¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

SberCRM

¿Qué hace SberCRM?

SberCRM es la plataforma de gestión de relaciones con clientes operada por Sber (PJSC Sberbank), el mayor grupo bancario ruso. Reúne gestión de leads, automatización de marketing, widgets de chat web e integraciones con el ecosistema Sber. Cuando se despliega en un sitio público, el widget de SberCRM establece cookies, captura los envíos de formulario y sincroniza los datos con servidores de Sber en la Federación de Rusia. Como Rusia no cuenta con decisión de adecuación y está sujeta a sanciones internacionales, SberCRM se considera un proveedor de alto riesgo para despliegues europeos.

Qué es SberCRM

SberCRM es la plataforma CRM del grupo Sber (PJSC Sberbank), el mayor banco ruso. Se vende a pymes rusas como un paquete de CRM, automatización de marketing, captación de leads, chat web e integraciones con otros servicios Sber. El producto se opera y aloja en la Federación de Rusia.

Datos que recopila

Cuando el widget de SberCRM se carga en un sitio, establece cookies de terceros (sber_session, sber_uid), captura los campos de formulario enviados, la URL de la página, el referente y un identificador interno de fuente. El token de suscripción a notificaciones push web, cuando se activa, se almacena en servidores de Sber. El perfil completo del lead queda disponible en el back office de SberCRM para activación de marketing y ventas.

RGPD y ePrivacy

Las cookies de SberCRM entran en el artículo 5, 3 ePrivacy y requieren consentimiento previo. La captación de leads y la creación de perfiles entran en el artículo 6, 1, a, RGPD. Como los datos se transfieren a Rusia, se requiere además consentimiento explícito conforme al artículo 49, 1, a, RGPD, con una advertencia clara sobre la falta de adecuación.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Sanciones y riesgos operativos

Sber y varias filiales figuran en regímenes de sanciones de la UE, Reino Unido y EE. UU. Los responsables establecidos en la UE deben verificar que no incumplen las medidas restrictivas al contratar servicios del grupo Sber. Las CCT son difíciles de hacer cumplir frente a una contraparte sancionada, y las autoridades rusas disponen de amplios accesos legales conforme a la Ley Federal 152-FZ y al marco del FSB.

Requisitos de consentimiento

El widget de SberCRM debe estar bloqueado hasta que se obtenga un consentimiento explícito y granular en opt in. El mensaje debe identificar claramente a Sber como operador, a la Federación de Rusia como destino y la falta de decisión de adecuación. Debe existir una opción clara de rechazo y la elección debe ser revocable en cualquier momento.

Pasos prácticos de cumplimiento

Para despliegues europeos, realice un screening de sanciones sobre Sber y los subencargados, documente una evaluación del impacto de la transferencia, prepare un flujo de consentimiento conforme al artículo 49, 1, a, incluya SberCRM en la política de privacidad y de cookies indicando el destino Rusia, limite el widget a casos no sensibles y considere seriamente migrar a un CRM europeo (HubSpot UE, Salesforce Hyperforce UE, Pipedrive, Brevo, Bitrix24 fuera de Rusia).

GDPR consent category

Marketing

Websites using SberCRM must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR + Art. 5(3) ePrivacy Directive) for the cookies set by the SberCRM widget and analytics, plus explicit consent under Article 49(1)(a) GDPR for the transfer to the Russian Federation. Legitimate interest is not admissible.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, EU sanctions framework, Russian Federal Law 152-FZ on personal data, French CNIL guidelines, German TTDSG, Spanish LSSI, Italian Garante guidelines

DPIA considerations

Se requiere una EIPD para cualquier despliegue serio en la UE de SberCRM, debido a la transferencia a un país no adecuado, la integración con la pila publicitaria y de identidad de Sber y la captación sistemática de leads. La EIPD debe abordar el marco de sanciones de la UE y la imposibilidad práctica de hacer cumplir las CCT frente a una contraparte sancionada.

Sample consent text

Este sitio utiliza SberCRM (Sber, PJSC Sberbank, Rusia) para soporte al cliente y gestión de leads. SberCRM establece cookies, captura los datos que usted envía y los transfiere a servidores en la Federación de Rusia, que no cuenta con decisión de adecuación de la UE. Pulse Aceptar solo si entiende y acepta esta transferencia. Puede retirar su consentimiento en cualquier momento.

Technical details

Tracking methodJavaScript widget loaded from sbercrm.com (chat, lead capture, web push subscription), REST API for the CRM back office, optional first party tracking script that records form submissions, page views and visitor source. Synchronisation with Sber group ad and analytics platforms.

Server locationSberCRM is operated by Sber (PJSC Sberbank) and SberDevices. Production data centres are located in the Russian Federation, with replication to other Sber group regions including Moscow, Saint Petersburg and Ural.

Data transferred outside the EUPersonal data is transferred to the Russian Federation. Russia has no GDPR adequacy decision and is on the EDPB list of high risk jurisdictions. Sber group is also subject to international sanctions, which adds operational restrictions. Standard Contractual Clauses are difficult to enforce in practice and explicit consent under Article 49(1)(a) GDPR is required for occasional transfers.

Third-party domains contacted

sbercrm.comcdn.sbercrm.comapi.sbercrm.comsber.ru

Cookies placed

Name	Type	Duration	Purpose
sber_session	session	Session	Session cookie that maintains the SberCRM widget interaction during the visit.
sber_uid	persistent	1 year	Persistent identifier that links visits and form submissions to a unique browser inside the Sber group ecosystem.
sber_chat	persistent	6 months	Stores the open conversation thread of the SberCRM web chat so the visitor can resume it on a later visit.

SberCRM instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies establece SberCRM?

El widget de SberCRM establece cookies de terceros en sus dominios operadores (sber_session, sber_uid, _ya_uid para integraciones con Yandex, sber_chat) utilizadas para identificar un navegador único, mantener la sesión de chat y sincronizar la analítica del grupo Sber.

¿Necesito consentimiento para usar SberCRM?

Sí. Las cookies entran en el artículo 5, 3 ePrivacy y la captación de leads en el artículo 6, 1, a, RGPD. Además, se requiere consentimiento explícito conforme al artículo 49, 1, a, RGPD para la transferencia a la Federación de Rusia, que no cuenta con decisión de adecuación.

¿Cuál es la base jurídica de SberCRM?

Consentimiento para las cookies y la captación de leads, más consentimiento explícito para la transferencia a Rusia. El interés legítimo no es admisible porque el destino no es adecuado, el operador está sancionado en varias jurisdicciones y los flujos alimentan la pila publicitaria y de identidad de Sber.

¿SberCRM transfiere datos a EE. UU. o a Rusia?

Los datos de producción se transfieren a la Federación de Rusia. Rusia no cuenta con decisión de adecuación al RGPD ni con equivalente al DPF, y el grupo Sber está sujeto a sanciones de la UE, Reino Unido y EE. UU. Las CCT son difíciles de hacer cumplir. El consentimiento explícito del artículo 49, 1, a, es por tanto la única base realista para la transferencia.

¿Necesito una EIPD para SberCRM?

Sí para cualquier despliegue serio en la UE. La combinación de perfilado de leads, transferencia a un país no adecuado, exposición a sanciones, cookies persistentes e integración con sistemas de identidad de Sber cumple los umbrales EIPD del WP248 y de las directrices del EDPB.

¿Cómo implemento SberCRM de forma conforme?

Realice primero un screening de sanciones sobre Sber y los subencargados. Si decide seguir, bloquee el widget hasta el consentimiento, prepare un mensaje de consentimiento claro conforme al artículo 49, 1, a, documente una evaluación del impacto de la transferencia, limite el widget a casos no sensibles, incluya SberCRM en la política de privacidad y de cookies y revise la configuración con regularidad. En la mayoría de los casos se recomienda migrar a un CRM europeo.

¿Cuáles son las alternativas a SberCRM?

CRM europeos: HubSpot UE, Salesforce Hyperforce UE, Pipedrive (Estonia), Brevo (Francia), Bitrix24 alojado fuera de Rusia, Zoho UE y Odoo. Estas herramientas evitan la transferencia a Rusia y la zona de sanciones, y varias ofrecen residencia exclusivamente UE.

¿Cómo actualizo la política de cookies para SberCRM?

Mencione SberCRM con el operador (Sber, PJSC Sberbank, Rusia), la finalidad (CRM, gestión de leads, chat web), las cookies (sber_session, sber_uid, sber_chat) y su conservación, la base jurídica (consentimiento y consentimiento explícito artículo 49, 1, a), el destino de la transferencia (Federación de Rusia) y los riesgos residuales (sanciones, falta de adecuación).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note