¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Affirm es un proveedor estadounidense de pago aplazado (BNPL) y financiación en el punto de venta operado por Affirm Holdings, Inc. Los comercios integran affirm.js para mostrar estimaciones de cuotas en las páginas de producto y abrir una solicitud de crédito alojada en el checkout. El widget transmite datos de visita y de transacción a servidores de Affirm en Estados Unidos, lo que activa obligaciones completas de RGPD y ePrivacy para comercios europeos.
Affirm es una plataforma de pago aplazado y financiación en el punto de venta operada por Affirm Holdings, Inc., empresa cotizada con sede en San Francisco. A diferencia de los productos cortos en cuatro cuotas, Affirm ofrece préstamos de unas semanas a varios años, con interés visible y verificación de crédito ligera o profunda según la oferta. Los comercios integran Affirm mediante affirm.js, que muestra el widget de cuotas en las páginas de producto y abre una solicitud de crédito alojada en el checkout.
En las páginas de producto, Affirm recoge IP, User Agent, URL, importe del carrito e identificador del comercio mediante el script del widget, y fija cookies de analítica y antifraude. Durante la solicitud de crédito, recoge nombre, fecha de nacimiento, dirección, teléfono, correo, los últimos dígitos de un identificador nacional, datos laborales y una verificación bancaria. Affirm consulta burós de crédito y bases antifraude para tomar la decisión y comparte el resultado con el comercio.
Las cookies de Affirm fijadas en páginas de categoría y producto no son estrictamente necesarias y exigen consentimiento conforme al artículo 5.3 de la directiva ePrivacy. La solicitud de crédito en el checkout se ampara en el artículo 6.1.b RGPD por ser necesaria para celebrar un contrato pedido por el interesado. El scoring automatizado se rige por las garantías del artículo 22 RGPD: información, derecho a intervención humana y a impugnar la decisión. Las transferencias a EE. UU. activan el capítulo V.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Para el widget de marketing y las cookies analíticas fijadas antes del checkout, sí: el script affirm.js debe quedar tras el gestor de consentimiento. Dentro del checkout, cuando el usuario haya elegido Affirm como opción de financiación, el tratamiento de la solicitud puede sostenerse en el contrato. La información de privacidad debe describir con claridad qué datos se envían a Affirm y que la decisión es automatizada.
Affirm Holdings, Inc. es responsable estadounidense y trata los datos en infraestructura situada en EE. UU. Affirm se ha autocertificado en el Marco de Privacidad de Datos UE EE. UU., aportando una decisión de adecuación para los flujos. Además publica cláusulas contractuales tipo para clientes internacionales y describe cómo gestiona las solicitudes de acceso por autoridades estadounidenses al amparo de FISA 702. Los comercios deben referenciar estos mecanismos en su política de privacidad.
Bloquee el widget de Affirm con su CMP, documente la integración en el registro de actividades, realice una EIPD que cubra la decisión automatizada y la transferencia UE EE. UU. y firme el acuerdo adecuado con Affirm (corresponsabilidad o encargo según el modelo). Actualice la política de privacidad con categorías de datos, bases jurídicas, mecanismo CCT o DPF y los derechos vinculados al artículo 22.
Websites using Affirm must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD siempre que se integre Affirm. El tratamiento implica decisiones automatizadas de crédito, datos financieros, perfilado antifraude y transferencias sistemáticas a Estados Unidos, tres de los nueve criterios del WP29 para alto riesgo. Documente necesidad, proporcionalidad y salvaguardas (puerta de consentimiento, mecanismo de transferencia, plazos de conservación).
Sample consent text
Utilizamos Affirm para mostrar planes de pago y procesar solicitudes de crédito. Esto fija cookies y comparte tu dirección IP y datos de transacción con Affirm Holdings, Inc. en Estados Unidos. ¿Aceptas?
Third-party domains contacted
affirm.comcdn-assets.affirm.comapi.affirm.comtracker.affirm.comwww.affirm.comcdn1.affirm.comsift.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _affirm_session | third party | Session | Maintains the user session between the merchant site and the Affirm hosted application flow. |
| affirm_sift_session_id | third party | 1 year | Sift fraud detection session identifier used by Affirm to score risk on incoming credit applications. |
| mp_<token>_mixpanel | third party | 1 year | Mixpanel analytics cookie set on affirm.com to measure the funnel of the credit application. |
| _ga | third party | 2 years | Google Analytics first party cookie set on affirm.com to track usage of Affirm marketing and merchant facing pages. |
| csrftoken | third party | 1 year | Cross site request forgery protection token used during the hosted credit application flow. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
El widget fija cookies como _affirm_session, affirm_sift_session_id (identificador antifraude proporcionado por Sift) y varias cookies analíticas (Mixpanel, Google Analytics) en dominios de Affirm. Estas cookies no son estrictamente necesarias en un sitio de comercio y requieren consentimiento conforme a las normas ePrivacy y la LSSI.
Sí, para el widget de cuotas mostrado en categorías y productos, y para las cookies analíticas que el script desencadena. Dentro del checkout, una vez elegido Affirm, el tratamiento puede sostenerse en el contrato, pero la capa de consentimiento ya debe haber clasificado esas cookies como marketing o funcionales.
Contrato (art. 6.1.b RGPD) para la solicitud de crédito, interés legítimo (art. 6.1.f) para la prevención del fraude mediante Sift y la modelización del riesgo, y consentimiento (art. 6.1.a) para cookies no esenciales y widgets de marketing. La decisión automatizada exige las garantías del artículo 22.
Sí. Affirm es responsable estadounidense y procesa todo en EE. UU. Affirm se ha autocertificado en el Marco de Privacidad de Datos UE EE. UU. y ofrece cláusulas contractuales tipo. Ambos deben citarse en la política del comercio junto con la lista de destinatarios.
En la mayoría de los casos sí. El scoring crediticio automatizado sobre cualquier cliente que llegue a una ficha de producto activa varios criterios de EIPD. La evaluación debe cubrir los flujos, la lógica de decisión, los derechos del art. 22 y las salvaguardas para las transferencias internacionales.
Bloquee affirm.js hasta el consentimiento, aísle el flujo de financiación tras una elección explícita del usuario, firme los instrumentos contractuales necesarios con Affirm y actualice la política. Avise al usuario cuando vaya a producirse una decisión automatizada y explique cómo solicitar revisión humana.
Para comercios europeos, Klarna, Alma, Scalapay, Sequra o Cofidis ofrecen servicios BNPL regulados con mayor presencia en la UE. Conservan sus propias obligaciones de privacidad, pero a menudo tratan datos dentro de la UE. Las soluciones de financiación tradicionales a través de bancos asociados siguen disponibles para compras de alto importe.
Añada una entrada en Marketing o Funcional. Liste las cookies relevantes (_affirm_session, affirm_sift_session_id, cookies analíticas), el proveedor (Affirm Holdings, Inc., San Francisco, USA), la finalidad (renderizado del widget, prevención de fraude, analítica) y el mecanismo de transferencia (DPF UE EE. UU. o cláusulas tipo).