (operado desde Estados Unidos) guardará ese endpoint para entregarle las notificaciones. Puede retirar su consentimiento en cualquier momento desde la configuración del navegador o mediante el enlace de baja presente en cada notificación.
Third-party domains contacted
pushly.comcdn.p-n.ioapi.p-n.iofcm.googleapis.comupdates.push.services.mozilla.comweb.push.apple.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| pushly_sid | Persistent | 1 year | Pushly subscriber identifier used to associate the browser with a stored push subscription and to attribute engagement events back to the subscriber profile. |
| pushly_segments | Local Storage | Until cleared by user | Local storage entry holding the segment memberships and topic preferences assigned to the subscriber for push targeting. |
| pushly_sw_registration | Local Storage | Until service worker unregistered | Stores the push subscription endpoint, public key and auth secret returned by the browser PushManager, so Pushly can deliver notifications even when the tab is closed. |
| pushly_prompt_state | Persistent | 6 months | Records whether the visitor has already been shown the soft pre prompt and whether they accepted, dismissed or refused, to avoid prompt fatigue. |
Pushly instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Cuando la persona acepta el aviso push, el navegador genera un endpoint de suscripción único (URL alojada por Apple, Google o Mozilla) y un par de claves de cifrado. Pushly recibe y almacena ese endpoint, la clave pública, el secreto de autenticación, el user agent, el idioma, la zona horaria, la dirección IP en el momento de la suscripción y un identificador de suscriptor de Pushly. Pushly también registra cada entrega, impresión, clic y cierre, y puede asociar segmentos propios (etiquetas de artículo, ID de usuario registrado) facilitados por el editor.
Sí. Activar Pushly implica tanto la escritura de identificadores en el terminal (suscripción push y entradas en local storage) como el envío de comunicaciones comerciales directas. Aplica el artículo 5(3) de la directiva ePrivacy, el artículo 22.2 de la LSSI y el artículo 21 de la LSSI. La AEPD, la CNIL y la DSK exigen un consentimiento previo, libre, específico e informado expresado mediante un acto afirmativo claro. El aviso nativo del navegador no basta: despliegue un pre aviso que explique finalidad, frecuencia y destinatario, y registre el service worker solo tras aceptar una categoría Marketing en la CMP.
La suscripción push se basa en el artículo 6(1)(a) RGPD (consentimiento), junto con el artículo 5(3) ePrivacy para el almacenamiento de identificadores y el artículo 4(11) RGPD para el acto afirmativo. La segmentación basada en comportamiento que perfila suscriptores (categorías de artículos leídos, productos vistos) se apoya en el mismo consentimiento y puede activar el artículo 22 RGPD si conduce a decisiones totalmente automatizadas con efectos significativos. El interés legítimo no suele estar disponible: el CEPD ha confirmado que la prospección electrónica directa a personas físicas exige consentimiento ePrivacy.
Sí. Pushly tiene su sede en Nueva York y aloja su infraestructura en regiones AWS de Estados Unidos. La entrega circula por Apple APNs, Google FCM y Mozilla autopush, todos estadounidenses. La propia URL del endpoint revela qué proveedor push se utiliza y los metadatos de payload llegan a ese proveedor. Estas transferencias exigen o bien el marco EU US Data Privacy Framework cuando el destinatario está certificado, o bien las Cláusulas Contractuales Tipo 2021, además de un análisis de impacto de transferencia Schrems II que documente cifrado, retención corta, control de acceso por rol y registros de auditoría.
Se recomienda una EIPD cuando Pushly se usa para perfilado (segmentos de comportamiento, audiencias similares), para retargeting a gran escala de visitantes anónimos, para enviar push a menores de 16 años o para combinar suscripciones push con datos de identidad de usuario registrado. Los criterios del CEPD (tratamiento a gran escala, evaluación o puntuación, tecnologías innovadoras) y las listas de alto riesgo de la AEPD y la CNIL suelen activar una EIPD en estos escenarios. La evaluación debe describir el flujo hacia el editor, Pushly y los servicios push del sistema operativo y las medidas suplementarias frente a Schrems II.
Coloque el SDK de Pushly detrás de una categoría Marketing o Comunicaciones en su plataforma de gestión del consentimiento y manténgalo bloqueado hasta el opt in. Muestre un pre aviso que indique responsable, finalidad, frecuencia y terceros. Solo tras la aceptación, registre el service worker en su origen y lance el aviso nativo. Registre el consentimiento con marca temporal y versión de banner. Ofrezca un centro de preferencias, un enlace de baja en un clic en cada push y propague las revocaciones a Pushly mediante su API.
Entre las alternativas alojadas o amigables con la UE están OneSignal con residencia UE, Batch (Francia, también push móvil), Brevo Push (antes Sendinblue), Notifix (Francia) y soluciones autogestionadas que utilizan bibliotecas web push sobre su propio backend con los endpoints de Mozilla autopush y FCM. Ninguna puede evitar Apple APNs, Google FCM o Mozilla autopush para la entrega real, pero un panel y un almacenamiento UE reducen la superficie de transferencias a EE. UU. y facilitan la gestión de subencargados. Elija un proveedor que firme un AVV basado en CCT UE y ofrezca región UE.
Añada una sección que identifique a The Arena Group (Pushly) como tercero y explique que el push web se basa en un service worker, un endpoint guardado en Pushly y la entrega a través de los servicios push de Apple, Google y Mozilla. Indique las categorías de datos (endpoint, IP, user agent, segmentos, eventos de interacción), la duración de conservación, la base jurídica (art. 6(1)(a) y art. 5(3) ePrivacy), el mecanismo de transferencia (DPF o CCT con medidas suplementarias) y los derechos de acceso, supresión y retirada, junto con una vía directa de baja.