¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
AddShoppers es una cooperativa estadounidense de resolución de identidad y marketing por correo electrónico que vincula a los visitantes anónimos de un sitio con direcciones de e mail conocidas mediante un grafo compartido entre cientos de minoristas, y a continuación habilita el retargeting por e mail, la recuperación de carritos abandonados y la personalización on site. Como el servicio realiza una re identificación entre sitios sin conocimiento del interesado, presenta un riesgo muy alto y exige un consentimiento explícito, libre, específico, informado e inequívoco conforme al artículo 7 del RGPD y al artículo 5(3) de la Directiva ePrivacy.
AddShoppers es una empresa estadounidense de tecnología de e commerce con sede en Charlotte (Carolina del Norte) que opera una red cooperativa de resolución de identidad y retargeting por correo electrónico. Cuando un usuario entra en un sitio minorista participante, AddShoppers coloca un píxel y lee una cookie cooperativa compartida. Si el usuario alguna vez ha introducido su correo en cualquiera de los cientos de minoristas de la red, AddShoppers puede re identificar al navegador anónimo, asociar la dirección de e mail conocida y activar correos personalizados, mensajes de carrito abandonado u ofertas on site. Esto difiere fundamentalmente de un proveedor de e mailing tradicional: AddShoppers agrupa identificadores de primera parte entre numerosos responsables del tratamiento, que es precisamente la práctica que el CEPD, la CNIL, la AEPD y la ICO han calificado de muy alto riesgo.
El artículo 7 del RGPD exige un consentimiento libre, específico, informado e inequívoco, y el responsable debe poder demostrarlo (art. 7(1)). Las Directrices 05/2020 del CEPD sobre el consentimiento y el Dictamen 28/2024 del CEPD sobre el interés legítimo dejan claro que un opt in oculto en una política de privacidad o en un banner de cookies genérico no cumple estos requisitos. La resolución de identidad es el caso paradigmático en el que el consentimiento debe ser granular, por capas y no agrupado con otras finalidades. El artículo 5(3) de la Directiva ePrivacy exige además consentimiento previo a cualquier lectura o escritura en el terminal del usuario, lo que cubre tanto el píxel como la cookie cooperativa. Sin un opt in separado y explícito, el despliegue de AddShoppers es casi con toda certeza ilícito en el EEE y en el Reino Unido.
AddShoppers trata los datos en Estados Unidos. Tras Schrems II (TJUE C 311/18), las transferencias a EE. UU. requieren un mecanismo válido (decisión de adecuación EU US Data Privacy Framework de 10 de julio de 2023 o cláusulas contractuales tipo con Transfer Impact Assessment y medidas suplementarias). Los responsables deben verificar que AddShoppers está auto certificado en el DPF, documentar el TIA e informar a los interesados de que sus datos de navegación, su e mail y los atributos inferidos salen del EEE hacia Estados Unidos. Una dirección de e mail combinada con un historial de navegación puede constituir un identificador sensible que activa la vigilancia reforzada de FISA 702 y Executive Order 12333.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La CNIL francesa ha sancionado reiteradamente a actores de adtech e identity graph (decisiones Criteo, Voodoo, Tagadamedia) y exige botones aceptar y rechazar simétricos. La AEPD española ha advertido explícitamente sobre los grafos de identidad que cruzan listas de e mail offline con el comportamiento online. El dictamen de la ICO británica sobre adtech y el informe sobre el uso de datos personales en publicidad online cuestionan directamente la licitud del intercambio cooperativo de identificadores. En EE. UU., la FTC ha tomado medidas contra empresas con intercambio de datos no divulgado e identity stitching (casos InMarket Media, X Mode) y la Sección 5 de la FTC Act prohíbe las prácticas desleales o engañosas.
Un despliegue conforme requiere: (1) una EIPD completa conforme al artículo 35, (2) un opt in separado y granular para la resolución de identidad y el intercambio cooperativo, distinto del banner de cookies, (3) un acuerdo de corresponsabilidad conforme al artículo 26 entre editor, AddShoppers y los miembros de la cooperativa, (4) un Transfer Impact Assessment documentado para las transferencias a EE. UU., (5) avisos actualizados de los artículos 13/14 que nombren a AddShoppers, listen las categorías de destinatarios y expliquen la re identificación, (6) un mecanismo de retirada operativo que propague la oposición a la cooperativa y dispare la supresión del e mail y del grafo, (7) un plazo de conservación limitado (máximo 24 meses recomendado), (8) el respeto de la señal Global Privacy Control y de los derechos de opt out CCPA, (9) el bloqueo del script por defecto hasta recoger el consentimiento. Cuando estas condiciones no puedan cumplirse, la respuesta lícita es no desplegar AddShoppers en el EEE ni en el Reino Unido.
Websites using AddShoppers must obtain user consent under GDPR regulations.
DPIA considerations
AddShoppers activa una EIPD de alto impacto conforme al artículo 35 del RGPD porque combina: (1) vigilancia sistemática en muchos sitios mediante un grafo de identidad cooperativo, (2) re identificación de visitantes anónimos a direcciones de e mail que no compartieron conscientemente con el editor, (3) decisiones automatizadas para targeting de marketing (artículo 22 cuando hay efectos significativos), (4) tratamiento a gran escala de datos de contacto que pueden incluir categorías especiales inferidas de la navegación (artículo 9), (5) transferencias sistemáticas a EE. UU. que requieren, tras Schrems II, medidas técnicas, contractuales y organizativas suplementarias. La EIPD debe evaluar: base jurídica (el consentimiento como única realista), proporcionalidad y necesidad, minimización de datos, corresponsabilidad con la cooperativa conforme al artículo 26, Transfer Impact Assessment, plazo de conservación (máximo 24 meses recomendado), derechos de los interesados incluido el derecho de oposición del artículo 21 y el derecho a no ser objeto de elaboración de perfiles automatizada. El Dictamen 28/2024 del CEPD, las directrices de la CNIL, la guía de la AEPD sobre identity graphs y el dictamen de la ICO sobre adtech concluyen que la resolución de identidad no puede basarse en el interés legítimo. Se exige un segundo consentimiento granular para el pooling cooperativo.
Sample consent text
Utilizamos AddShoppers, una cooperativa estadounidense de resolución de identidad y retargeting por e mail, para reconocerle en nuestro sitio y enviarle correos personalizados (incluidos recordatorios de carrito abandonado) usando su dirección de e mail compartida por otros minoristas de la red AddShoppers. Sus datos de navegación y su e mail se transfieren a EE. UU. y se agrupan con cientos de otros minoristas. La base jurídica es su consentimiento explícito conforme al artículo 7 del RGPD y al artículo 5(3) ePrivacy. Puede retirar su consentimiento en cualquier momento sin afectar a los tratamientos previos y oponerse conforme al artículo 21. ¿Consiente la resolución de identidad y el retargeting por e mail por parte de AddShoppers y su cooperativa de minoristas?
Third-party domains contacted
addshoppers.comwww.addshoppers.comfastapi.addshoppers.comapi.addshoppers.comshop.pecdn.shop.pestatic.shop.petags.shop.pepixel.addshoppers.comrum.addshoppers.comedge.addshoppers.comcollect.addshoppers.comoptout.addshoppers.comprivacy.addshoppers.comcdn.addshoppers.comsafeoptr.comcdn.safeoptr.comsafeopt.coma.safeopt.comaddshoppers-prod.s3.amazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _AddShoppers | http_cookie | 1 year | Primary AddShoppers identifier used to track the visitor across participating retailer sites in the cooperative network. This is the cornerstone of the identity graph: the same value is read on every member site, enabling cross site re identification. Requires explicit consent under ePrivacy Article 5(3) and is the cookie that triggers the very high risk classification under GDPR. |
| _as_visit | http_cookie | Session | Session level cookie used by AddShoppers to track a single browsing session on the publisher site (page views, products viewed, cart events). Feeds the cooperative identity graph in real time and supports abandoned cart recovery emails. Consent required under ePrivacy 5(3). |
| _asuid | http_cookie | 2 years | AddShoppers user identifier persisted across sessions. Once the user has been re identified via the cooperative graph and matched to an email address, this cookie binds the email to the browser. Highly intrusive: enables long term cross site tracking and email retargeting. Triggers Article 7 informed consent and Article 26 joint controllership analysis. |
| _as_consent | http_cookie | 1 year | AddShoppers consent state cookie. Records whether the visitor has opted in or opted out of identity resolution and email retargeting. Must reflect the actual choice expressed via the publisher CMP and be respected by the cooperative. |
| _AddShoppers_session | http_cookie | 30 minutes | Short lived session cookie used to deduplicate events and to bind page views to the cooperative identifier. Loaded only after consent is granted. Used in conjunction with the AddShoppers pixel and server to server postback for identity resolution. |
| as_email_match | http_cookie | 24 months | Cookie that stores a hashed email identifier once the cooperative graph has matched the anonymous browser to a known email address. Allows email retargeting and personalization on subsequent visits. Constitutes personal data under GDPR (a hashed email remains identifying when linked back to a browser). |
| _as_attribution | http_cookie | 90 days | Attribution cookie used to credit AddShoppers triggered emails (abandoned cart, browse abandonment, post purchase) when the visitor returns to the site and completes a transaction. Supports closed loop reporting back to the cooperative network. Personal data; consent required. |
| _as_seg | http_cookie | 12 months | Segmentation cookie that stores derived audience labels assigned by the AddShoppers cooperative (high intent buyer, cart abandoner, lifecycle stage, product affinity). Used for on site personalization and email targeting. Inferred attributes from this cookie can constitute special category data under GDPR Article 9 if they reveal sensitive information. |
| as_optout | http_cookie | 10 years | Opt out cookie that records a withdrawal of consent. Long lived to prevent re prompting users who have refused. Must be honored by the AddShoppers pixel and propagated to the cooperative graph for deletion of derived data. |
| _as_dpf | http_cookie | 6 months | Cookie used to record acknowledgement that the visitor has been informed of the US transfer under the EU US Data Privacy Framework and Schrems II. Used as part of the controller documentation of the transfer impact assessment. |
| local_storage_as_id | local_storage | Persistent until cleared | Local storage entry that mirrors the AddShoppers cooperative identifier. Used as a fallback in browsers that restrict third party cookies (Safari ITP, Firefox ETP). Subject to ePrivacy Article 5(3) consent because writing to local storage is treated equivalently to setting a cookie. |
| as_pixel_fp | fingerprint | 6 months | Device and browser fingerprint signal computed by the AddShoppers pixel (user agent, screen, fonts, canvas, language). Used to strengthen cross device matching in the cooperative graph. The CNIL and EDPB consider device fingerprinting an Article 5(3) ePrivacy access to terminal information requiring consent. |
AddShoppers instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
AddShoppers es una tecnología estadounidense de resolución de identidad y marketing por correo electrónico operada por AddShoppers, Inc. (Charlotte, Carolina del Norte). Instala un píxel y una cookie cooperativa en los sitios de minoristas participantes. Cuando llega un visitante, AddShoppers intenta re identificar el navegador anónimo cotejándolo con un grafo de identidad alimentado por cientos de minoristas. Si hay coincidencia, se asocia a la sesión la dirección de e mail (recopilada previamente por otro minorista de la cooperativa), lo que habilita correos personalizados, mensajes de carrito abandonado y ofertas on site. En términos de privacidad realiza tracking entre sitios, resolución de identidad y retargeting por e mail, prácticas calificadas como de muy alto riesgo por el CEPD, la CNIL, la AEPD y la ICO y que requieren consentimiento explícito e informado.
Sí. Se requieren dos capas de consentimiento que no pueden agruparse. Primero, el artículo 5(3) de la Directiva ePrivacy exige consentimiento antes de cualquier lectura o escritura en el terminal del usuario (píxel y cookie cooperativa de AddShoppers). Segundo, los artículos 6(1)(a) y 7 del RGPD exigen un consentimiento libre, específico, informado e inequívoco para el tratamiento subyacente (resolución de identidad, tracking entre sitios, retargeting por e mail y compartición cooperativa). Las Directrices 05/2020 del CEPD sobre consentimiento y el Dictamen 28/2024 del CEPD sobre interés legítimo excluyen el interés legítimo como base para este perfilado intrusivo. Se exige un opt in separado y granular para el pooling con otros minoristas.
AddShoppers trata los datos en Estados Unidos. Tras Schrems II (TJUE C 311/18), las transferencias a EE. UU. solo son adecuadas si el importador está auto certificado bajo el EU US Data Privacy Framework (decisión de la Comisión de 10 de julio de 2023). Si AddShoppers no está certificado en el DPF, las transferencias deben basarse en cláusulas contractuales tipo con medidas suplementarias y una Transfer Impact Assessment que documente el riesgo derivado de FISA 702 y la Executive Order 12333. Los responsables deben verificar la certificación en la lista oficial DPF, documentar el TIA e informar a los interesados conforme a los artículos 13/14 y 44 49.
AddShoppers trata identificadores en línea (cookies, dirección IP, huella de dispositivo y navegador), eventos de navegación (páginas vistas, productos vistos, eventos de carrito) y, tras la re identificación, la dirección de e mail correspondiente del grafo cooperativo y atributos inferidos (intención de compra, afinidad de producto, etapa del ciclo de vida). El pooling implica flujos bidireccionales: el editor aporta señales al grafo y recibe coincidencias de otros minoristas. Bajo el RGPD se trata de una corresponsabilidad conforme al artículo 26 que debe regirse por un acuerdo escrito y divulgarse a los interesados.
Nivel de riesgo: muy alto. Normativa aplicable: RGPD (artículos 5, 6, 7, 9, 13, 14, 22, 26, 44 49), Directiva ePrivacy artículo 5(3), Directrices 05/2020 del CEPD sobre consentimiento, Dictamen 28/2024 del CEPD sobre interés legítimo, Schrems II, EU US Data Privacy Framework, CCPA/CPRA (venta y compartición, Global Privacy Control), Sección 5 de la FTC Act, CAN SPAM Act, directrices de la CNIL sobre cookies y rastreadores, guía de la AEPD sobre identity graphs, dictamen de la ICO sobre adtech y real time bidding.
Los interesados tienen derecho de acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación (art. 18), portabilidad (art. 20) y oposición (art. 21), además del derecho a retirar el consentimiento en cualquier momento (art. 7(3)). En la práctica: el editor debe ofrecer un opt out funcional que propague la retirada a AddShoppers y dispare la supresión de e mail y grafo; AddShoppers debe ofrecer también un opt out directo en su portal de privacidad. Los derechos CCPA/CPRA de opt out de venta y compartición aplican y debe respetarse la señal Global Privacy Control. Las solicitudes de acceso deben recuperar tanto los datos a nivel del editor como las entradas del grafo cooperativo.
Se recomienda un plazo máximo de conservación de 24 meses para el grafo de identidad y los datos comportamentales, con plazos más cortos (6 a 12 meses) para los datos de evento en bruto. Los datos de engagement por e mail solo pueden conservarse mientras el consentimiento marketing siga vigente. La supresión debe propagarse desde el editor a través de AddShoppers a todos los miembros de la cooperativa que contengan datos derivados. Los artículos 5(1)(e) (limitación del plazo de conservación) y 5(1)(c) (minimización) del RGPD exigen una justificación documentada para plazos más largos.
Una implementación conforme requiere: (1) una EIPD completa conforme al artículo 35 que documente el tratamiento de alto riesgo, (2) un opt in granular de dos capas (ePrivacy y RGPD) fuera del banner de cookies estándar, distinto del analytics y de otras herramientas de marketing, (3) un acuerdo escrito de corresponsabilidad conforme al artículo 26 con AddShoppers, (4) una Transfer Impact Assessment documentada para las transferencias a EE. UU., (5) avisos actualizados de los artículos 13/14 que nombren a AddShoppers y expliquen la re identificación y la compartición cooperativa, (6) respeto de GPC, opt out CCPA y un mecanismo de retirada propagado, (7) bloqueo del script por defecto hasta obtener el consentimiento. Si no es posible cumplir estas condiciones, la alternativa lícita es recurrir al e mail marketing first party con captación de consentimiento nativa y un ESP clásico, sin resolución de identidad ni intercambio cooperativo.