9 min de lecturaCumplimiento

¿Bitly cumple con el GDPR? La respuesta honesta de un DPO

Bitly cuenta con un DPA, cláusulas contractuales tipo (SCCs) y certificación del Data Privacy Framework. Cumple, sí, pero no es lo mismo que la residencia de datos exclusiva en la UE.

Sasha Ehrlich
Compliance · EU residency
¿Bitly cumple con el GDPR?: datos de clics de la UE que cruzan hacia Estados Unidos bajo un instrumento legal de transferencia, junto a una ruta de residencia en la UE donde los datos nunca salen de la UE

Sí. Bitly cumple con el GDPR en el sentido que importa para una lista de verificación de compras: publica un Acuerdo de Tratamiento de Datos, transfiere datos bajo Cláusulas Contractuales Tipo, mantiene una certificación activa del Data Privacy Framework UE-EE. UU., opera una entidad en la UE en Berlín y responde a las solicitudes de los interesados conforme a los artículos 15 a 21. Si la casilla de tu formulario de proveedor dice "¿Cumple con el GDPR?: sí/no", la respuesta honesta es sí.

La pregunta difícil -la que tu DPO hace después de la lista de verificación- es dónde vive realmente tu información de clics. El cumplimiento de Bitly se sostiene en mover datos personales de la UE hacia Estados Unidos y cubrir esa transferencia con un instrumento legal. Eso es legal hoy. No es lo mismo que la residencia de datos en la UE, y para algunos compradores la brecha entre esas dos cosas decide el contrato.

Este es un artículo del clúster de cumplimiento, por lo que los números de los artículos están citados y las fuentes enlazadas para que puedas llevarlas a tu propio asesor legal. Para conocer el marco detrás de todo esto -lo que el GDPR exige a cualquier acortador, no solo a Bitly- el pilar de GDPR para acortadores de URL repasa los artículos 3, 6, 28, 30, 32 y 35 uno por uno.

La respuesta corta, y el asterisco

Bitly ha hecho el trabajo de cumplimiento que se espera de un proveedor serio. Al leer su política de privacidad (consultada el 17 de julio de 2026), toda la maquinaria está ahí:

  • Un Acuerdo de Tratamiento de Datos, incorporado en los Términos de Servicio.
  • Cláusulas Contractuales Tipo (SCCs) para transferencias fuera del EEE.
  • Una certificación activa del Data Privacy Framework UE-EE. UU., además de la Extensión del Reino Unido y el Marco Suiza-EE. UU.
  • Un establecimiento en la UE: Bitly Europe GmbH en Berlín, con un delegado de protección de datos designado (DataCo GmbH).
  • Un proceso de derechos de los interesados, dividido entre [email protected] para asuntos de EE. UU. y [email protected] para asuntos de la UE, que cubre acceso, rectificación, supresión, limitación, portabilidad y oposición.
  • Una regla de retención declarada: los datos personales se eliminan o anonimizan a solicitud, o tras tres años desde el último contacto con el interesado, lo que ocurra primero.

Nada de eso está en duda. Un proveedor con un DPA, SCCs, una certificación del Framework y un DPO en la UE no está "ignorando el GDPR", y cualquier artículo que diga lo contrario está vendiendo algo. El asterisco no trata sobre si Bitly cumple. Trata sobre cómo cumple, y el mecanismo es la transferencia transatlántica.

Adónde va realmente tu información en Bitly

La propia estructura de Bitly es la afirmación más clara de esto. Bitly Europe GmbH (Berlín) y Bitly Inc. (Nueva York) son corresponsables del tratamiento bajo el artículo 26, vinculadas por un acuerdo de corresponsabilidad. Los datos de tu cuenta, y los datos de clics que fluyen a través de tus enlaces, se encuentran dentro de ese arreglo conjunto, y el arreglo abarca el Atlántico por diseño.

La política de privacidad es explícita: los datos personales "pueden transferirse fuera de la Unión Europea y del Espacio Económico Europeo, incluyendo, entre otros, a Estados Unidos de América". Cada redirección registra una dirección IP y un user-agent; ambos pueden ser datos personales de personas identificables. Así que el flujo de clics que registra un acortador entra en el alcance, y en el caso de Bitly ese flujo se enruta hacia un modelo de procesamiento centrado en EE. UU.

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

Esto es legal. También es una dependencia permanente de los instrumentos legales que sostienen la transferencia UE-EE. UU., y esos instrumentos tienen una historia.

Por qué estar "certificado en el Data Privacy Framework" no es el final del asunto

Las salvaguardas de transferencia en las que se apoya Bitly se han reconstruido dos veces después de que el Tribunal de Justicia las anulara. Safe Harbour cayó en 2015. Privacy Shield cayó con Schrems II (TJUE C-311/18, 2020), que además elevó el listón para las SCCs al exigir una Evaluación de Impacto de la Transferencia para cada transferencia. El Data Privacy Framework UE-EE. UU., adoptado por la Comisión Europea en 2023, es el sucesor actual, y aquel bajo el cual Bitly está certificada.

De esto se derivan dos cosas para un comprador.

Primero, una certificación es una afirmación puntual en el tiempo, no un estado permanente. Las certificaciones caducan, se retiran o dejan de cumplirse. Si dependes del estatus de Bitly en el Framework, verifica que sigue activo en la lista oficial de participantes del Data Privacy Framework en lugar de fiarte de lo que dice la página de políticas.

Segundo, el propio Framework está bajo presión legal. Defensores de la privacidad han señalado su intención de impugnarlo, y una tercera sentencia Schrems es un escenario para el que los compradores prudentes ya se preparan. El Capítulo V del GDPR -los artículos 44 a 49 sobre transferencias internacionales- es la parte del reglamento con el terreno menos asentado. Construir una pila de atribución de marketing sobre el capítulo con más probabilidades de cambiar es un riesgo que algunas organizaciones aceptan y otras no.

Cumplir no es lo mismo que ser exclusivo de la UE

Esta es la distinción que realmente decide las compras. "Cumple con el GDPR" y "los datos permanecen en la UE" son afirmaciones distintas, y Bitly cumple con la primera sin hacer la segunda.

Para muchos equipos, eso está bien. Un equipo de marketing que acorta enlaces para una campaña pública, basando el análisis de clics en el interés legítimo, está bien servido por un proveedor que cumple mediante transferencias. Los instrumentos legales los cubren.

Deja de estar bien cuando tu sector incorpora la residencia como requisito. Los datos del sector público y de salud alemanes bajo las normas de protección de datos sociales, los datos de salud franceses bajo la certificación HDS, los datos de servicios financieros bajo las directrices de la EBA: todo esto empuja hacia un procesamiento exclusivo en la UE. En esos casos, una postura basada en transferencias no es una casilla que marcar, es una obligación continua: cargas con la Evaluación de Impacto de la Transferencia, la vuelves a ejecutar cuando cambia el terreno legal, y documentas por qué una transferencia a EE. UU. es defendible para datos personales que podrías haber mantenido en la UE. Un acortador residente en la UE elimina ese trabajo porque no hay transferencia que evaluar.

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

Si tu requisito es que los datos de clics de la UE nunca salgan de la UE, Elido los mantiene en la región de la UE de forma predeterminada: la residencia es contractual y se aplica operativamente, no es una línea en un folleto. Esa es la diferencia entre responder "¿cumplimos?" y responder "¿podemos demostrar que los datos nunca salieron?" sin necesidad de un análisis de transferencia adjunto.

Qué verificar antes de confiar en Bitly

El estatus de cumplimiento es real, así que el trabajo útil consiste en determinar si encaja con tus obligaciones. Cinco cosas que confirmar por escrito:

  1. ¿Tu requisito es cumplimiento o es residencia? Si algún interesado ha dicho "exclusivo de la UE", una certificación del Framework no lo satisface. En su lugar necesitas un compromiso de residencia, y esas son cláusulas distintas.
  2. Revisa la retención predeterminada. La regla declarada de Bitly mantiene los datos hasta tres años después del último contacto, así que si la política de tu responsable del tratamiento es más corta, eso hay que configurarlo en lugar de darlo por hecho.
  3. Pide la lista de subencargados. Una estructura de corresponsabilidad que abarca dos continentes suele significar que más partes tocan los datos, y querrás saber cuáles de ellas están en la ruta de los eventos de clic.
  4. Confirma que la certificación del Framework está activa hoy en la lista gubernamental, no solo referenciada en la página de políticas. Las certificaciones caducan.
  5. Lee el DPA. Está incluido en los Términos de Servicio, así que el modelo de autorización de subencargados y el SLA de eliminación están ahí en lugar de en un documento firmado por separado. Un DPA que cumple con el artículo 28 es el mínimo, no el máximo: el pilar desglosa lo que debería decir cada cláusula del artículo 28(3).

Para una visión más amplia del mercado sobre quién se compromete con el procesamiento en la UE y quién transfiere, el resumen de los mejores acortadores de URL de la UE y el artículo más profundo sobre residencia de datos en la UE para marketing cubren las alternativas. Si el modelo de Bitly es lo específico que estás evaluando, Elido frente a Bitly pone lado a lado las líneas de residencia y precios, y los interstitials publicitarios en los enlaces gratuitos de Bitly son una razón aparte por la que los equipos de la UE los han estado reevaluando.

La conclusión

¿Bitly cumple con el GDPR? Sí. Tiene el DPA, las SCCs, la certificación del Data Privacy Framework, la entidad en la UE y la maquinaria de derechos de los interesados. Cualquiera que afirme que Bitly simplemente no cumple está equivocado.

Pero "cumplir" nunca fue toda la pregunta. El cumplimiento de Bitly se construye sobre transferir datos personales de la UE a Estados Unidos y cubrir esa transferencia con instrumentos que el Capítulo V del GDPR sigue desestabilizando. Si eres un profesional de marketing que ejecuta campañas públicas, es un intercambio razonable. Si estás en un puesto regulado o consciente de la soberanía donde los datos de clics de la UE no pueden salir de la UE, entonces "cumple mediante transferencia" no supera tu listón, y la solución no es un DPA mejor, es un acortador que nunca realice la transferencia en primer lugar. Decide en qué puesto estás antes de decidir la herramienta.

Lee la serie del pilar

Este artículo forma parte del clúster de cumplimiento. El pilar es GDPR para acortadores de URL: lo que tu DPO realmente quiere ver; empieza ahí para el marco artículo por artículo. Para el resumen orientado a compras, la página de confianza y solutions/compliance son los dos recursos que conviene guardar.

Relacionado en el blog

Preguntas frecuentes

¿Bitly cumple con el GDPR?

Sí, en el sentido formal. Bitly publica un Acuerdo de Tratamiento de Datos (DPA), transfiere datos bajo Cláusulas Contractuales Tipo (SCCs), mantiene una certificación activa del Data Privacy Framework UE-EE. UU., opera una entidad en la UE con sede en Berlín y atiende las solicitudes de los interesados conforme a los artículos 15 a 21. El matiz es que su cumplimiento depende de transferir datos personales de la UE a Estados Unidos, lo cual es legal, pero no es lo mismo que mantener los datos dentro de la UE.

¿Bitly almacena los datos de clics en la UE?

No por defecto. La política de privacidad de Bitly indica que los datos personales pueden transferirse fuera de la UE y del EEE, incluido a Estados Unidos, bajo Cláusulas Contractuales Tipo y el Data Privacy Framework. No existe en los términos públicos un compromiso estándar de procesamiento exclusivo en la UE, así que si la residencia en la UE es tu requisito, tienes que solicitarla específicamente.

¿Bitly cuenta con un acuerdo de tratamiento de datos?

Sí. El DPA de Bitly está incorporado en sus Términos de Servicio en lugar de firmarse como documento independiente, y Bitly Europe GmbH y Bitly Inc. actúan como corresponsables del tratamiento bajo el artículo 26 para los datos que controlan. Lee directamente los términos del DPA para confirmar el modelo de autorización de subencargados y el SLA de eliminación antes de basarte en ellos.

¿Bitly está certificada bajo el Data Privacy Framework UE-EE. UU.?

Sí. Bitly ha certificado ante el Departamento de Comercio de EE. UU. que cumple con los Principios del Data Privacy Framework UE-EE. UU., así como con la Extensión del Reino Unido y el Marco Suiza-EE. UU. Puedes verificar que la certificación sigue activa en la lista oficial de participantes en dataprivacyframework.gov, ya que las certificaciones pueden caducar o retirarse.

¿Es seguro que las empresas de la UE usen Bitly bajo el GDPR?

Para un uso general de marketing, sí: los instrumentos legales están en su lugar. Se vuelve una pregunta más difícil cuando tu sector exige un procesamiento exclusivo en la UE (datos sociales alemanes, datos de salud franceses bajo HDS, servicios financieros), porque una postura basada en transferencias te deja cargando con una Evaluación de Impacto de la Transferencia que un acortador residente en la UE elimina por completo.

Prueba Elido

Pega una URL, obtén un enlace corto

Sin registro. El enlace vive 30 días. Crea una cuenta para conservarlo.

Gratis, sin registro · 2 por día

Prueba Elido

Acortador de URL alojado en la UE: dominios personalizados, análisis profundo y API abierta. Plan gratuito - sin tarjeta de crédito.

Etiquetas
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

Seguir leyendo