Elido
Blog
13 min de lecturaComparativas

Los mejores acortadores de URL de la UE en 2026 (y por qué importa)

Qué acortadores de URL realmente se alojan en la UE, cómo son sus listas de subprocesadores y cómo leer una declaración de residencia frente a la infraestructura subyacente

Sasha Ehrlich
Compliance · EU residency
Comparison matrix of EU URL shorteners by hosting region, sub-processor count, EU-only contract clause, and self-host availability

La frase "acortador de URL de la UE" se usa con poco rigor. Dos cosas deben quedar claras antes de que examine el mercado: un proveedor con sede en la UE no necesariamente procesa datos en la UE, y un proveedor que procesa datos en la UE no necesariamente expone eso como una cláusula contractualmente vinculante. La pregunta del comprador - "¿puedo exigir, por escrito, que los datos personales sobre mis sujetos de la UE permanezcan dentro del EEE?" - colapsa estas distinciones y espera una respuesta de sí o no.

Este post es una lectura operativa de cumplimiento sobre qué acortadores de URL realmente cumplen ese listón en 2026, cómo es su infraestructura subyacente y cómo leer una declaración de residencia frente a la realidad operativa. He mantenido las afirmaciones a lo que es verificable desde fuentes públicas - páginas de precios, listas de subprocesadores, páginas de seguridad, DPAs estándar disponibles bajo petición. Donde la postura de un proveedor es ambigua, lo he dicho.

Sí, Elido es una de las opciones. Seré específico sobre las compensaciones frente a las alternativas en lugar de pasar por encima de ellas.

Qué significa realmente "acortador de la UE"#

Tres capas, y un proveedor puede afirmar "UE" en cualquiera de ellas. No son equivalentes.

Entidad legal. La empresa está constituida en un estado miembro de la UE. Esta es la afirmación más fácil de verificar (Companies House, el registro mercantil local) y la menos operativamente significativa. Un proveedor con sede en Berlín que aloja en AWS US-East está en la UE como cuestión corporativa y fuera de ella como cuestión de procesamiento de datos.

Región de alojamiento. Los datos se procesan en infraestructura ubicada en la UE/EEE. Esta es la afirmación operativamente significativa. Es más difícil de verificar directamente - tienes que leer la lista de subprocesadores e identificar la región del hyperscaler - pero es la afirmación que a tu DPO realmente le importa.

Cláusula contractual de residencia. El contrato del cliente o el DPA incluye un compromiso vinculante de que los datos no saldrán de la UE/EEE sin aviso y consentimiento. Esto es lo que usa el departamento de compras para satisfacer las obligaciones frente al regulador. Sin esta cláusula, incluso un proveedor que casualmente aloja en la UE hoy puede enrutar a una región de EE.UU. el próximo trimestre sin incumplir el contrato.

Un acortador serio de la UE supera las tres. Un proveedor que solo supera la primera o la segunda es lo que se vende bajo el eufemismo "amigable con la UE".

El cornerstone GDPR para acortadores de URL cubre la base a nivel de artículo de por qué importan estas distinciones; este post se centra en el panorama de proveedores.

Cómo leer una lista de subprocesadores#

Cada SaaS serio publica una lista de subprocesadores. La lista es el artefacto que tu DPO leerá; también es la señal más fiable de cómo el proveedor realmente piensa sobre la cuestión de la residencia.

Qué buscar:

  • Regiones de hyperscaler nombradas. "AWS" por sí solo es insuficiente; "AWS eu-central-1" es la respuesta utilizable. Lo mismo para GCP (europe-west1) y Azure (westeurope, germanywestcentral).
  • Comportamiento de región del CDN. Cloudflare y Fastly son globales por defecto. El proveedor debería documentar si se aplica el subconjunto de la UE (Regional Services de Cloudflare es la opción de plano de datos solo de la UE), o si el CDN se deja en su postura de enrutamiento global por defecto.
  • Proveedores de email y notificación. Postmark, SendGrid, Mailgun, Resend - la mayoría están alojados en EE.UU. Si están en la lista de subprocesadores, el email transaccional contiene identificadores de sujetos de la UE (la dirección de email del destinatario), y la declaración de residencia tiene que incluir esos proveedores o excluir el email transaccional del alcance de la declaración.
  • Proveedores de pago. A menudo alojados en EE.UU. (Stripe es el obvio). Para SaaS B2B, esto suele estar bien - los datos compartidos son el contacto de facturación del comprador, no los datos de clic del usuario final - pero debe revelarse.
  • Número de subprocesadores. Más pequeño es más legible. Una lista de cinco es auditable en una tarde; una lista de cuarenta es una carga de mantenimiento cada vez que el proveedor añade uno.

La lista es la señal. Un proveedor que no te muestre su lista de subprocesadores no tiene nada que añadir a la conversación.

La lista corta#

Cómo se ve el segmento alojado en la UE al momento de escribir esto. He agrupado por modelo de despliegue porque las implicaciones contractuales son diferentes.

Matriz de postura de la UE clasificada para Elido, Capsulink, Switchy, Bitly, Rebrandly y Short.io, puntuando cada uno en cláusula de residencia en la UE, DPA prefirmado, número de subprocesadores, atestaciones y región de alojamiento, con la fila de Elido resaltada en la parte superior

SaaS alojado, región de la UE por defecto#

Estos son acortadores comerciales que procesan los datos del cliente en la UE como su postura por defecto, con un compromiso de residencia documentado contractualmente.

Elido. Región de la UE por defecto. Los clientes Business+ pueden fijarse en EE. UU. Este o Asia-Pacífico donde su perfil de tráfico lo exija. La lista de subprocesadores es de cinco proveedores en total, publicada en /trust. El DPA está prefirmado en el contrato estándar del cliente; las obligaciones del Artículo 28 se abordan sin negociación. Certificado ISO 27001; SOC 2 Type II en progreso (objetivo H2 2026). Edición autoalojada bajo Apache 2.0 para organizaciones que quieren control completo del plano de datos. Divulgación: trabajo para Elido.

Capsulink (capsulink.com). Con sede en Vilna, Lituania. La región de alojamiento está documentada como UE; la lista de subprocesadores es razonablemente pequeña. Superficie de funcionalidades más pequeña que los acortadores comerciales establecidos - ligero en profundidad de reglas de enlaces inteligentes y reenvío de conversiones del lado del servidor - pero la postura de residencia es limpia para equipos cuyo caso de uso es acortamiento de enlaces directo con dominios de marca.

Switchy (switchy.io). Con sede en Chipre, alojado en la UE. Más fuerte en el lado de funcionalidades de marketing (superposiciones de CTA, píxeles de retargeting). La cláusula de residencia está en el contrato estándar; los subprocesadores están documentados bajo petición en lugar de publicados.

Deliberadamente no he listado cada acortador que comercializa a compradores de la UE - solo aquellos donde he verificado personalmente la región de alojamiento y he visto una cláusula de residencia en el contrato. Varios otros proveedores se describen a sí mismos como "amigables con la UE" mientras se asientan en infraestructura de EE.UU.; el proceso de descubrimiento del lado del comprador siempre debe incluir la pregunta del subprocesador en la primera llamada.

SaaS alojado, EE.UU. por defecto con regiones de la UE disponibles#

Los acortadores más grandes que operan principalmente en EE.UU. pero tienen alguna postura en la UE.

Bitly está alojado en EE.UU. al momento de escribir. Su página pública de subprocesadores lista US-East como primario. Los clientes empresariales pueden negociar cláusulas de residencia de la UE pero es una conversación de contrato personalizada en lugar de una oferta estándar. Implicación práctica: si tu comprador requiere residencia de la UE en el contrato, espera un ciclo de compras de seis a ocho semanas por parte de Bitly. El post Elido vs Bitly cubre el compromiso del lado del costo en detalle.

Rebrandly tiene su sede en Italia pero aloja en AWS en regiones que abarcan EE.UU. y la UE. El contrato estándar no incluye una cláusula solo de la UE; está disponible bajo petición para clientes empresariales. Mismo caveat de compras.

Short.io tiene su sede en Estonia (una señal significativa - las empresas estonias son nativas de GDPR en virtud de operar desde un estado miembro) pero aloja en AWS sin un pin de región publicado en el contrato estándar. La conversación de residencia está abierta a negociación; el contrato por defecto no la vincula.

Estoy describiendo lo que es verificable desde materiales públicos. Si estás en la etapa de compras, pide al equipo de ventas de cada proveedor la lista estándar de subprocesadores y el lenguaje de la cláusula de residencia directamente. Los proveedores que no puedan suministrar ambos dentro de un día laborable están señalando algo sobre su preparación para compras.

Autoalojado#

Para organizaciones que quieren el plano de datos en su propia VPC - servicios financieros con requisitos regulatorios de localidad de datos, compradores del sector público, sistemas sanitarios - el autoalojamiento es la respuesta más limpia a la cuestión de residencia.

Elido autoalojado. Helm chart Apache 2.0; trae tu propia base de datos, almacén de analítica y caché, además de tu KMS. El mismo código que ejecuta el servicio alojado ejecuta el autoalojado. Documentamos el despliegue en la guía de autoalojamiento y el Helm chart en el repositorio público.

YOURLS (yourls.org). El acortador autoalojado veterano. Basado en PHP, backend MySQL. Mantenido, pero la base de código refleja su origen de 2009 - enrutamiento de enlaces inteligentes limitado, sin reenvío nativo de conversiones del lado del servidor, y la capa de analytics es rudimentaria. Adecuado cuando tu caso de uso es "infraestructura mínima de enlace corto bajo nuestro control"; no adecuado cuando quieres un acortador rico en funcionalidades.

Shlink (shlink.io). Acortador autoalojado moderno construido en PHP/Symfony. Mantenimiento activo, superficie de funcionalidades decente (enlaces inteligentes, dominios personalizados, API REST), licencia MIT. El equipo tiene su base en España. Un terreno medio razonable si tu caso de uso es autoalojamiento de gama media y tienes la capacidad operativa para ejecutarlo.

Kutt.it (kutt.it). Acortador open-source TypeScript/Node, puede autoalojarse. Superficie de funcionalidades más ligera que Shlink; la versión alojada existe pero es operada por un individuo en lugar de una entidad comercial. Adecuado para equipos muy pequeños.

El patrón de compromiso a través de las opciones open-source: la superficie de funcionalidades es materialmente más ligera que las alternativas comerciales alojadas. Si tus criterios de evaluación incluyen profundidad de reglas de enlaces inteligentes, reenvío de conversiones del lado del servidor, comodines de dominio de marca, SSO/SCIM o un DPA prefirmado, la ruta open-source te deja construyéndolas tú mismo. Si tus criterios son puramente "control mínimo sobre enlaces cortos en nuestra propia VPC", son sólidas.

Qué preguntar a los proveedores#

La forma más rápida de dimensionar la postura de residencia de un acortador es la llamada de descubrimiento. Ocho preguntas, un día laborable, respuestas por escrito.

  1. ¿Cuál es la región de alojamiento para nuevos clientes que firman hoy? Nombra la región del hyperscaler.
  2. ¿Es la región de alojamiento un compromiso contractual en el contrato estándar del cliente, o es una práctica operativa documentada?
  3. ¿El DPA está prefirmado en el contrato estándar, o se negocia por cliente?
  4. ¿Cuántos subprocesadores incluye la cadena estándar de procesamiento? Nómbralos.
  5. ¿Cuál es el SLA de notificación de brechas? (Norma de la industria: 24 horas desde la conciencia hasta la notificación al controlador.)
  6. ¿Cuál es el SLA de borrado del sujeto de datos, y es operativamente alcanzable en el almacén de eventos de clic?
  7. ¿Qué atestaciones independientes tiene el proveedor? ¿Cuándo se cerró la última auditoría?
  8. Si el cliente requiere procesamiento solo en la UE, ¿cuál es el proceso de enmienda del contrato?

Un proveedor que pueda responder esas ocho por escrito el primer día laborable está listo para compras. El proveedor que no puede consumirá semanas de tu ciclo de ventas y puede sacar a la superficie problemas en la firma que no eran obvios desde el principio.

El caveat de Schrems II#

Schrems II (TJUE C-311/18, 2020) invalidó Privacy Shield. Su marco sucesor - el Marco de Privacidad de Datos UE-EE.UU., adoptado en 2023 - restauró un mecanismo de transferencia para organizaciones estadounidenses participantes. Dos caveats importan para la selección de acortador.

El DPF es voluntario. No todos los acortadores con sede en EE.UU. están certificados; revisa la lista de participantes del DPF antes de confiar en él como base de transferencia. Al momento de escribir, varios acortadores principales de EE.UU. no están en la lista, lo que significa que las transferencias bajo el contrato estándar aún dependen de SCCs más una Evaluación de Impacto de Transferencia.

El DPF es a su vez objeto de litigio pendiente. NOYB ha señalado una intención de impugnarlo ante el TJUE. Una sentencia Schrems III es plausible dentro de los próximos 24-36 meses; si llega, el DPF sigue el camino de Privacy Shield y el SaaS alojado en EE.UU. que dependía de él tiene que revertir a SCC-más-TIA de la noche a la mañana. Los compradores que planifican para ese escenario están requiriendo cada vez más contractualmente procesamiento solo en la UE en su plantilla estándar de compras.

La conclusión práctica: un acortador alojado en la UE es una cobertura contra la próxima sentencia Schrems tanto como es una respuesta al régimen legal actual. Los compradores en industrias reguladas - sanidad alemana, datos sanitarios franceses vía certificación HDS, servicios financieros bajo las directrices de la EBA - están haciendo cada vez más explícita esta cobertura.

Cuando la pregunta es "analytics alojados en la UE", no "acortador de la UE"#

Algunos equipos llegan a esta evaluación habiendo decidido que el acortador en sí está bien pero el pipeline de analytics detrás no lo está. El acortador está alojado en la UE; los eventos de clic se exportan a un almacén alojado en EE.UU. para análisis; la declaración de residencia se rompe en la exportación.

La solución es el almacén y el pipeline de exportación, no el acortador. ClickHouse Cloud tiene una región de Frankfurt; BigQuery y Snowflake ambos tienen regiones de Frankfurt; la exportación desde el acortador tiene que configurarse para aterrizar en la región de la UE en lugar de la región por defecto de EE.UU. La guía de exportación de analítica de Elido cubre la configuración; lo mismo aplica a las exportaciones de BigQuery y Snowflake.

Si tu equipo está usando un CDP alojado (Segment, mParticle, RudderStack), aplica la misma pregunta - la mayoría de los CDPs tienen una opción de región de la UE que necesita habilitarse en el momento de creación del workspace y es difícil migrar retroactivamente. Hazlo bien al principio de la evaluación; el costo de adaptación es real.

Dónde aterriza esto#

Flujo de decisión de residencia en la UE: si el plano de datos debe estar en tu propia VPC autoaloja con Elido, Shlink o YOURLS; si necesitas una cláusula solo de la UE en el contrato estándar elige un SaaS por defecto de la UE como Elido, Capsulink o Switchy; si un contrato empresarial es aceptable usa un proveedor por defecto en EE.UU. con una región de la UE; de lo contrario revisa la lista del DPF y confía en SCCs más una evaluación de impacto de transferencia

Para la mayoría de los equipos B2B SaaS que venden a la UE, la cuestión de residencia va a surgir. La plantilla de compras del comprador incluirá la pregunta; el DPO leerá la respuesta; el proveedor que pueda responderla limpiamente en la primera llamada gana tiempo en el ciclo. Para equipos que venden a servicios financieros, sanidad o sector público, la residencia es a veces un filtro de aprobado/no aprobado, no una preferencia suave.

Los acortadores alojados en la UE son un pequeño segmento del mercado. Tres opciones comerciales con superficie de funcionalidades razonable - Elido, Capsulink, Switchy - más las alternativas open-source autoalojadas. Los acortadores más grandes por defecto en EE.UU. (Bitly, Rebrandly, Short.io) pueden generalmente acomodar residencia de la UE en contratos empresariales, con el costo de ciclo de compras que viene con conversaciones de contrato personalizadas.

La versión honesta de "cuál deberíamos elegir" es: haz una lista corta de los tres o cuatro que cumplen tus restricciones de residencia, funcionalidades y precios, envía a cada uno las ocho preguntas de descubrimiento por escrito, firma con el que responda primero y responda las ocho limpiamente. Ese filtro es más decisivo que cualquier checklist de funcionalidades - los proveedores que no pueden manejar el rigor del lado de compras tampoco van a manejar tus escalaciones de soporte al cliente.

Lee el clúster#

Este es un post hermano en el clúster de comparaciones. El cornerstone es Alternativas a Bitly - la verdadera brecha de funcionalidades; ver también Elido vs Bitly para la aritmética de precios. Para el detalle del lado de cumplimiento detrás de la declaración de residencia, GDPR para acortadores de URL es el cornerstone del clúster de cumplimiento. Artefactos orientados a compras: /trust, /solutions/compliance, /solutions/enterprise.

Relacionados en el blog#

Prueba Elido

Pega una URL, obtén un enlace corto

Sin registro. El enlace vive 30 días. Crea una cuenta para conservarlo.

Gratis, sin registro · 2 por día

Prueba Elido

Acortador de URL alojado en la UE: dominios personalizados, análisis profundo y API abierta. Plan gratuito - sin tarjeta de crédito.

Prueba Elido gratisVer precios
Etiquetas
eu url shortener
gdpr url shortener
european url shortener
data residency
self hosted url shortener
schrems ii

Seguir leyendo