Elido
Blog
16 min de lecturaCumplimiento
Esencial

Residencia de datos en la UE para herramientas de marketing: lo que realmente pregunta tu DPO

Qué significa 'residencia de datos en la UE' bajo el Artículo 3 del GDPR + Schrems II - dónde se filtran las herramientas de marketing, la solución del lado del servidor y una lista de verificación de procurement

Sasha Ehrlich
Compliance · EU residency
EU border with data-flow arrows staying inside versus crossing to US-hosted marketing tools, with seven leak points highlighted

He revisado muchos cuestionarios de seguridad que comienzan con la misma casilla: "¿Los datos del cliente están alojados en la UE? Sí / No." El proveedor marca Sí. El DPO firma la revisión. Seis meses después, el mismo DPO se da cuenta de que cada evento de clic se enruta a través de un Meta Pixel alojado en EE. UU. y una instancia de HubSpot domiciliada en California, ambos disparándose dentro del navegador del usuario antes de que el borde de la UE de Elido vea siquiera la solicitud.

La casilla era honesta. La respuesta también era incompleta. "Alojado en la UE" en la página de inicio de un proveedor describe dónde se sitúan los servidores propios de la plataforma. No dice nada sobre lo que hace la capa de marketing conectada a esa plataforma con los datos, ni a dónde van, ni qué base legal cubre la transferencia. Esas son las preguntas que un DPO que ha leído el Artículo 3 del GDPR y Schrems II realmente se hace.

Este post es la versión marketer-encuentra-DPO de esa conversación. ¿Dónde comienza y termina la residencia de datos en la UE cuando estás ejecutando seguimiento de enlaces y reenvío de conversiones? ¿Qué cambia legalmente cuando pasas de píxeles del lado del cliente a APIs de conversión del lado del servidor? ¿Y qué debería decir realmente la lista de verificación de procurement?

El post complementario - GDPR para acortadores de URL - cubre las obligaciones a nivel de artículo en su totalidad. Haré referencia cruzada donde sea relevante en lugar de repetir.

TL;DR#

  • "Alojado en la UE" cubre el plano de datos de tu proveedor. No cubre los scripts de marketing del lado del cliente que se disparan en los navegadores de tus usuarios antes de que ocurra la redirección.
  • Schrems II y los Artículos 44–49 del GDPR imponen requisitos reales sobre los datos que fluyen a las plataformas de publicidad y analíticas alojadas en EE. UU. El reenvío de conversiones del lado del servidor mueve la transferencia a la capa servidor-a-servidor pero no elimina la obligación de transferencia.
  • El Artículo 28(2) requiere una lista escrita de subprocesadores. Cinco subprocesadores con regiones nombradas es auditable; cuarenta con entradas vagas es una responsabilidad.
  • La lista de verificación de procurement que sigue cierra la mayoría de las preguntas del DPO en una sola llamada de descubrimiento.

Cuatro piezas de ley hacen la mayor parte del trabajo aquí. Puedes citarlas sin un título de derecho; los números de artículo son cortos.

Artículo 3 del GDPR - ámbito territorial. El Artículo 3(2) aplica el GDPR a cualquier procesamiento de datos de sujetos de la UE por un responsable o procesador establecido fuera de la UE, cuando el procesamiento se relaciona con ofrecer bienes o servicios a sujetos de la UE o monitorizar su comportamiento. "Monitorizar su comportamiento" es el seguimiento de clics. Un proveedor de analíticas alojado en EE. UU. sin entidad en la UE procesa datos personales de sujetos de la UE cada vez que tu enlace dispara su píxel. El Artículo 3 dice que el GDPR se aplica a ese proveedor independientemente de dónde se sitúe. La pregunta de residencia es sobre a dónde van los datos después de que la obligación de procesamiento ya se ha adjuntado.

Artículo 28 del GDPR - obligaciones del procesador. El Artículo 28 rige el contrato entre el responsable y cada procesador en la cadena. Tu plataforma de acortamiento de enlaces, tu herramienta de analíticas, tu proveedor de correo - cada uno debe firmar un DPA que cubra las ocho obligaciones de la (a) a la (h). Un proveedor que no proporcione un DPA pre-firmado te está pidiendo que absorbas su riesgo de cumplimiento. El subpárrafo (2) requiere específicamente que el procesador obtenga la autorización del responsable antes de involucrar subprocesadores, e imponer obligaciones equivalentes a esos subprocesadores por contrato.

Artículos 44–49 del GDPR - transferencias a terceros países. El Capítulo V del GDPR prohíbe transferir datos personales a un tercer país a menos que se aplique uno de los mecanismos enumerados: una decisión de adecuación, Cláusulas Contractuales Tipo, Reglas Corporativas Vinculantes o las derogaciones del Artículo 49. Para las transferencias a plataformas alojadas en EE. UU., el mecanismo predeterminado desde que se adoptó el EU-US DPF en 2023 es SCCs complementadas con la certificación DPF - o el propio Marco de Privacidad de Datos UE-EE. UU. donde el destinatario estadounidense está certificado. Ninguno de los mecanismos elimina el requisito de transferencia; describen cómo satisfacerlo.

Schrems II - TJUE C-311/18. La sentencia Schrems II invalidó Privacy Shield en julio de 2020 y estableció que las transferencias basadas en SCC requieren una Evaluación de Impacto de Transferencia que evalúe si la ley de vigilancia del país de destino negaría a los sujetos de la UE recursos efectivos. La carga de TIA es real y continua. El Marco de Privacidad de Datos UE-EE. UU., adoptado mediante decisión de adecuación de la Comisión en 2023, proporciona un mecanismo actual para los destinatarios estadounidenses certificados DPF, pero es objeto de litigios pendientes - NOYB ha señalado intención de impugnarlo, y las recomendaciones sobre medidas suplementarias del EDPB (01/2020) siguen siendo orientación relevante para los equipos que quieren un régimen de transferencia robusto al próximo juicio de Schrems. Los compradores en sectores regulados están contratando cada vez más procesamiento solo en la UE como cobertura estructural contra el cambio de régimen legal.

Dónde típicamente las analíticas de marketing filtran la residencia de la UE#

La brecha entre "nuestro acortador está alojado en la UE" y "nuestros datos permanecen en la UE" se abre en la capa de marketing del lado del cliente. Seis puntos comunes de fuga.

Meta Pixel (lado del cliente). La implementación estándar del píxel dispara una solicitud GET desde el navegador del usuario a connect.facebook.net, un punto CDN servido por la infraestructura estadounidense de Meta. Esa solicitud contiene la URL completa - incluidos tus parámetros UTM - más la IP del usuario, identificadores de cookies y huella digital del navegador. Sale del territorio de la UE en el navegador del usuario antes de que tu servidor procese siquiera el clic. Meta está incorporada en Irlanda para fines de la UE y reclama una base legal para la transferencia bajo SCCs. Esa afirmación es objeto de dos decisiones sustanciales de DPA (la sentencia de Facebook Ireland de la DPA irlandesa de 2022 y la orden de aplicación de SCCs de 2023). El propio píxel sigue enviando datos a servidores estadounidenses; la base legal está en disputa.

Google Tag / GA4 (lado del cliente). El fragmento gtag.js se dispara desde el navegador del usuario a google-analytics.com y analytics.google.com, ambos resuelven a servidores de Google con sede en EE. UU. a menos que hayas configurado el enrutamiento UE de Google Analytics 4 con data_collection_endpoint apuntado a region1.google-analytics.com. Incluso con el endpoint de la UE, Google documenta que parte del procesamiento ocurre en infraestructura estadounidense. La implementación predeterminada no es ambigua: del lado del navegador, alojada en EE. UU.

Salesforce CRM. La residencia de datos de Salesforce Marketing Cloud depende del pod en el que esté tu inquilino. Los clientes de la UE en pods de la UE procesan datos de atribución de eventos de clic en la UE - si has configurado esto explícitamente. El pod predeterminado de EE. UU. está alojado en EE. UU. La mayoría de los equipos que veo en pymes a mid-market no han hecho esta configuración; tienen una instancia de Salesforce que fue aprovisionada por un administrador con sede en EE. UU. en un pod estadounidense y ha estado enrutando datos CRM de sujetos de la UE a través del Atlántico desde entonces.

HubSpot. Los píxeles de seguimiento de correo de HubSpot se sirven desde la infraestructura de HubSpot en EE. UU. La residencia de datos en la UE está disponible como un complemento para clientes Enterprise; no es la predeterminada. El píxel de seguimiento que se dispara cuando un contacto abre un correo de marketing está, en la configuración predeterminada, enviando el identificador de un sujeto de la UE (la dirección de correo, codificada en la URL del píxel) a un endpoint estadounidense.

Seguimiento de apertura de correo de terceros. Más allá de HubSpot - Mailchimp, Brevo, Customer.io, ActiveCampaign - se aplica el mismo patrón. Las URLs de píxeles de seguimiento están alojadas en el CDN del proveedor; la mayoría de los CDNs por defecto a PoPs estadounidenses para el tráfico de origen; el píxel disparándose desde el cliente de correo de un usuario de la UE se enruta a infraestructura estadounidense. Las opciones de región UE existen en algunos planes; no son predeterminadas.

El propio acortador como tránsito. Donde un acortador no está alojado en la UE, la solicitud de redirección pasa por infraestructura no UE. El evento de clic se registra fuera del EEE. Esta es la capa de residencia que la casilla "acortador alojado en la UE" pretende abordar realmente - y es la más pequeña de las seis fugas, porque la redirección es típicamente un evento de 2-5ms y el registro de clic es el único dato persistente que crea el acortador.

La exposición típica para un equipo de marketing mid-market que ejecuta herramientas estándar: tres a cinco de los escenarios anteriores activos simultáneamente, sin una Evaluación de Impacto de Transferencia en su lugar para ninguno de ellos, y una entrada del Artículo 30 de Registros de Actividades de Procesamiento que nombra "Google Analytics, Meta Pixel" sin documentar qué mecanismo cubre la transferencia.

La solución del lado del servidor: qué cambia legalmente, qué no#

El reenvío de conversiones del lado del servidor - donde el borde UE del acortador reenvía eventos de clic y conversión a la API del lado del servidor de la plataforma de publicidad en lugar de permitir que el navegador del usuario dispare el píxel - es la solución parcial. Aquí está lo que cambia y lo que deja sin cambiar.

Lo que cambia: El navegador del usuario ya no envía datos directamente al endpoint estadounidense. La ruta de la solicitud es:

  1. El usuario hace clic en el enlace corto
  2. El borde de la UE de Elido (la región de la UE) recibe la solicitud, registra el evento de clic localmente
  3. El borde de la UE de Elido reenvía la señal de conversión servidor-a-servidor a Meta CAPI / GA4 Measurement Protocol
  4. La plataforma de publicidad recibe el evento en su servidor estadounidense

La API de Conversiones de Meta es la implementación canónica de este patrón para Meta. GA4 Measurement Protocol es el equivalente de Google. El navegador del usuario solo toca el borde UE de Elido; nunca contacta directamente con un endpoint de analíticas estadounidense.

Sequence diagram showing browser to EU edge (Elido) to server-side vendor API. The browser never directly contacts the US analytics endpoint.

Lo que no cambia: Los datos todavía se transfieren a un procesador alojado en EE. UU. El borde UE de Elido origina esa transferencia. La obligación de transferencia bajo los Artículos 44–49 todavía se aplica - todavía necesitas SCCs o cobertura DPF para la parte Meta o Google de la cadena. Lo que cambia es el control práctico del responsable sobre esa transferencia: ocurre en un servidor que tú operas, usando credenciales que tú gestionas, con el hashing de identificadores que tú aplicas (SHA-256 en direcciones de correo, como requiere Meta CAPI), en lugar de en un script del navegador que tienes capacidad limitada para auditar o controlar.

Esto es una mejora material desde el punto de vista de la minimización de datos y la seguridad. No es una exención completa del régimen de transferencia. Tu DPO necesita tener claro esta distinción antes de firmar la revisión de procurement.

La consecuencia legal del reenvío del lado del servidor: tu entrada del Artículo 30 RoPA para "Meta CAPI" ahora documenta una transferencia servidor-a-servidor bajo tu control, con identificadores hasheados antes de salir de la infraestructura de la UE. Esa es una entrada sustancialmente más limpia que "Meta Pixel - lado del cliente, originado por el navegador, base de transferencia por determinar". No es transferencia cero; es una transferencia documentada y controlada.

Artículo 28(2): por qué importa el recuento de subprocesadores#

El Artículo 28(2) requiere que el procesador obtenga la autorización previa del responsable antes de involucrar subprocesadores, ya sea específica (por proveedor) o general (basada en notificación con derecho a objetar). Cada contrato SaaS serio usa autorización previa general con una ventana de aviso de 30 días. El responsable firma el DPA; el DPA incluye una lista de subprocesadores; las adiciones a la lista disparan una notificación y una ventana de objeción de 30 días.

La lista de subprocesadores es el artefacto que tu DPO realmente leerá. Qué incluye una lista útil:

  • Nombre del subprocesador
  • Ubicación del procesamiento de datos (región del hiperescalador, no solo país)
  • Rol en la cadena de procesamiento
  • Categorías de datos personales compartidos
  • Base legal para cualquier transferencia a un tercer país
  • Fecha añadida
  • Canal de notificación para futuras adiciones

La lista también es una señal sobre cómo piensa el proveedor sobre la residencia. Un proveedor con cinco subprocesadores cuyas regiones puedes nombrar en una oración lo ha diseñado. Un proveedor con cuarenta subprocesadores cuyas entradas dicen "varias regiones globales" no lo ha hecho.

La lista de subprocesadores de Elido cubre cinco proveedores - que cubren cómputo e infraestructura en la UE, correo en la UE, pagos y CDN - publicada en /legal/subprocessors. Ese número es pequeño por intención. Cada subprocesador añade a la superficie del programa de privacidad del responsable; cada adición de subprocesador dispara un ciclo de notificación y una potencial ventana de objeción. Un proveedor que puede ejecutar un acortador de grado producción con cinco subprocesadores ha hecho elecciones explícitas sobre qué dependencias de terceros están justificadas.

Compara esto con una plataforma de analíticas de marketing con 35-40 subprocesadores. La lista es auditable en principio; en la práctica, el oficial de privacidad del responsable está revisando cuarenta DPAs y cuarenta Evaluaciones de Impacto de Transferencia, algunas de las cuales faltarán. El número de cinco proveedores no es una afirmación de marketing. Es una elección operativa con consecuencias reales para tu carga de trabajo de cumplimiento.

La lista de verificación de procurement del marketer#

Ocho preguntas. Respuestas por escrito. Si un proveedor puede suministrar estas en la primera llamada de descubrimiento, el ciclo de procurement se acorta en semanas. Si no puede, eso te dice algo.

  1. ¿Cuál es la región de hosting específica para nuevos datos de clientes, nombrada a nivel de región del hiperescalador? (Respuesta esperada: una región UE nombrada - por ejemplo "AWS eu-central-1" o una región de centro de datos equivalente en la UE, no solo "la UE" como una afirmación no respaldada.)
  2. ¿Está la región de hosting UE contractualmente comprometida en el contrato estándar del cliente, o es una práctica operativa que el proveedor puede cambiar sin aviso? (Respuesta esperada: contractualmente vinculante, específica del contrato estándar, sin adenda personalizada requerida.)
  3. ¿Incluye el contrato estándar un DPA pre-firmado que cubra las obligaciones del Artículo 28 de la (a) a la (h)? (Respuesta esperada: sí, pre-firmado, disponible antes de que termine la llamada de ventas.)
  4. ¿Cuántos subprocesadores hay en la cadena estándar de procesamiento? ¿Puede el proveedor nombrar a todos ellos con sus regiones de procesamiento de datos? (Respuesta esperada: la lista completa, nombrada, con regiones, disponible públicamente en una URL que puedes enlazar en tu RoPA.)
  5. ¿Usa el proveedor reenvío de conversiones del lado del servidor a plataformas de publicidad, o el seguimiento de conversiones es del lado del cliente en el navegador del usuario? (Respuesta esperada para un proveedor con visión de privacidad: del lado del servidor, con hashing de identificadores antes de que los datos abandonen la infraestructura UE.)
  6. ¿Cuál es el truncamiento de IP predeterminado para el registro de eventos de clic? (Respuesta esperada: truncamiento /24 para IPv4, /48 para IPv6, antes de la persistencia - es decir, la IP completa no se almacena.)
  7. ¿Cuál es el SLA de borrado del sujeto de datos, y es operativamente alcanzable en el almacén de eventos de clic? (Respuesta esperada: 30 días o menos, propagado al almacén de datos de analíticas, confirmado por webhook o certificado.)
  8. ¿Qué atestaciones de cumplimiento independientes tiene el proveedor, y cuándo se cerró la auditoría más reciente? (Respuesta esperada: ISO 27001 actual; SOC 2 Tipo II completado o en progreso con fecha objetivo; para cargas de trabajo adyacentes a salud, disponibilidad de BAA en el plan relevante.)

Estas ocho preguntas cubren las preocupaciones primarias del DPO sin requerir una revisión legal en la etapa de descubrimiento. El proveedor que responde a las ocho por escrito el mismo día está listo para procurement. El proveedor que escala a legal antes de responder la pregunta tres no.

Herramientas en Elido#

Los detalles, para referencia.

Anclaje de región a nivel de workspace. Los nuevos workspaces por defecto en la región de la UE. Los workspaces Business y Enterprise pueden anclarse a EE. UU. Este o Asia-Pacífico por workspace. El anclaje se aplica en la capa de enrutamiento - no es una preferencia del panel que pueda anularse por un cambio de configuración sin una enmienda contractual a nivel de workspace. La página de confianza documenta la infraestructura.

DPA pre-firmado. El DPA del Artículo 28 está incluido en el contrato estándar del cliente. No se requiere negociación personalizada para los compradores de la UE que necesitan cobertura estándar del Artículo 28. Los contratos Enterprise con derechos de auditoría adicionales, ventanas de aprobación de subprocesadores o términos de retención personalizados se negocian por separado. El DPA estándar está disponible en /legal/dpa.

Lista de subprocesadores. Publicada en /legal/subprocessors. Cinco proveedores. Las adiciones disparan un correo de notificación con 30 días de antelación más un feed RSS para monitorización basada en herramientas. El derecho a objetar dentro de 30 días es contractual, no administrativo.

Reenvío de conversiones del lado del servidor. Las credenciales para Meta CAPI, GA4 Measurement Protocol y Mixpanel se registran una vez a nivel de workspace. Elido maneja el hashing SHA-256 de identificadores antes del POST saliente, la deduplicación mediante el campo event_id y la lógica de reintento en errores transitorios aguas arriba. La transferencia es servidor-a-servidor desde infraestructura UE; el navegador del usuario no contacta directamente con la plataforma de publicidad.

ISO 27001. Certificado. SOC 2 Tipo II en progreso, objetivo H2 2026. BAAs disponibles en plan Business para despliegues adyacentes a salud.

Para la postura completa de cumplimiento, /solutions/compliance es el resumen orientado al equipo comprador.

Lo que no afirmamos hacer#

Esta sección existe porque "residencia de datos en la UE" es una frase que los proveedores usan vagamente, y no deberíamos hacerlo.

Elido es la capa de enlaces. Un clic enrutado a través del borde de la UE de Elido permanece dentro de la infraestructura UE en la capa de Elido. El evento de clic se registra en nuestro almacén de analítica en la región de la UE. La señal de conversión reenviada del lado del servidor a Meta CAPI sale de la infraestructura UE - esa transferencia ocurre en tu nombre, bajo tu responsabilidad como responsable, y necesitas documentarla en tu RoPA y cubrirla con el mecanismo de transferencia apropiado.

Si tu organización requiere que absolutamente ningún dato personal sobre sujetos de la UE abandone el EEE bajo ninguna circunstancia - incluida la parte de atribución de la plataforma de publicidad - la respuesta no es un acortador diferente. La respuesta es no enviar eventos de conversión a plataformas de publicidad alojadas en EE. UU. en absoluto. Esa es una decisión de negocio y marketing, no tecnológica.

Lo que Elido te da: una capa de enlaces que procesa los datos de clic de sujetos de la UE en infraestructura UE por defecto, con subprocesadores documentados, un DPA pre-firmado, truncamiento de IP, reenvío de conversiones del lado del servidor con hashing de identificadores y un recuento de subprocesadores lo suficientemente pequeño como para auditar en una tarde. Eso cubre la obligación de residencia a nivel de capa de enlaces limpiamente.

Tu plataforma de marketing por correo, tu CRM, tus plataformas de publicidad y tu almacén de analíticas tienen cada una su propia postura de residencia. Elido no es la respuesta para esos; somos la respuesta para la capa de redirección y atribución de clic, y no vamos a sobrestimar el alcance.

El cornerstone GDPR para acortadores de URL cubre la imagen completa de obligaciones del procesador a nivel de artículo, si quieres el razonamiento de cumplimiento detrás de cualquiera de las decisiones anteriores.

Lee el clúster de cumplimiento#

Este post es el cornerstone del seguimiento de residencia del clúster de cumplimiento. Posts hermanos: GDPR para acortadores de URL (obligaciones del procesador artículo por artículo), y el próximo post sobre Schrems II y píxeles de seguimiento (las consecuencias prácticas de atribución en la capa del navegador). Para los artefactos de la página de confianza y del contrato: /trust, /legal/dpa, /legal/subprocessors. Para el resumen orientado a soluciones: /solutions/compliance.

Prueba Elido

Pega una URL, obtén un enlace corto

Sin registro. El enlace vive 30 días. Crea una cuenta para conservarlo.

Gratis, sin registro · 2 por día

Prueba Elido

Acortador de URL alojado en la UE: dominios personalizados, análisis profundo y API abierta. Plan gratuito - sin tarjeta de crédito.

Prueba Elido gratisVer precios
Etiquetas
eu data residency
eu hosted analytics
gdpr analytics
schrems ii
marketing compliance
data processing agreement

Seguir leyendo