¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Tomi.ai

¿Qué hace TomiAI?

TomiAI es una plataforma de marketing con IA que predice intención de conversión, riesgo de churn y puntuaciones de audiencia a partir del comportamiento web y de datos CRM, con un SDK JavaScript que captura eventos y una API de scoring que impulsa personalización, lead scoring y activación de audiencias.

Qué es TomiAI

TomiAI es una plataforma de inteligencia artificial para marketing que ayuda a las marcas a predecir intención de conversión, riesgo de churn y afinidad de audiencia a partir de comportamiento web, datos CRM e historial transaccional. El producto ofrece un SDK JavaScript que captura eventos en el sitio del anunciante, conectores de servidor con Shopify, HubSpot y Salesforce y una API de scoring que devuelve puntuaciones predichas y audiencias recomendadas. Los equipos de marketing lo usan para personalizar la home y fichas de producto, exportar audiencias a plataformas publicitarias y priorizar leads en el CRM.

Cookies y captura de eventos

TomiAI se implementa con un SDK JavaScript que escribe una cookie first-party con el identificador de visitante TomiAI y reenvía páginas vistas, envíos de formularios, añadidos al carrito, registros y compras al endpoint de ingestión. A los eventos se pueden añadir correos con hash e identificadores de CRM para emparejamiento entre dispositivos. La cookie tiene larga duración y persiste el identificador entre sesiones, por lo que el SDK queda dentro del artículo 5(3) ePrivacy y se requiere consentimiento previo antes de cargarlo para personalización, scoring y activación de audiencias con IA.

Roles RGPD y obligaciones de IA

Cuando una marca utiliza TomiAI, la marca es responsable y TomiAI actúa como encargado en virtud del artículo 28 RGPD. Los modelos de IA se entrenan con datos agregados y requieren una base jurídica clara, incluido el consentimiento para el scoring no estrictamente necesario y el interés legítimo con ponderación documentada para algunos casos de scoring CRM. Aplican las directrices del EDPB sobre decisiones automatizadas y perfilado, sobre todo cuando los scores influyen en las ofertas, y el AI Act añade obligaciones de transparencia y una clasificación de riesgo.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentimiento, perfilado y marketing directo

El scoring conductual que sirve para dirigirse a visitantes con mensajes personalizados o audiencias se basa en el artículo 6(1)(a) RGPD, el consentimiento. La recomendación de la CNIL sobre perfilado para prospección y las directrices del EDPB confirman que el almacenamiento de identificadores, la creación de perfiles y la personalización requieren consentimiento previo y que el rechazo debe ser tan accesible como la aceptación. Un scoring CRM estrecho en clientes existentes puede basarse en interés legítimo documentado con un derecho de oposición claro.

Transferencias a EE. UU. y Schrems II

La ingestión y el entrenamiento de IA se ejecutan en EE. UU. para la mayoría de clientes, con residencia opcional en la UE en Fráncfort para el almacén de eventos. Las transferencias deben documentarse con Cláusulas Contractuales Tipo y, cuando TomiAI esté certificada, con el Marco UE: EE. UU. de Privacidad de Datos, además de una evaluación de impacto de transferencias conforme al EDPB. Las medidas adicionales incluyen truncado de IP, hashing, cifrado por campo y conservación corta. Mapee también el acceso de soporte e ingeniería de EE. UU.

Pasos prácticos de cumplimiento

Trate TomiAI como un servicio de perfilado de alto riesgo que requiere consentimiento para usos no estrictamente necesarios. Configure la CMP para cargar el SDK solo tras el consentimiento de personalización y analítica con IA y asegúrese de que ningún evento se envíe antes. Firme el contrato de encargo y el anexo de protección de datos, solicite la lista de subencargados y documente las medidas adicionales. Actualice la política de cookies y la información a interesados con TomiAI, los datos, la conservación y el mecanismo de transferencia. Realice una EIPD antes del go live.

GDPR consent category

Marketing

Websites using TomiAI must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(a) GDPR consent for the behavioural identifiers, scoring cookies, and AI driven personalisation that fall within the scope of ePrivacy Article 5(3) for storage and access on the device. CRM scoring of existing customers based on transactional data can rely on Article 6(1)(b) performance of contract and on Article 6(1)(f) legitimate interest with a documented balancing test, in line with the EDPB direct marketing guidelines and the CNIL position on customer scoring.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, French Data Protection Act and CNIL guidelines on profiling and scoring, German TDDDG, Spanish LSSI and AEPD cookie guidance, UK PECR, EDPB guidelines on automated decision making and profiling, EU AI Act provisions on profiling and high risk uses, EU: US Data Privacy Framework, US state privacy laws including CCPA, CPRA, and the Virginia, Colorado, Connecticut, and Utah laws.

DPIA considerations

Se requiere una EIPD para la mayoría de despliegues de TomiAI, ya que la plataforma realiza perfilado sistemático, scoring automatizado de intención de conversión y churn y combina comportamiento web con datos CRM y transaccionales. Documente categorías de datos, modelos de IA, salidas de scoring, supervisión humana para decisiones de alto impacto y medidas adicionales para transferencias a EE. UU. Consulte las directrices del EDPB sobre decisiones automatizadas y perfilado, la posición de la AEPD y la CNIL y la clasificación del AI Act.

Sample consent text

Utilizamos TomiAI para predecir sus intereses y personalizar nuestras comunicaciones. Con su consentimiento, establecemos una cookie first-party y enviamos sus interacciones en este sitio a la API de scoring de TomiAI en Estados Unidos para calcular puntuaciones de audiencia e intención. Puede modificar o retirar su elección en cualquier momento desde el enlace de configuración de cookies del pie de página.

Technical details

Tracking methodJavaScript SDK loaded on advertiser sites that captures pageviews, form submits, add to cart, signups, and purchase events, sets a first-party cookie with a TomiAI visitor identifier, and forwards events to the TomiAI scoring API. Server side ingestion accepts CRM exports through secure file uploads and webhook integrations with Shopify, HubSpot, and Salesforce, where AI models score conversion intent, churn risk, and recommended audiences.

Server locationUnited States and European Union, with TomiAI processing event data and AI scoring on Amazon Web Services regions in the United States and selectively in Frankfurt for European customers. Customers can request EU data residency for the event store, but the AI training pipeline and historical reporting may still rely on US infrastructure depending on the contract.

Data transferred outside the EUVisitor event payloads, IP addresses, hashed email addresses, behavioural scores, and CRM uploads can be processed by TomiAI on infrastructure located in the United States. Transfers rely on Standard Contractual Clauses and on the EU: US Data Privacy Framework where TomiAI is certified, with supplementary measures such as IP truncation and field level encryption that the controller can enable. Customers on the EU residency tier limit the bulk of processing to Frankfurt, but support and engineering access from the United States remains in scope.

Third-party domains contacted

tomi.aiapi.tomi.aievents.tomi.aicdn.tomi.aiapp.tomi.ai

Cookies placed

Name	Type	Duration	Purpose
_tomi_uid	first_party	1 year	First-party identifier set by the TomiAI SDK to recognise the visitor across sessions and to feed AI scoring and audience activation.
_tomi_sess	first_party	Session	Short-lived cookie used by the TomiAI SDK to group events of the current visit before they are sent to the scoring API.
_tomi_consent	first_party	6 months	Stores the visitor consent state shared with the TomiAI SDK so that scoring and personalisation only run after consent.
_tomi_aud	first_party	180 days	Caches the audience and intent scores returned by TomiAI for the current visitor to power on site personalisation.

TomiAI instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿TomiAI pone cookies?

Sí. TomiAI establece una cookie first-party con el identificador de visitante de TomiAI, persiste al visitante entre sesiones, enlaza eventos con un perfil y alimenta los modelos de scoring con IA. La cookie no es estrictamente necesaria porque impulsa perfilado, personalización y activación de audiencias, así que se aplica el artículo 5(3) ePrivacy y se requiere consentimiento previo para cargar el SDK.

¿Es necesario el consentimiento en la UE?

Sí para las funciones de scoring conductual, personalización y activación de audiencias, que almacenan identificadores y construyen un perfil. Un scoring CRM estrecho en clientes existentes puede basarse en interés legítimo documentado, pero el SDK web por defecto requiere consentimiento del artículo 6(1)(a) RGPD recabado mediante una CMP conforme.

¿Qué base legal aplica a TomiAI?

El SDK web se basa en el artículo 6(1)(a) RGPD, el consentimiento. El scoring CRM en clientes existentes puede basarse en el artículo 6(1)(b), ejecución del contrato, o en el artículo 6(1)(f), interés legítimo, con ponderación documentada. No deben enviarse categorías especiales sin una base específica del artículo 9.

¿A dónde se envían los datos?

La mayor parte del tratamiento se realiza en Amazon Web Services en EE. UU., con residencia opcional en la UE en Fráncfort para el almacén de eventos. Las transferencias se basan en Cláusulas Contractuales Tipo y en el Marco UE: EE. UU. de Privacidad de Datos cuando TomiAI está certificada, y en una evaluación de impacto con medidas adicionales como truncado de IP y cifrado por campo.

¿Necesito una EIPD antes de usar TomiAI?

Sí. La plataforma realiza perfilado sistemático, scoring con IA y combina comportamiento web con datos CRM, lo que las directrices EIPD del EDPB y las listas de la AEPD y la CNIL identifican como tratamiento de alto riesgo. Documente categorías de datos, modelos, supervisión humana y medidas adicionales y considere la clasificación del AI Act.

¿Cómo aplicar el bloqueo por consentimiento?

Configure en la CMP una finalidad de personalización y scoring con IA y cargue el SDK de TomiAI solo tras el consentimiento de esa finalidad. Asegúrese de que no se establece ninguna cookie first-party antes del consentimiento y de que el identificador de visitante se genera solo tras el opt in. Haga el rechazo tan accesible como la aceptación y documente la configuración.

¿Qué alternativas si se rechaza?

Si se rechaza, recurra a contenidos no personalizados y a un scoring CRM agregado basado únicamente en datos transaccionales. El scoring del lado servidor en clientes existentes funciona sin eventos web y la personalización puede basarse en el contexto y las categorías de contenido en lugar de identificadores. El SDK de TomiAI no se carga, no se escribe ninguna cookie y no se envía ningún evento.

¿Cómo reflejar TomiAI en la política de cookies?

Indique a TomiAI como encargado para scoring conductual, personalización y activación de audiencias con IA. Describa la cookie que pone, su duración y finalidad, y mencione las categorías de eventos capturadas por el SDK. Indique la transferencia a EE. UU., cite el Marco UE: EE. UU. de Privacidad de Datos y las CCT y enlace la política de privacidad de TomiAI. Indique los canales para ejercer derechos.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note