GDPR para acortadores de URL: lo que tu DPO realmente quiere ver

He pasado cuatro años revisando Acuerdos de Procesamiento de Datos de SaaS desde el lado del proveedor y un año revisándolos desde la silla de un comprador fintech. Las cláusulas que todos se preocupan — cifrado en reposo, ventanas de retención, el SLA de notificación de brechas — suelen estar bien en un acortador serio. Las cláusulas que realmente deciden la adquisición son más sutiles. Son las que el DPO ha leído suficientes veces como para tener una opinión, y las que un badge genérico de "cumple con el GDPR" no aborda.

Este artículo es la lectura de un DPO en activo sobre lo que el GDPR exige a un acortador de URL que procesa datos de clic sobre sujetos de la UE, con los números de artículo citados para que puedas llevar las afirmaciones a tu propio abogado y verificarlas. Señalaré dónde la postura de Elido es conservadora, dónde es estándar de la industria, y dónde el comprador razonable aún debería pedir un anexo.

Las referencias a artículos son al Reglamento (UE) 2016/679 — el texto consolidado del GDPR en EUR-Lex. Donde cito orientaciones de autoridades de supervisión, enlazo a la decisión fuente. Donde cito jurisprudencia, la citación es a la sentencia del TJUE.

Por qué un acortador de URL está en el ámbito de aplicación#

Un acortador de URL es un procesador según el Artículo 4(8) cuando procesa datos de clic sobre personas físicas identificables en nombre del cliente. El cliente es el controlador; decide por qué se recopilan los datos (atribución de campaña) y sobre qué base (Artículo 6 — típicamente interés legítimo bajo 6(1)(f) para analítica a nivel de clic, consentimiento bajo 6(1)(a) cuando hay seguimiento granular). El acortador es el procesador; procesa esos datos solo bajo instrucciones documentadas del controlador, que es la sustancia del Artículo 28.

Dos piezas de datos hacen esto claro. Cada redirección registra una dirección IP; el TJUE ha sostenido desde Breyer (C-582/14, 2016) que las direcciones IP dinámicas pueden ser datos personales cuando se combinan con información disponible para el controlador. Cada redirección también registra un user-agent, que combinado con IP y marca de tiempo es suficiente para identificar individuos en muchos patrones de alto tráfico — la EDPB ha señalado esto en las Directrices 04/2020 sobre el uso de datos de localización y el principio se generaliza.

Entonces: un acortador de URL procesa datos personales sobre sujetos de la UE, incluso si el evento de clic en sí parece anónimo a primera vista. Las preguntas se derivan de ahí.

Artículo 3: ámbito territorial#

El Artículo 3 es el artículo que más a menudo se malinterpreta por proveedores con base en EE. UU. que venden en la UE.

El Artículo 3(1) cubre el procesamiento en el contexto de un establecimiento en la UE. El Artículo 3(2) cubre el procesamiento de datos de sujetos de la UE por un controlador o procesador no establecido en la UE cuando el procesamiento se relaciona con (a) ofrecer bienes o servicios a sujetos de la UE, o (b) monitorizar su comportamiento cuando se realiza en la UE. El seguimiento de clics sobre usuarios de la UE es monitorización; el GDPR aplica independientemente de dónde esté alojado el acortador.

La conclusión es que "somos una empresa de EE. UU., el GDPR no aplica" es incorrecto. Cada acortador que procesa clics de usuarios de la UE debe cumplir. La pregunta relevante para la adquisición no es si el GDPR aplica — sí aplica — sino cómo el proveedor demuestra cumplimiento y qué compromisos de residencia son contractualmente vinculantes.

Artículo 6: base legal#

El seguimiento de clics vía un acortador típicamente se apoya en una de tres bases legales.

6(1)(a) — consentimiento. El controlador ha obtenido el consentimiento del sujeto de los datos para el procesamiento. Para el seguimiento de clics a nivel de acortador, el consentimiento suele estar incorporado en el banner de cookies o en el flujo de opt-in de marketing en la página de destino. Las directrices de la EDPB sobre consentimiento (Directrices 05/2020, versión 1.1, 2020) requieren un consentimiento libremente dado, específico, informado y unívoco.

6(1)(b) — necesario para la ejecución de un contrato. La redirección en sí — tomar el clic y enrutarlo al destino — es necesaria para el servicio que el usuario solicitó. La línea más limpia es que el enrutamiento es ejecución del contrato, mientras que la capa de analítica (si ese clic se registra para análisis retrospectivo) es una operación de procesamiento separada que puede necesitar una base diferente.

6(1)(f) — interés legítimo. La mayoría de clientes B2B basan la analítica a nivel de campaña en interés legítimo tras realizar una Evaluación de Interés Legítimo (LIA). La LIA equilibra el interés del controlador en medir la efectividad del marketing contra los intereses del sujeto de los datos; para conteos de clics agregados y atribución estándar, el equilibrio generalmente se inclina a favor del controlador. Para perfilado conductual de alta resolución — fingerprinting, seguimiento entre sitios, retargeting a nivel de usuario — la LIA se vuelve más difícil.

El acortador es el procesador en los tres casos. Procesa los datos bajo instrucciones documentadas del controlador. No elige la base legal; el controlador lo hace.

Artículo 28: el acuerdo de procesador#

El Artículo 28(3) lista las ocho obligaciones que cualquier contrato entre un controlador y un procesador debe incluir. Léelo directamente; los subpárrafos (a) a (h) son cortos y concretos. Un DPA utilizable para un acortador de URL tiene que abordar cada uno.

Recorreré cómo se ven esas cláusulas en la práctica.

(a) Procesamiento solo bajo instrucciones documentadas. Las instrucciones del controlador son el contrato más las instrucciones escritas del cliente por función (p. ej. "procesar eventos de clic para estos workspaces, retener durante X meses"). El acortador no puede usar los datos de clic para sus propios fines sin la instrucción del controlador. En la práctica esto significa: no usar datos de clic del cliente para entrenar modelos internos de recomendación sin un opt-in, no compartir analítica agregada con terceros sin aviso. El DPA estándar de Elido es explícito sobre esto; si el DPA de tu acortador actual no lo es, pregunta por qué.

(b) Confidencialidad. Las personas que procesan los datos están sujetas a obligaciones de confidencialidad. Esto es operativo en el lado del proveedor y rara vez se discute.

(c) Medidas de seguridad (Artículo 32). Cubierto abajo en su propia sección.

(d) Contratación de subprocesadores. El procesador solo contrata subprocesadores con la autorización del controlador, y el subprocesador debe aceptar obligaciones equivalentes bajo un contrato escrito. Hay dos sabores de autorización. La autorización previa específica requiere que el controlador consienta a cada nuevo subprocesador. La autorización previa general requiere solo aviso por adelantado, con derecho a oponerse. La mayoría de contratos SaaS usan autorización general con una ventana de aviso de 30 días. Ambas están bien bajo el Artículo 28; lo que importa es que el contrato especifique cuál.

(e) Asistencia con derechos del sujeto de los datos. El procesador tiene que ayudar al controlador a responder a solicitudes de sujetos de datos bajo los Artículos 15-22. Para un acortador, esto significa que el controlador puede pedir una exportación de registros de clic vinculados a un identificador específico (raro pero ocurre), y el acortador tiene que poder entregarla. La API de Elido incluye GET /v1/clicks?subject_id= para este propósito; si tu acortador actual no tiene esto, responderás solicitudes de acceso de sujetos a mano.

(f) Asistencia con Artículos 32 / 33 / 34 / 35 / 36. El procesador tiene que ayudar al controlador a cumplir obligaciones de seguridad, notificación de brechas y DPIA. La "ayuda" es operativa — proporcionar informes de auditoría de seguridad, notificar brechas dentro de un SLA, suministrar el detalle técnico necesario para una DPIA.

(g) Devolución o eliminación al final del servicio. Cuando el contrato termina, el procesador devuelve o elimina todos los datos personales a menos que la ley de la Unión o del Estado miembro requiera almacenamiento. La cláusula estándar de Elido es 30 días posteriores a la terminación, con un certificado de eliminación documentado bajo solicitud.

(h) Derechos de auditoría. El procesador debe poner a disposición toda la información necesaria para demostrar cumplimiento y someterse a auditorías. Los contratos SaaS lo limitan a cuestionarios de auditoría escritos más auditorías in situ con aviso razonable; los derechos de auditoría sin restricciones completos son inusuales fuera de contratos empresariales.

Si el DPA de tu acortador actual carece o es vago en cualquiera de (a)-(h), la conversación de adquisición no debería avanzar. Un DPA que cumple el Artículo 28 es el suelo, no el techo.

Artículo 30: registros de procesamiento#

El Artículo 30 requiere que los procesadores mantengan registros de actividades de procesamiento (RoPA). El RoPA del procesador es el artefacto orientado al controlador que permite a tu DPO entender qué está haciendo el acortador con los datos.

Elido publica una plantilla de RoPA por cliente que puedes mapear al tuyo. Las columnas son categorías de sujeto de datos, categorías de datos personales, destinatarios, transferencias a terceros países (ninguna por defecto), retención y medidas de seguridad. Estándar, pero los equipos de adquisición quieren verlo rellenado concretamente. El DPO no quiere un marcador de posición. Si tu acortador no suministra esto, la carga recae en ti para compilarlo desde su documentación.

Artículo 32: seguridad del procesamiento#

El Artículo 32 requiere "medidas técnicas y organizativas apropiadas" para garantizar un nivel de seguridad apropiado al riesgo. El artículo es deliberadamente no prescriptivo; las autoridades de supervisión lo desarrollan vía orientación.

Para un acortador de URL, el suelo operativo que la mayoría de DPOs buscarán:

TLS 1.3 en tránsito, sin retroceso a TLS 1.0 o 1.1.
Cifrado en reposo para el almacén de eventos de clic, con rotación de claves documentada.
Segmentación de red entre el plano de redirección y el plano de analítica.
Autenticación vía SSO/SAML o OIDC para la superficie orientada al cliente; servicio-a-servicio vía credenciales de corta duración.
Un log de auditoría de acciones administrativas en el lado del acortador, retenido durante al menos 12 meses.
Respuesta a incidentes documentada y ejercicios de tabletop regulares.
Certificación ISO 27001 o atestación independiente equivalente.

Elido está certificado ISO 27001 y está en pleno proceso de SOC 2 Tipo II (objetivo H2 2026). La superficie de control técnico está documentada en la página de confianza. Para tráfico relevante para HIPAA, los BAAs están disponibles en el plan Business.

La redacción a nivel de artículo importa aquí: "apropiado al riesgo" es un estándar relativo. Un acortador que procesa clics de campaña en un sitio público de marketing es de menor riesgo que uno usado internamente para compartir URLs de sesión autenticadas. Tu DPO debería dimensionarse al riesgo que realmente corres.

Artículo 35: DPIA#

El Artículo 35 requiere una Evaluación de Impacto sobre la Protección de Datos para procesamiento "que probablemente resulte en un alto riesgo para los derechos y libertades de las personas físicas", con atención particular a (a) evaluación sistemática y exhaustiva, (b) datos de categorías especiales, y (c) monitorización sistemática de áreas accesibles al público a gran escala.

Para la mayoría de casos de uso de acortadores, una DPIA no se requiere estrictamente — el seguimiento de clics de campaña en un sitio de marketing no es "evaluación sistemática y exhaustiva" dentro del significado de 35(3)(a). Donde una DPIA se vuelve aconsejable:

Perfilado conductual entre sitios a nivel individual.
Seguimiento que combina datos de acortador con otros datos personales (enriquecimiento CRM, brokers de datos de terceros) para construir un perfil a nivel de persona.
Uso de datos de clic para tomar decisiones con efectos legales o de impacto similar significativo sobre el sujeto de los datos (raro, pero concebible en contextos de préstamos o empleo).
Tráfico de alto volumen de contextos de categorías especiales (salud, religión, opinión política).

Si estás encargando una DPIA para procesamiento relacionado con un acortador, las directrices WP29 (WP248 rev.01) son la referencia metodológica; muchas autoridades de supervisión han publicado sus propias plantillas, incluido el software PIA de la CNIL.

Artículo 28(2): divulgación de subprocesadores#

La pregunta de GDPR más tratable es "¿quién más toca los datos?". El Artículo 28(2) requiere que el procesador divulgue cualquier subprocesador que contrate y obtenga autorización. En la práctica, cada SaaS serio publica una lista de subprocesadores y un proceso de notificación para adiciones.

Cómo se ve una buena lista:

Nombre del subprocesador, ubicación del procesamiento, rol.
Categorías de datos personales compartidos.
Base legal para la transferencia (donde aplique).
Fecha en que se añadió el subprocesador.
Mecanismo de notificación para adiciones (típicamente email + feed RSS/JSON).
Derecho a oponerse: usualmente 30 días desde la notificación.

La lista pública de subprocesadores de Elido nombra cinco proveedores. Ese número es pequeño a propósito — cada nuevo subprocesador añade a la superficie de ataque de tu programa de privacidad. Compara con el actual: si tienen 30 subprocesadores y no puedes distinguir cuáles están en el camino del evento de clic, esa es una pregunta material de divulgación.

Schrems II: cuándo la residencia en la UE se vuelve contractual#

Schrems II (TJUE C-311/18, 2020) invalidó el Privacy Shield UE-EE.UU. y requirió, para transferencias internacionales de datos bajo SCCs, una Evaluación de Impacto de Transferencia que evaluara si el régimen de vigilancia del país de destino negaría a los sujetos de la UE protección efectiva de derechos.

El marco sucesor — el Marco de Privacidad de Datos UE-EE.UU., adoptado vía Decisión de la Comisión (UE) 2023/1795 — reemplaza Privacy Shield para organizaciones participantes. Dos advertencias importantes:

La cobertura es voluntaria; no todo proveedor SaaS de EE. UU. está certificado. Consulta la lista de participantes del DPF.
El marco es a su vez objeto de litigios pendientes. NOYB ha señalado la intención de impugnarlo y una tercera sentencia Schrems es plausible. Los compradores prudentes que planifican para ese escenario están requiriendo cada vez más contractualmente procesamiento solo en la UE.

Dónde aterriza esto para la selección de acortador: si tu comprador ha señalado la residencia de datos o la regulación de tu sector requiere procesamiento solo en la UE (atención sanitaria alemana bajo la ley de protección de datos sociales, datos sanitarios franceses vía certificación HDS, servicios financieros bajo directrices EBA), un acortador alojado en la UE simplifica el contrato. La cláusula de residencia es concreta, la TIA es innecesaria y el ciclo de adquisición se acorta.

Elido está alojado en Fráncfort por defecto. Los clientes Business+ pueden anclar a Ashburn o Singapur cuando su perfil de tráfico lo demanda. El anclaje es por workspace, contractualmente documentado y operativamente forzado — no una afirmación de marketing.

Minimización de datos: lo que no tienes que registrar#

El Artículo 5(1)(c) requiere que el procesamiento sea "adecuado, pertinente y limitado a lo necesario en relación con los fines para los que se procesan". Para un acortador, esto aterriza en el esquema del evento de clic.

Las señales que un acortador puede recopilar en tiempo de redirección:

Dirección IP (completa, truncada a /24 o hasheada).
Cadena del user-agent (completa, o parseada en cliente/SO sin los tokens raros que hacen fingerprint).
Referrer.
Marca de tiempo.
Geo derivada de IP (país, ciudad).
Dispositivo derivado del UA (móvil/escritorio/tableta, familia SO).
Click ID (el propio identificador del acortador para el evento).

De esos, el propósito real del controlador normalmente requiere el dispositivo parseado, el país, la marca de tiempo, el click ID y posiblemente el referrer. La dirección IP en sí rara vez se necesita más allá del momento de la redirección — una vez que se hace el parseo de geo y dispositivo, la IP puede truncarse o hashearse antes de aterrizar en el almacén de clics. Lo mismo para el UA: los campos parseados device.type / device.os son lo que la atribución realmente usa; la cadena UA completa es cebo de fingerprint que debería descartarse.

Elido trunca IPs a /24 (IPv4) o /48 (IPv6) antes de persistir eventos de clic. El UA completo se parsea y se descarta. Ambos comportamientos están documentados y son configurables por workspace si tu caso de uso específico requiere los datos de mayor resolución — pero el predeterminado es la minimización, que es la postura del Artículo 5(1)(c) por diseño en lugar de por parche.

Derechos del sujeto de los datos en la capa del acortador#

El controlador maneja las solicitudes de derechos del sujeto de los datos; el procesador asiste. Para un acortador, surgen dos solicitudes:

Artículo 15 — derecho de acceso. El sujeto de los datos pide una copia de sus datos personales. El acortador tiene que poder recuperar eventos de clic vinculados a un identificador de sujeto. En la práctica, esto es difícil si el único identificador es "todos los que hicieron clic en el enlace X desde esta IP". La respuesta pragmática: el acortador exporta los eventos de clic para la IP/ventana de tiempo que el controlador especifica, y el controlador filtra al sujeto relevante.

Artículo 17 — derecho de supresión. El sujeto de los datos pide la eliminación. El acortador tiene que poder eliminar eventos de clic bajo demanda dentro de la redacción "sin demora indebida" del GDPR — el SLA operativo predeterminado es 30 días. La complicación: los eventos de clic suelen almacenarse en una base de datos de analítica de solo añadir (ClickHouse, BigQuery, Snowflake). La eliminación es real, pero es un DELETE contra la partición en lugar de una edición a nivel de fila. Asegúrate de que el DPA de tu acortador se compromete con un SLA de supresión específico y que la arquitectura subyacente puede cumplirlo.

Elido soporta ambos vía la API: GET /v1/subjects/{id}/clicks y DELETE /v1/subjects/{id}. La eliminación se propaga al almacén de eventos de clic dentro de las 24 horas y se confirma vía webhook.

Qué preguntar a adquisiciones#

La lista comprimida para una conversación de adquisición:

¿Dónde está alojado el acortador? (Respuesta de una frase; anclado o no.)
¿El DPA está pre-firmado o se negocia por cliente? (Pre-firmado es más rápido.)
¿Cuántos subprocesadores? (Más pequeño es más simple.)
¿El contrato estándar incluye procesamiento solo en la UE, o es un anexo separado?
¿Cuál es el predeterminado de truncamiento de IP en eventos de clic?
¿Hay un endpoint de Artículo 15 / 17, o la supresión va a través de soporte?
¿Cuál es el SLA de notificación de brecha? (24 horas desde el conocimiento es la norma de la industria.)
¿Atestación independiente: ISO 27001? SOC 2 Tipo II? ¿Cuándo fue la última auditoría?

Un proveedor que pueda responder esas ocho por escrito en la llamada de descubrimiento está listo para adquisición. Un proveedor que no puede va a añadir semanas a tu ciclo de ventas.

Lee la serie cornerstone#

Este es el cornerstone del cluster de cumplimiento. Artículos hermanos en el cluster: el próximo residencia de datos UE para analítica de marketing (más profundo en las especificidades contractuales), Schrems II y píxeles de seguimiento (el impacto práctico en la atribución), y Atribución de clic tras Safari ITP (la consecuencia operativa del mundo sin cookies). Para el resumen orientado a adquisiciones, la página de confianza y solutions/compliance son los dos artefactos que marcar. Para el detalle arquitectónico detrás de la afirmación de residencia, el documento de arquitectura de edge-redirect recorre cómo se hace cumplir el anclaje regional en tiempo de enrutamiento.