¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Upstack Data es una plataforma de datos en servidor para Shopify y otras tiendas online, que captura eventos de conversión y los reenvía a destinos publicitarios y analíticos como Meta, Google, TikTok y Pinterest, normalmente a través de un proxy inverso en primera parte.
Upstack Data es una plataforma de conversión en servidor orientada a Shopify y otras pilas de comercio electrónico. Captura vistas de página, vistas de producto, añadidos al carrito, checkout y compras, y los reenvía a destinos publicitarios y analíticos mediante API servidor a servidor como la Conversions API de Meta, Enhanced Conversions de Google Ads, Events API de TikTok y Conversions API de Pinterest. Un pequeño script de carga se ejecuta en la tienda, mientras que los eventos de pedido se leen desde los webhooks de Shopify. Muchos comercios europeos instalan el loader a través de un proxy inverso en su propio dominio para que el endpoint visible coincida con el origen del comercio.
Aunque la arquitectura sea en servidor, Upstack Data sigue dependiendo de identificadores de navegador para enlazar sesiones y conversiones. Lo habitual es una cookie de identificador en primera parte, las cookies publicitarias clásicas como _fbp para Meta, e identificadores hash de cliente como correo o teléfono derivados del checkout. Además, procesa la dirección IP, el agente de usuario, el número de pedido, las líneas y el importe. Como el proxy se sirve desde un subdominio en primera parte, las cookies se escriben con los atributos SameSite y Secure del dominio principal, lo que prolonga su vida efectiva en navegadores que limitan el almacenamiento de terceros.
Que el procesamiento sea en servidor no significa que no haga falta consentimiento. El artículo 5(3) de la Directiva ePrivacy y la guía de la AEPD sobre cookies exigen consentimiento previo para cualquier lectura o escritura de identificadores en el terminal, con independencia del lugar del tratamiento posterior. La transmisión de correos hash, IP y datos de pedido a Meta, Google, TikTok o Pinterest constituye un tratamiento de datos personales según el artículo 4 del RGPD, a menudo en corresponsabilidad cuando se forman audiencias publicitarias. Es necesaria una base jurídica documentada, en la práctica el consentimiento, e información clara en la política de privacidad.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La infraestructura de Upstack Data corre en AWS en Estados Unidos y la mayoría de destinos publicitarios son responsables estadounidenses. Las transferencias se apoyan en Cláusulas Contractuales Tipo y, cuando el destinatario está certificado, en el Marco UE: EE. UU. de Privacidad de Datos. Tras Schrems II, los responsables deben realizar una evaluación de impacto de las transferencias, valorar medidas adicionales como truncado de IP, hash de identificadores antes del envío y minimización de las cargas, y mantener esa documentación a disposición de la autoridad de control.
Las etiquetas no deben dispararse ni el proxy debe reenviar eventos de marketing hasta que el usuario haya consentido publicidad y analítica. Integre Upstack Data con su plataforma de gestión del consentimiento para que el loader lea la señal TCF o personalizada, condicione cada destino y no escriba cookies no esenciales antes del opt in. La página de confirmación de pedido debe respetar la misma lógica, ya que el evento posterior a la compra es el más valioso y sensible que se envía a las API publicitarias.
Incluya Upstack Data y cada destino en su registro de actividades y en la política de cookies, con categorías de datos, conservación y mecanismo de transferencia. Realice una evaluación de impacto antes del lanzamiento, formalice un contrato de encargado del tratamiento con subencargados declarados y verifique que los identificadores hash solo se envían tras el consentimiento. Pruebe el proxy inverso con consentimiento denegado para confirmar que ningún evento de marketing sale del dominio.
Websites using Upstack Data must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una evaluación de impacto porque Upstack Data combina seguimiento de conversiones en servidor, enriquecimiento de audiencias publicitarias y transferencias a Estados Unidos. Documente las categorías de eventos e identificadores, la arquitectura del proxy inverso, el uso de Cláusulas Contractuales Tipo y del Marco UE: EE. UU. de Privacidad de Datos por destino, así como los plazos de conservación de los registros. La AEPD y el EDPB exigen además una evaluación de impacto de las transferencias cuando Meta, Google, TikTok o Pinterest reciben señales enriquecidas.
Sample consent text
Utilizamos Upstack Data para enviar eventos de conversión a socios publicitarios y analíticos mediante una cadena en servidor, incluidas transferencias a Estados Unidos. Con su consentimiento compartimos identificadores hash, así como datos de carrito y pedido, para medir las campañas y afinar las audiencias. Puede aceptar, rechazar o cambiar su elección en cualquier momento desde el enlace de configuración de cookies en el pie de página.
Third-party domains contacted
upstackdata.comapi.upstackdata.comcdn.upstackdata.comgraph.facebook.comgoogleads.g.doubleclick.netbusiness-api.tiktok.comct.pinterest.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _uc_visitor | first_party | 1 year | Persistent first-party identifier set by the Upstack Data loader to stitch sessions and conversions across pages and channels. |
| _uc_session | first_party | 30 minutes | Session cookie used by Upstack Data to group events that belong to the same visit and to deduplicate server-side calls. |
| _fbp | first_party | 90 days | Meta browser identifier dropped via the Upstack Data integration and forwarded to the Meta Conversions API for ad attribution. |
| _gcl_au | first_party | 90 days | Google Ads conversion linker cookie written through the Upstack Data loader to support Enhanced Conversions and attribution. |
| _ttp | first_party | 13 months | TikTok pixel identifier set on the merchant domain by the Upstack Data integration to associate visits with TikTok ad campaigns. |
| _pin_unauth | first_party | 1 year | Pinterest identifier deployed via Upstack Data to attribute conversions sent through the Pinterest Conversions API. |
Upstack Data instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Sí. Aunque la mayor parte del tratamiento sea en servidor, Upstack Data escribe una cookie de identificador en primera parte para enlazar sesiones y reenviar eventos, y los destinos como Meta o Google siguen colocando sus propias cookies a través de la integración. Como esos identificadores se almacenan en el dispositivo, se aplica el artículo 5(3) de la Directiva ePrivacy y se requiere consentimiento previo.
En la práctica casi siempre. El servidor solo cambia dónde se procesa la solicitud, no el hecho de que se almacenen identificadores en el terminal ni de que se compartan datos personales con socios publicitarios. AEPD, CNIL y BfDI han confirmado que un proxy en servidor no esquiva la regla del consentimiento.
Los eventos de marketing enviados mediante Upstack Data a Meta, Google, TikTok o Pinterest se basan en el artículo 6(1)(a) del RGPD, es decir, el consentimiento. Las plataformas actúan como corresponsables o responsables independientes según el destino y la mayoría exige una atestación de que se ha recogido el consentimiento. El interés legítimo no suele ser adecuado para creación de audiencias publicitarias según las directrices del EDPB.
Pueden serlo con las garantías adecuadas. Upstack Data se aloja en AWS en Estados Unidos y la mayoría de destinos son responsables estadounidenses, por lo que las transferencias se apoyan en CCT y, si el destinatario está certificado, en el Marco UE: EE. UU. de Privacidad de Datos. El responsable debe realizar una evaluación de impacto de las transferencias y documentar medidas como hash de identificadores y minimización de IP.
Es muy recomendable. La combinación de seguimiento masivo de comercio electrónico, enriquecimiento de audiencias y transferencias a Estados Unidos cumple varios criterios de las directrices del EDPB. La evaluación debe describir los flujos a través del proxy inverso, los destinos, la base legal, la conservación y el riesgo residual tras medidas de consentimiento y minimización.
Conecte Upstack Data con su plataforma de gestión del consentimiento para que el loader lea la señal antes de inicializar y la respete por destino. Configure la plataforma para suspender los eventos de marketing si se rechaza la publicidad y volver a una analítica anónima si solo se acepta estadística. Pruebe la página posterior a la compra con rechazo para verificar que no se envían eventos a Meta, Google o TikTok.
Si se rechaza, limite Upstack Data al tratamiento estrictamente necesario del pedido o desactívelo. Puede mantener informes agregados sin identificador desde Shopify Analytics o una herramienta analítica respetuosa con la privacidad y apostar por publicidad contextual. Algunos comercios implementan una medición de conversión solo en servidor sin identificador del terminal sobre la base del interés legítimo, con balance documentado.
Indique Upstack Data como plataforma de datos en servidor, mencione el proxy inverso en un subdominio en primera parte y describa las cookies, su duración y finalidad. Detalle destinos como Meta, Google, TikTok y Pinterest, las categorías de datos compartidos, la base jurídica, el uso de CCT y del Marco UE: EE. UU. de Privacidad de Datos, así como los canales para ejercer los derechos de las personas.