Elido
Blog
18 min de lecturaCumplimiento

Acortadores de URL compatibles con GDPR - qué buscar en 2026

Una lista de comprobación práctica para marketers y equipos de adquisiciones que evalúan acortadores de URL bajo el GDPR: residencia de datos UE, truncamiento de IP, disponibilidad de DPA, divulgación de subprocesadores, derecho de supresión y las trampas ocultas en herramientas populares basadas en EE. UU.

Sasha Ehrlich
Compliance · EU residency
Ten-item GDPR checklist for URL shorteners mapped to GDPR articles: EU residency (Art. 44), IP truncation (Art. 5), no fingerprinting (Art. 6), DPA pre-signed (Art. 28), sub-processor list (Art. 28), right to erasure (Art. 17), breach notification SLA (Art. 33), independent attestation (Art. 32), privacy notice (Art. 13), cookieless analytics (Art. 6)

Cada redirección a través de un acortador de URL crea un evento de procesamiento de datos. El evento de clic contiene como mínimo una dirección IP, una marca de tiempo y una cadena de user-agent. Bajo el Artículo 4(1) del GDPR, esa combinación puede constituir datos personales - el TJUE confirmó en Breyer (C-582/14, 2016) que las direcciones IP dinámicas son datos personales cuando una organización tiene un medio realista de identificar al individuo detrás de ellas. Tu acortador tiene ese medio: controla el registro de redirección.

Este artículo es una lista de comprobación práctica para evaluar si un acortador de URL es genuinamente compatible con GDPR. Recorreré lo que la regulación realmente requiere, dónde los proveedores populares se quedan cortos, qué buscar en una herramienta conforme y los compromisos involucrados. Las referencias a artículos son al Reglamento (UE) 2016/679, el GDPR según enmendado.

Lo que el GDPR requiere de un acortador de URL#

Un acortador de URL se sienta en el flujo de datos entre tu campaña y tu cliente. Cuando alguien hace clic en un enlace corto, el acortador ve el clic antes de que lo haga la página de destino. Eso hace al acortador un procesador de datos bajo el Artículo 4(8): procesa datos personales en tu nombre. Tú eres el controlador; decides el propósito y los medios del seguimiento. El acortador lleva a cabo la operación bajo tus instrucciones.

Flujo de datos de un clic en enlace corto: el plano de redireccion ejecuta controles de geo y bot sobre la IP completa y luego la trunca a /24 antes del almacen de eventos de clic UE; tu permaneces como controlador eligiendo la base legal.

Esa división crea cuatro obligaciones concretas que necesitas que el acortador cumpla:

1. Un contrato escrito que cubra el Artículo 28(3)

El Artículo 28(3) lista ocho requisitos que cualquier contrato de procesador debe incluir: procesamiento solo bajo instrucciones documentadas, confidencialidad, seguridad apropiada, divulgación de subprocesadores, asistencia con derechos de sujetos de datos, asistencia con obligaciones de seguridad y DPIA, eliminación o devolución al término, y derechos de auditoría. Un acortador sin un Acuerdo de Procesamiento de Datos (DPA) que aborde cada uno de estos no está listo para adquisición para un despliegue UE.

2. Base legal para la capa de seguimiento de clics

La redirección en sí - tomar un clic y enrutarlo al destino - es discutiblemente necesaria para el servicio. La capa de analítica que se asienta sobre esa redirección - registrar el clic para atribución, medición de campaña, retargeting - es una operación de procesamiento separada que necesita su propia base legal bajo el Artículo 6. La mayoría de equipos B2B basan la analítica de campaña en interés legítimo bajo el Artículo 6(1)(f); si el acortador inyecta píxeles de retargeting de terceros en tiempo de redirección, la base cambia a consentimiento bajo el Artículo 6(1)(a), lo que significa que necesitas un mecanismo de consentimiento antes del primer clic.

3. Minimización de datos

El Artículo 5(1)(c) requiere que la recopilación de datos sea "adecuada, pertinente y limitada a lo necesario". Para un acortador, este principio aplica directamente al esquema del evento de clic. Necesitas la geo a nivel de país, la categoría del dispositivo, la marca de tiempo y un identificador de clic. No necesitas la dirección IP completa más allá del momento de la redirección. Casi con certeza no necesitas la cadena completa del user-agent - una tupla parseada device.type / device.os lleva la señal de atribución sin ser un vector de fingerprinting.

4. Cumplimiento de transferencia internacional

Si el acortador almacena o procesa eventos de clic fuera del EEE, el Artículo 44 y el Artículo 46 aplican. Las transferencias a EE. UU. requieren o Cláusulas Contractuales Tipo (SCCs) más una Evaluación de Impacto de Transferencia, o participación en el Marco de Privacidad de Datos UE-EE. UU., que está a su vez sujeto a litigios pendientes. Un acortador alojado en la UE evita este problema por completo.

Dónde los acortadores populares se quedan cortos#

Bitly#

El plano de datos principal de Bitly está en Estados Unidos. Según su documentación pública, las transferencias internacionales de datos desde el EEE se apoyan en Cláusulas Contractuales Tipo. El DPA está disponible, pero no está pre-firmado en el contrato estándar - los clientes empresariales lo negocian por separado, lo que añade plazo de adquisición. La residencia de datos solo en la UE no es una oferta estándar; es una conversación de contrato personalizado.

Dos cuestiones menos discutidas: el panel de analítica de Bitly se integra con servicios de atribución de terceros, y algunos niveles de plan habilitan la inyección de píxeles de retargeting en la capa de redirección. Si los píxeles de retargeting se disparan antes de que el usuario haya consentido, eso es un problema de cumplimiento del Artículo 6 para ti como controlador. El acortador es el procesador, pero el controlador lleva la responsabilidad principal de tener la base legal correcta en su lugar.

Rebrandly#

Rebrandly tiene su sede en Dublín, lo que suena amigable para la UE, pero la cuestión operativa es dónde se procesan los datos, no dónde está incorporada la empresa. Según su DPA (consultado en mayo de 2026), las transferencias de datos del EEE a EE. UU. se apoyan en SCCs. El procesamiento solo en la UE está disponible para clientes empresariales bajo términos personalizados. El contrato estándar no vincula los datos a infraestructura UE. Para equipos que necesitan una cláusula de residencia contractualmente exigible lista para usar, Rebrandly requiere una negociación personalizada.

Rebrandly también soporta píxeles de retargeting de terceros de forma nativa en la mayoría de planes. El valor de marketing es real; la implicación de cumplimiento es que cualquier píxel que se dispare en tiempo de redirección para sujetos UE necesita una base de consentimiento, no una base de interés legítimo, porque el perfilado conductual para publicidad queda fuera del límite de interés legítimo para la mayoría de interpretaciones de autoridades de supervisión.

TinyURL#

TinyURL ofrece un plan gratuito limpio y es un acortador de consumo ampliamente usado. No publica una lista de subprocesadores. Los términos estándar no incluyen un DPA que cumpla con el Artículo 28(3). La capa de analítica es rudimentaria y está alojada en EE. UU. Para equipos B2B o de marketing con sujetos UE en su audiencia, TinyURL no está listo para adquisición.

El problema general del acortador alojado en EE. UU.#

Muchos proveedores que operan principalmente para clientes de EE. UU. tratan el cumplimiento del GDPR como una casilla de verificación en lugar de una restricción arquitectónica. Las señales a observar: un badge de "cumple con GDPR" en la página de precios sin enlace a un DPA, una lista de subprocesadores que no nombra regiones de alojamiento (solo nombres de hyperscaler sin regiones), un proceso de supresión que se enruta a través de soporte en lugar de un endpoint API documentado, y ninguna mención de truncamiento de IP o predeterminados de minimización de datos.

"Cumple con GDPR" como afirmación de marketing no significa nada sin un DPA que se mapea al Artículo 28(3), una lista de subprocesadores que esté actualizada y sea específica por región, y evidencia de que la postura predeterminada de recopilación de datos aplica minimización en lugar de requerir que optes por ella.

La lista de comprobación de acortadores compatibles con GDPR#

Estas son las diez preguntas que poner por escrito antes de firmar un contrato con un acortador de URL que procesará datos de clic sobre sujetos UE.

La lista de comprobacion de diez preguntas para acortadores mapeada a articulos del GDPR: residencia al Art. 44, DPA al Art. 28(3), truncamiento de IP al Art. 5(1)(c), supresion al Art. 17, SLA de brechas al Art. 33, y mas.

1. ¿Dónde se procesan los datos y es eso un compromiso contractual?#

Pregunta por la región del hyperscaler - no solo el nombre del proveedor cloud. "AWS" no es una respuesta; una región UE nombrada como "AWS eu-central-1" sí. Más importante, pregunta si esa región es una cláusula vinculante en el contrato estándar o una práctica operativa que puede cambiar sin tu consentimiento. Bajo el Artículo 44, las transferencias fuera del EEE necesitan una base legal; quieres el compromiso de residencia en el contrato para no tener que rehacer el análisis cada vez que el proveedor actualiza su infraestructura.

2. ¿Está el DPA pre-firmado y cubre el Artículo 28(3) en su totalidad?#

Un DPA que se entrega pre-firmado en el contrato estándar señala que el proveedor trata el cumplimiento del GDPR como una base, no como una negociación. Lee el DPA contra los ocho subpárrafos del Artículo 28(3). Cada uno debe abordarse. Presta atención particular al párrafo (d) - contratación de subprocesadores - y al párrafo (h) - derechos de auditoría. Lenguaje genérico como "usamos prácticas de seguridad estándar de la industria" en lugar de las obligaciones concretas es una bandera roja.

3. ¿Cuántos subprocesadores, y están nombrados con regiones?#

Cada subprocesador es un eslabón adicional en la cadena de transferencia. Una lista corta con regiones nombradas (proveedor de cómputo en la UE en la región de la UE, proveedor de correo en EE. UU. Este, etc.) es auditable en una sola revisión. Una lista larga con nombres de proveedores vagos es una carga de mantenimiento y un riesgo de residencia. Bajo el Artículo 28(2), cada subprocesador debe aceptar las mismas obligaciones de protección de datos que el procesador. Pregunta cuál es el período de notificación para nuevos subprocesadores y si tienes derecho a oponerte.

4. ¿El acortador trunca o hashea direcciones IP antes de almacenarlas?#

El almacenamiento de IP completas rara vez es necesario para los casos de uso de analítica que un acortador soporta. La geolocalización a nivel de país y la detección de bots pueden realizarse en tiempo de redirección desde la IP completa y el resultado almacenarse; la IP en bruto puede entonces descartarse o truncarse. Bajo el Artículo 5(1)(c), almacenar más datos de los que el propósito requiere es una violación del principio de minimización de datos. Pregunta si el truncamiento o hasheado de IP es el predeterminado, o si debes optar por él. La minimización por defecto es la arquitectura correcta; la minimización por opt-in traslada el riesgo de cumplimiento sobre ti.

5. ¿La redirección inyecta algún script o píxel de terceros?#

Algunos acortadores ofrecen inyección de píxeles de retargeting como una característica: cuando un visitante hace clic en tu enlace corto, el acortador carga un Meta Pixel, una Google Tag o un script de terceros similar antes o durante la redirección. Para sujetos UE, cargar un script de seguimiento conductual de terceros sin consentimiento previo es una violación del Artículo 6 y, dependiendo de si se establecen cookies, de la Directiva ePrivacy. Si tu acortador ofrece inyección de píxeles, esa característica debe deshabilitarse o estar condicionada al consentimiento para tráfico UE. Si el proveedor no puede confirmar que no se cargan scripts de terceros en tiempo de redirección por defecto, pruébalo tú mismo con la pestaña de Red abierta.

6. ¿Hay un endpoint API para solicitudes de derecho de supresión?#

El Artículo 17 otorga a los sujetos de datos el derecho a que sus datos personales sean suprimidos "sin demora indebida" cuando aplican fundamentos específicos. Cuando recibes una solicitud de supresión que se relaciona con datos de clic que tu acortador mantiene, necesitas un mecanismo para actuar sobre ella. Un endpoint API que acepta un identificador de sujeto y elimina eventos de clic asociados es la respuesta operativamente correcta. Supresión-por-ticket-de-soporte no es "sin demora indebida" en la mayoría de interpretaciones de autoridades de supervisión y no es un patrón escalable a ningún volumen significativo de clics.

La complicación es que los eventos de clic a menudo viven en una base de datos de analítica columnar de solo añadir (por ejemplo BigQuery o Snowflake). Un proveedor que almacena eventos de clic de esta manera necesita demostrar que la eliminación es real - un DELETE contra la partición relevante - no solo una marca suave. Pregunta por el SLA del Artículo 17 del proveedor y el mecanismo técnico detrás.

7. ¿Cuál es el SLA de notificación de brecha?#

El Artículo 33 requiere que un controlador notifique a su autoridad de supervisión de una brecha de datos personales "sin demora indebida y, donde sea factible, no más tarde de 72 horas después de haber tenido conocimiento de ella". Para que ese reloj funcione, necesitas que tu procesador te notifique materialmente más rápido - la norma de la industria es 24 horas desde el conocimiento hasta la notificación al controlador. Tu DPA debería especificar este SLA. "Te notificaremos rápidamente" no es un número.

8. ¿El acortador usa analítica sin cookies y de primera parte por defecto?#

Muchos acortadores construyen su propio panel de analítica sobre una herramienta de analítica de producto de terceros (Mixpanel, Amplitude, Segment) que está alojada en EE. UU. y puede establecer identificadores persistentes en cookies o almacenamiento local. Para la propia analítica de producto del acortador (rastreando tu uso del panel), eso es un asunto separado. La pregunta relevante para el seguimiento de clics es si el flujo de redirección establece cookies o identificadores persistentes en el navegador del visitante sin consentimiento.

Un evento de clic sin cookies - uno que deriva país, dispositivo y referrer de los encabezados de la petición sin establecer ningún estado del lado del cliente - no requiere un mecanismo de consentimiento para analítica de primera parte bajo la mayoría de la orientación de autoridades de supervisión, siempre que los datos se procesen bajo interés legítimo y la notificación de privacidad sea accesible. Una redirección que establece un identificador persistente o carga una etiqueta de terceros requiere una puerta de consentimiento. Sabe cuál usa tu acortador.

9. ¿Hay una nota de transparencia accesible para los destinatarios del enlace?#

El Artículo 13 requiere que los individuos cuyos datos se recopilan sean informados del procesamiento en el momento de la recopilación, a menos que aplique una excepción. Para el seguimiento de clics en un enlace corto, la pregunta práctica es: ¿cómo sabe la persona que hace clic en el enlace que su clic está siendo rastreado, y dónde puede leer al respecto?

La mayoría de despliegues de acortadores satisfacen esto a través de la notificación de privacidad del controlador en la página de destino o en un banner de cookies en la página de campaña originaria. El acortador como procesador no necesita mostrar su propia nota al que hace clic - pero tú como controlador necesitas una notificación de privacidad que cubra la cadena de procesamiento de seguimiento de enlaces. Si la política de privacidad del acortador es el único documento que describe el procesamiento, y está escrita desde la perspectiva del proveedor en lugar de la del controlador, tienes una brecha.

10. ¿Puedes descargar y eliminar tus propios datos sin contactar con soporte?#

Esta es una prueba práctica de si un proveedor realmente operacionaliza los derechos del sujeto de datos que afirma soportar. Deberías poder: exportar todos los eventos de clic para un workspace en un formato portátil, eliminar enlaces individuales y su historial de clics asociado, y terminar la cuenta con eliminación documentada de todos los datos personales. Si cualquiera de estos requiere una petición de soporte en lugar de una acción API o de panel autoservicio, pide el SLA y ponlo en el contrato.

Los compromisos involucrados#

La arquitectura compatible con GDPR involucra compromisos reales, y ser honesto sobre ellos es más útil que pretender que las restricciones de cumplimiento no tienen coste.

Analítica más gruesa. Un acortador que trunca IPs a /24 y descarta la cadena completa del user-agent te da país, familia de dispositivo y SO - pero no segmentación a nivel de ciudad, ni la huella digital individual del navegador, ni la resolución de identidad entre sesiones que los datos de resolución completa permitirían. Para la mayoría de casos de uso de atribución de campaña, este nivel de resolución es suficiente. Para retargeting a nivel individual, necesitas un enfoque diferente - típicamente reenvío de conversión server-side contra un identificador de primera parte que el usuario ya ha compartido (dirección de email, ID de usuario autenticado), que no requiere que el acortador rastree al individuo en la capa de redirección.

Superficie de funciones más pequeña. Algunas de las funciones más poderosas de los acortadores - inyección de píxeles de retargeting, seguimiento entre dominios, integración profunda con plataformas publicitarias de terceros - están construidas sobre prácticas de recopilación de datos difíciles de reconciliar con la minimización de datos. Un acortador compatible con GDPR tiende a tener una redirección más limpia que hace menos en la capa de redirección y enruta más a la capa de evento de conversión, donde el controlador tiene una relación directa con el usuario y puede basar el seguimiento en consentimiento.

Sobrecarga de adquisición. Elegir un acortador alojado en la UE con un DPA pre-firmado reduce el ciclo de adquisición comparado con un proveedor alojado en EE. UU. que requiere un contrato personalizado para residencia UE. No elimina el ciclo. Aún necesitas revisar el DPA, comprobar la lista de subprocesadores, validar el SLA de supresión y confirmar que los predeterminados de truncamiento de IP y cookies coinciden con tu notificación de privacidad. Estima de dos a cuatro horas de trabajo de adquisición para un acortador compatible con GDPR frente a dos a ocho semanas para un proveedor alojado en EE. UU. donde la residencia UE requiere negociación personalizada del contrato.

Comparacion lado a lado de un acortador alojado en la UE (residencia en contrato, DPA pre-firmado, sin necesidad de base de transferencia, unas 2 a 4 horas) frente a uno alojado en EE. UU. (terminos UE personalizados, SCCs mas TIA, unas 2 a 8 semanas).

Cómo aborda esto Elido#

Donde es relevante para esta lista de comprobación, así es como se ve el despliegue estándar de Elido.

Residencia de datos. Elido procesa eventos de clic en infraestructura de la UE en la región de la UE por defecto. La residencia es una cláusula vinculante en el contrato estándar de cliente, no una práctica operativa. Los clientes Business+ pueden anclar a otras regiones; el predeterminado no transfiere datos fuera del EEE.

Truncamiento de IP. Los eventos de clic almacenados en nuestro almacén de analítica contienen el prefijo de red /24 (IPv4) o /48 (IPv6), no la dirección IP completa. La detección de geo y bots se ejecuta sobre la IP completa en tiempo de redirección y la IP completa se descarta antes de que el evento se persista. Esto es lo predeterminado; no necesitas configurarlo.

Píxeles de terceros en tiempo de redirección. El plano de redirección no carga ningún script de terceros. El reenvío de conversión server-side - enviar datos de atribución a Meta CAPI, GA4 o similar - es una característica opcional, configurada por separado, que usa datos de eventos de primera parte que haces POST a la API de Elido, no un píxel inyectado en tiempo de redirección. Estos son arquitectónicamente diferentes: uno se dispara sin el conocimiento del visitante desde la redirección, el otro es una llamada servidor a servidor basada en datos que el visitante ya compartió contigo.

DPA. El DPA de Elido está pre-firmado en el contrato estándar de cliente. Aborda los ocho subpárrafos del Artículo 28(3). Los subprocesadores están listados en la página de confianza con regiones nombradas. La página legal/privacy cubre la cadena de procesamiento visible para los destinatarios del enlace.

Derecho de supresión. Las solicitudes de supresión del Artículo 17 se propagan al almacén de eventos de clic dentro de las 24 horas. La eliminación es una operación a nivel de partición, no una marca suave.

Analítica sin cookies. El plano de redirección no establece cookies. Los eventos de clic son solo server-side. El panel de analítica que Elido entrega internamente usa Plausible en modo sin cookies para telemetría de producto; esto es separado del registro de eventos de clic para tus campañas.

Lo que Elido aún no tiene: SOC 2 Tipo II (en progreso, objetivo H2 2026), una plantilla DPIA autoservicio para clientes, y una API completamente automatizada de solicitudes de acceso de sujetos para escenarios de derecho de acceso menos comunes. Para detalles sobre las atestaciones actuales, consulta la página de confianza.

Lista de comprobación de migración para cambiar de un acortador no UE#

Si actualmente usas un acortador alojado en EE. UU. y necesitas mudarte a uno alojado en la UE, aquí hay una lista de comprobación operativa comprimida.

Antes de firmar el nuevo contrato:

  1. Lee el DPA del nuevo proveedor contra el Artículo 28(3). Confirma que los ocho puntos se cubren explícitamente.
  2. Comprueba la lista de subprocesadores. Confirma que las regiones de alojamiento están nombradas, no solo los proveedores cloud.
  3. Confirma el predeterminado de truncamiento de IP. Pide confirmación por escrito si no está en la documentación del producto.
  4. Confirma el SLA del Artículo 17 y el mecanismo técnico.
  5. Verifica si los píxeles de retargeting se disparan en tiempo de redirección. Si es así, confirma que pueden deshabilitarse por completo o están condicionados al consentimiento.

Durante la migración:

  1. Exporta tus enlaces cortos existentes como CSV. Verifica que los slugs personalizados sean preservados por la nueva plataforma antes de tocar DNS.
  2. Provisiona todos los enlaces en la nueva plataforma bajo el mismo dominio personalizado y slugs antes de reapuntar el CNAME.
  3. Permite 24–48 horas para la propagación de DNS tras el cambio del CNAME. Ambas plataformas servirán respuestas válidas durante esta ventana si los slugs coinciden.
  4. No migres datos históricos de clics desde la plataforma antigua - la cadena de custodia de los eventos de clic antiguos permanece con el procesador antiguo hasta que ejerzas derechos de eliminación.

Después de la migración:

  1. Emite una solicitud de supresión al proveedor antiguo para todos los datos personales asociados con tu workspace. Confirma la recepción y el cronograma de eliminación.
  2. Actualiza tu notificación de privacidad para reflejar el nuevo procesador, sus subprocesadores y la nueva residencia de datos.
  3. Revisa cualquier banner de cookies o mecanismos de consentimiento que referencien las funciones de seguimiento del acortador antiguo. Ajusta el alcance si la recopilación predeterminada de la nueva plataforma es más estrecha.

El playbook para migrar desde Bitly cubre la mecánica técnica de la importación de enlaces y el traspaso de DNS con más detalle.

Qué verificar antes de confiar en una afirmación de GDPR#

Cualquier acortador puede poner "cumple con GDPR" en una página de precios. La afirmación no está regulada y no lleva peso legal por sí sola. Los artefactos que llevan peso son:

  • Un DPA que se mapea al Artículo 28(3) subpárrafo por subpárrafo.
  • Una lista de subprocesadores que nombra proveedores, regiones y las categorías de datos compartidos.
  • Una notificación de privacidad accesible para los destinatarios del enlace que describe la cadena de procesamiento - esto satisface el Artículo 13.
  • Manejo documentado de IP que confirma truncamiento o hasheado antes de la persistencia.
  • Un SLA de supresión del Artículo 17 con un mecanismo técnico nombrado.
  • Atestación independiente (ISO 27001 es el suelo; SOC 2 Tipo II añade aseguramiento para adquisición EE. UU./internacional).

Si un proveedor no puede suministrar todo esto por escrito dentro de un día laborable, la afirmación "cumple con GDPR" es copia de marketing en lugar de una postura de cumplimiento documentada.

Para el análisis legal a nivel de artículo detrás de esta lista de comprobación, el cornerstone de GDPR para acortadores de URL cubre los Artículos 3, 6, 28, 30, 32 y 35 en profundidad con citaciones de autoridades de supervisión. Artefactos orientados a adquisición: la política de privacidad, los términos de servicio y los precios de Elido - el DPA está empaquetado en el contrato estándar en cada nivel de pago.

Relacionados en el blog#

Prueba Elido

Pega una URL, obtén un enlace corto

Sin registro. El enlace vive 30 días. Crea una cuenta para conservarlo.

Gratis, sin registro · 2 por día

Prueba Elido

Acortador de URL alojado en la UE: dominios personalizados, análisis profundo y API abierta. Plan gratuito - sin tarjeta de crédito.

Prueba Elido gratisVer precios
Etiquetas
gdpr url shortener
gdpr friendly url shortener
url shortener data residency
link tracking gdpr
eu url shortener
dpa url shortener
gdpr checklist

Seguir leyendo