Elido
Blog
13 min de leituraComparações

Os melhores encurtadores de URL da UE em 2026 (e por que importa)

Quais os encurtadores de URL que realmente alojam na UE, como são as suas listas de subprocessadores e como interpretar uma declaração de residência face à infraestrutura subjacente

Sasha Ehrlich
Compliance · EU residency
Comparison matrix of EU URL shorteners by hosting region, sub-processor count, EU-only contract clause, and self-host availability

A expressão "encurtador de URL da UE" é usada de forma imprecisa. Duas coisas devem ser claras antes de analisar o mercado: um fornecedor com sede na UE não está necessariamente a processar dados na UE, e um fornecedor que processa dados na UE não está necessariamente a expor isso como cláusula contratualmente vinculativa. A questão do lado do comprador - "posso exigir, por escrito, que os dados pessoais dos meus cidadãos da UE permaneçam dentro do EEE?" - colapsa estas distinções e espera uma resposta de sim ou não.

Este artigo é uma leitura de compliance funcional sobre quais os encurtadores de URL que realmente cumprem esse critério em 2026, como é a sua infraestrutura subjacente e como interpretar uma declaração de residência face à realidade operacional. Mantive as afirmações naquilo que é verificável a partir de fontes públicas - páginas de preços, listas de subprocessadores, páginas de segurança, DPAs standard disponíveis mediante pedido. Quando a postura de um fornecedor é ambígua, disse-o.

Sim, a Elido é uma das opções. Serei específico sobre os trade-offs face às alternativas em vez de os tratar de forma superficial.

O que "encurtador da UE" realmente significa#

Três camadas, e um fornecedor pode reivindicar "UE" em qualquer uma delas. Não são equivalentes.

Entidade jurídica. A empresa está incorporada num Estado-membro da UE. Esta é a afirmação mais fácil de verificar (Companies House, o registo comercial local) e a menos significativa operacionalmente. Um fornecedor com sede em Berlim que aloja na AWS US-East está na UE em termos societários e fora dela em termos de tratamento de dados.

Região de alojamento. Os dados são processados em infraestrutura localizada na UE/EEE. Esta é a afirmação operacionalmente significativa. É mais difícil de verificar diretamente - tem de ler a lista de subprocessadores e identificar a região do hyperscaler - mas é a afirmação que o seu DPO realmente se preocupa.

Cláusula contratual de residência. O contrato com o cliente ou DPA inclui um compromisso vinculativo de que os dados não sairão da UE/EEE sem aviso e consentimento. É isto que a aquisição usa para satisfazer as obrigações perante os reguladores. Sem esta cláusula, mesmo um fornecedor que atualmente aloja na UE pode encaminhar para uma região dos EUA no próximo trimestre sem violar o contrato.

Um encurtador da UE sério cumpre as três. Um fornecedor que cumpre apenas a primeira ou a segunda é o que é vendido sob o eufemismo "amigável para a UE".

O cornerstone do RGPD para encurtadores de URL cobre a base ao nível dos artigos para explicar por que estas distinções importam; este artigo centra-se no panorama de fornecedores.

Como ler uma lista de subprocessadores#

Qualquer SaaS sério publica uma lista de subprocessadores. A lista é o artefacto que o seu DPO irá ler; é também o sinal mais fiável de como o fornecedor pensa sobre a questão da residência.

O que procurar:

  • Regiões do hyperscaler identificadas. "AWS" sozinho é insuficiente; "AWS eu-central-1" é a resposta utilizável. O mesmo para GCP (europe-west1) e Azure (westeurope, germanywestcentral).
  • Comportamento da região CDN. Cloudflare e Fastly são globais por predefinição. O fornecedor deve documentar se o subconjunto da UE é imposto (os Regional Services da Cloudflare são a opção exclusiva para o plano de dados da UE), ou se o CDN está na sua postura de encaminhamento global padrão.
  • Fornecedores de e-mail e notificação. Postmark, SendGrid, Mailgun, Resend - a maioria está alojada nos EUA. Se estiverem na lista de subprocessadores, o e-mail transacional contém identificadores de cidadãos da UE (o endereço de e-mail do destinatário), e a declaração de residência deve incluir esses fornecedores ou excluir o e-mail transacional do âmbito da declaração.
  • Fornecedores de pagamento. Frequentemente alojados nos EUA (Stripe é o exemplo óbvio). Para SaaS B2B, isto geralmente não é problema - os dados partilhados são o contacto de faturação do comprador, não os dados de clique do utilizador final - mas deve ser divulgado.
  • Contagem de subprocessadores. Menor é mais legível. Uma lista de cinco é auditável numa tarde; uma lista de quarenta é uma carga de manutenção cada vez que o fornecedor adiciona um.

A lista é o sinal. Um fornecedor que não lhe mostra a sua lista de subprocessadores não tem nada a acrescentar à conversa.

A lista restrita#

O aspeto do segmento alojado na UE ao momento da escrita. Agrupei por modelo de implementação porque as implicações contratuais são diferentes.

Matriz de postura de UE classificada para Elido, Capsulink, Switchy, Bitly, Rebrandly e Short.io, pontuando cada um em cláusula de residência na UE, DPA pré-assinado, contagem de subprocessadores, atestações e região de alojamento, com a linha do Elido destacada no topo

SaaS alojado, região da UE por predefinição#

Estes são encurtadores comerciais que processam dados de clientes na UE como postura predefinida, com um compromisso de residência documentado contratualmente.

Elido. Região da UE por predefinição. Os clientes Business+ podem fixar em Leste dos EUA ou Ásia-Pacífico quando o seu perfil de tráfego o exige. A lista de subprocessadores tem cinco fornecedores no total, publicada em /trust. O DPA está pré-assinado no contrato standard com o cliente; as obrigações do Artigo 28 são abordadas sem negociação. Certificado ISO 27001; SOC 2 Tipo II em curso (alvo H2 2026). Edição self-hosted sob Apache 2.0 para organizações que querem controlo total do plano de dados. Divulgação: trabalho para a Elido.

Capsulink (capsulink.com). Sediada em Vilnius, Lituânia. A região de alojamento está documentada como UE; a lista de subprocessadores é razoavelmente pequena. Superfície de funcionalidades mais pequena do que os encurtadores comerciais estabelecidos - pouco em profundidade de regras de smart-link e reencaminhamento de conversões do lado do servidor - mas a postura de residência é limpa para equipas cujo caso de uso é o encurtamento simples de links com domínios de marca.

Switchy (switchy.io). Com base no Chipre, alojado na UE. Mais forte no lado das funcionalidades de marketing (overlays de CTA, pixels de retargeting). A cláusula de residência está no contrato standard; os subprocessadores estão documentados mediante pedido em vez de publicados.

Deliberadamente não listei todos os encurtadores que se comercializam para compradores da UE - apenas aqueles onde verifiquei pessoalmente a região de alojamento e vi uma cláusula de residência no contrato. Vários outros fornecedores descrevem-se como "amigáveis para a UE" enquanto estão em infraestrutura dos EUA; o processo de descoberta do lado do comprador deve sempre incluir a questão do subprocessador na primeira chamada.

SaaS alojado, EUA por predefinição com regiões da UE disponíveis#

Os encurtadores maiores que operam principalmente nos EUA mas têm alguma postura de UE.

Bitly está alojado nos EUA ao momento da escrita. A sua página pública de subprocessadores lista US-East como primário. Os clientes enterprise podem negociar cláusulas de residência na UE, mas é uma conversa de contrato personalizado em vez de uma oferta standard. Implicação prática: se o seu comprador exige residência na UE no contrato, espere um ciclo de aquisição de seis a oito semanas do lado do Bitly. O artigo Elido vs Bitly cobre o trade-off do lado dos custos em detalhe.

Rebrandly tem sede em Itália mas aloja na AWS em regiões que abrangem os EUA e a UE. O contrato standard não inclui uma cláusula de UE exclusiva; está disponível mediante pedido para clientes enterprise. O mesmo aviso de aquisição aplica-se.

Short.io tem sede na Estónia (um sinal significativo - as empresas estonianas são nativas do RGPD por virtude de operar a partir de um Estado-membro) mas aloja na AWS sem um pin de região publicado no contrato standard. A conversa de residência está aberta à negociação; o contrato predefinido não a vincula.

Estou a descrever o que é verificável a partir de materiais públicos. Se está na fase de aquisição, peça à equipa de vendas de cada fornecedor a lista de subprocessadores standard e a linguagem da cláusula de residência diretamente. Os fornecedores que não conseguem fornecer ambos num dia útil estão a sinalizar algo sobre a sua prontidão para aquisição.

Self-hosted#

Para organizações que querem o plano de dados na sua própria VPC - serviços financeiros com requisitos regulatórios de localidade de dados, compradores do setor público, sistemas de saúde - o self-hosting é a resposta mais limpa para a questão da residência.

Elido self-hosted. Helm chart Apache 2.0; traga a sua própria KMS, base de dados, armazenamento de análise e cache. O mesmo código que corre no serviço alojado corre em self-hosted. Documentamos o deployment no guia de self-hosting e o Helm chart no repositório público.

YOURLS (yourls.org). O veterano encurtador self-hosted. Baseado em PHP, backend MySQL. Mantido, mas o código reflete a sua origem de 2009 - encaminhamento de smart-link limitado, sem reencaminhamento de conversões do lado do servidor nativo, e a camada de análise é rudimentar. Adequado quando o caso de uso é "infraestrutura mínima de links curtos sob o nosso controlo"; não adequado quando se quer um encurtador rico em funcionalidades.

Shlink (shlink.io). Encurtador self-hosted moderno construído em PHP/Symfony. Manutenção ativa, superfície de funcionalidades decente (smart links, domínios personalizados, REST API), licença MIT. A equipa está sediada em Espanha. Um meio-termo razoável se o caso de uso é self-hosting de médias funcionalidades e tem a capacidade operacional para o executar.

Kutt.it (kutt.it). Encurtador open-source TypeScript/Node, pode ser self-hosted. Superfície de funcionalidades mais leve do que o Shlink; a versão alojada existe mas é operada por um indivíduo em vez de uma entidade comercial. Adequado para equipas muito pequenas.

O padrão de trade-off em todas as opções open-source: a superfície de funcionalidades é materialmente mais leve do que as alternativas comerciais alojadas. Se os seus critérios de avaliação incluem profundidade de regras de smart-link, reencaminhamento de conversões do lado do servidor, wildcards de domínios de marca, SSO/SCIM ou um DPA pré-assinado, o caminho open-source deixa-o a construir essas funcionalidades por conta própria. Se os seus critérios são puramente "controlo mínimo sobre links curtos na nossa própria VPC", são sólidos.

O que perguntar aos fornecedores#

A forma mais rápida de dimensionar a postura de residência de um encurtador é a chamada de descoberta. Oito perguntas, um dia útil, respostas escritas.

  1. Qual é a região de alojamento para novos clientes assinados hoje? Identifique a região do hyperscaler.
  2. A região de alojamento é um compromisso contratual no contrato standard com o cliente, ou é uma prática operacional documentada?
  3. O DPA está pré-assinado no contrato standard, ou é negociado por cliente?
  4. Quantos subprocessadores inclui a cadeia de processamento standard? Identifique-os.
  5. Qual é o SLA de notificação de violação? (Norma do setor: 24 horas desde a tomada de conhecimento até à notificação do responsável pelo tratamento.)
  6. Qual é o SLA de apagamento de titulares de dados, e é operacionalmente alcançável no armazém de eventos de clique?
  7. Que atestações independentes tem o fornecedor? Quando foi fechada a última auditoria?
  8. Se o cliente exigir processamento exclusivo na UE, qual é o processo de aditamento ao contrato?

Um fornecedor que consiga responder a essas oito por escrito no primeiro dia útil está pronto para aquisição. O fornecedor que não consegue vai consumir semanas do seu ciclo de vendas e pode revelar problemas no momento da assinatura que não eram óbvios inicialmente.

A ressalva do Schrems II#

O Schrems II (TJUE C-311/18, 2020) invalidou o Privacy Shield. O seu sucessor - o Quadro de Privacidade de Dados UE-EUA, adotado em 2023 - restaurou um mecanismo de transferência para organizações dos EUA participantes. Duas ressalvas são importantes para a seleção de encurtadores.

O DPF é voluntário. Nem todos os encurtadores dos EUA estão certificados; verifique a lista de participantes do DPF antes de o utilizar como base de transferência. Ao momento da escrita, vários encurtadores importantes dos EUA não constam da lista, o que significa que as transferências ao abrigo do contrato standard ainda dependem de SCCs mais uma Avaliação de Impacto da Transferência.

O DPF é ele próprio objeto de litígios pendentes. O NOYB sinalizou intenção de o impugnar perante o TJUE. Um acórdão Schrems III é plausível nos próximos 24-36 meses; se chegar, o DPF seguirá o caminho do Privacy Shield e o SaaS alojado nos EUA que dele dependia terá de reverter imediatamente para SCC+TIA. Os compradores a planear para esse cenário exigem cada vez mais contratualmente o processamento exclusivo na UE nos seus templates standard de aquisição.

A conclusão prática: um encurtador alojado na UE é uma cobertura contra o próximo acórdão Schrems tanto quanto é uma resposta ao atual regime jurídico. Os compradores em setores regulamentados - saúde alemã, dados de saúde franceses via certificação HDS, serviços financeiros sob as diretrizes da EBA - estão a tornar esta cobertura cada vez mais explícita.

Quando a questão é "análise alojada na UE", não "encurtador da UE"#

Algumas equipas chegam a esta avaliação tendo decidido que o encurtador em si está bem, mas o pipeline de análise por trás dele não. O encurtador está alojado na UE; os eventos de clique são exportados para um armazém alojado nos EUA para análise; a declaração de residência falha na exportação.

A correção está no armazém e no pipeline de exportação, não no encurtador. O ClickHouse Cloud tem uma região em Frankfurt; o BigQuery e o Snowflake têm ambos regiões em Frankfurt; a exportação do encurtador tem de ser configurada para aterrar na região da UE em vez da região padrão dos EUA. O guia de exportação de análise da Elido cobre a configuração; o mesmo aplica-se às exportações para BigQuery e Snowflake.

Se a sua equipa utiliza um CDP alojado (Segment, mParticle, RudderStack), aplica-se a mesma questão - a maioria dos CDPs tem uma opção de região na UE que precisa de ser ativada no momento da criação do workspace e é difícil de migrar retroativamente. Acerte isto no início da avaliação; o custo de retrofit é real.

O que concluir#

Fluxo de decisão de residência na UE: se o plano de dados deve ficar na sua própria VPC, faça self-host com Elido, Shlink ou YOURLS; se precisar de uma cláusula de UE exclusiva no contrato standard escolha um SaaS com UE como predefinição como Elido, Capsulink ou Switchy; se um contrato enterprise for aceitável use um fornecedor com EUA como predefinição mas com uma região da UE; caso contrário verifique a lista do DPF e apoie-se em SCCs mais uma avaliação de impacto de transferência

Para a maioria das equipas de SaaS B2B a vender na UE, a questão da residência vai surgir. O template de aquisição do comprador incluirá a questão; o DPO lerá a resposta; o fornecedor que conseguir responder de forma limpa na primeira chamada ganha tempo no ciclo. Para equipas a vender para serviços financeiros, saúde ou setor público, a residência é às vezes um filtro de aprovação/rejeição, não uma preferência suave.

Os encurtadores alojados na UE são um segmento pequeno do mercado. Três opções comerciais com superfície de funcionalidades razoável - Elido, Capsulink, Switchy - mais as alternativas open-source self-hosted. Os encurtadores maiores com EUA como padrão (Bitly, Rebrandly, Short.io) geralmente conseguem acomodar a residência na UE em contratos enterprise, com o custo do ciclo de aquisição que advém de conversas de contrato personalizado.

A versão honesta de "qual devemos escolher" é: reduzir a lista a três ou quatro que cumpram os seus requisitos de residência, funcionalidades e preços, enviar a cada um as oito questões de descoberta por escrito, assinar aquele que responder primeiro e responder a todas as oito de forma clara. Esse filtro é mais decisivo do que qualquer lista de verificação de funcionalidades - os fornecedores que não conseguem lidar com o rigor do lado da aquisição não vão lidar com as suas escaladas de suporte ao cliente também.

Leia o cluster#

Este é um artigo irmão no cluster de comparações. O cornerstone é Alternativas ao Bitly - o verdadeiro gap de funcionalidades; veja também Elido vs Bitly para a aritmética de custos. Para o detalhe do lado do compliance por detrás da declaração de residência, RGPD para encurtadores de URL é o cornerstone do cluster de compliance. Artefactos para aquisição: /trust, /solutions/compliance, /solutions/enterprise.

Relacionado no blog#

Experimente Elido

Cole uma URL, obtenha um link curto

Sem cadastro. O link vive 30 dias. Cadastre-se para mantê-lo para sempre.

Grátis, sem necessidade de registo · 2 por dia

Experimente o Elido

Encurtador de URL hospedado na UE: domínios personalizados, análises profundas e API aberta. Plano gratuito - sem cartão de crédito.

Experimente o Elido grátisVer preços
Tags
eu url shortener
gdpr url shortener
european url shortener
data residency
self hosted url shortener
schrems ii

Continuar lendo