¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Supabase es una plataforma backend de código abierto que combina base Postgres, autenticación, almacenamiento, websockets en tiempo real y funciones edge detrás de una API sencilla para desarrolladores. Los proyectos se ejecutan en AWS en la región elegida por el cliente, con varias regiones disponibles en la UE. Desde la óptica del RGPD, Supabase Inc. actúa como encargado del tratamiento y procesa los datos de aplicación por cuenta del cliente. Los usuarios finales del sitio público no suelen ver cookies de Supabase, salvo cuando se les expone Supabase Auth.
Supabase es una alternativa de código abierto a Firebase que combina una base de datos Postgres gestionada, un servicio de autenticación, almacenamiento de ficheros, websockets en tiempo real y funciones edge en un único backend. Los desarrolladores crean un proyecto, eligen una región de AWS y consumen la plataforma mediante el SDK supabase-js, la API REST generada automáticamente a partir de Postgres, el endpoint GraphQL o conexiones SQL directas. Supabase se utiliza ampliamente como backend de aplicaciones Next.js, SvelteKit, Nuxt y Expo en las que la capa de datos, la autenticación y la subida de archivos se delegan completamente en Supabase.
Supabase trata los datos de aplicación que el cliente envía al proyecto: cuentas de usuario en la tabla auth.users, datos de perfil y de negocio en tablas personalizadas, ficheros en buckets de Storage, payloads emitidos en tiempo real mediante replicación de Postgres y registros de auditoría. Supabase Auth emite un JSON Web Token, una cookie de acceso (sb-access-token), una cookie de actualización (sb-refresh-token) y almacena la sesión en el localStorage del navegador cuando se utiliza el SDK de JavaScript. La plataforma también recoge metadatos estándar (dirección IP, User Agent) por motivos de seguridad y limitación de tasa.
Supabase Inc. actúa como encargado del tratamiento para los datos de aplicación del cliente y como responsable para fines limitados de cuenta, facturación y seguridad. Las cookies de Supabase Auth son estrictamente necesarias para mantener al usuario autenticado y se acogen a la excepción de ePrivacy, por lo que no se requiere consentimiento. Los datos personales almacenados en la base, en Storage o en los canales Realtime heredan la base jurídica elegida por el cliente (normalmente ejecución de un contrato según el artículo 6.1.b) del RGPD para un SaaS autenticado, o consentimiento según el artículo 6.1.a) para datos de marketing).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los proyectos de Supabase pueden desplegarse en eu-central-1 (Frankfurt), eu-west-1 (Irlanda), eu-west-2 (Londres) o eu-west-3 (París). Aunque se elija una región europea, el panel de control, el soporte, la observabilidad y la facturación se operan desde Estados Unidos. Las transferencias se apoyan en el Anexo de Tratamiento de Supabase, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., con TLS 1.3, cifrado en reposo, SOC 2 Tipo II, HIPAA para el plan empresarial y un acceso de soporte muy restringido. Las copias de seguridad a largo plazo permanecen en la misma región de AWS que el proyecto.
Firme el Anexo de Tratamiento de Supabase, elija una región europea para producción, restrinja las políticas RLS permisivas, habilite registros de auditoría y defina reglas de retención para auth.users, los metadatos de usuario y los buckets de Storage. Documente Supabase como encargado del tratamiento en su registro de actividades, mencione a Supabase Inc., el destino estadounidense y las garantías CCT y DPF en la política de privacidad, y asegúrese de que las integraciones analíticas o de marketing conectadas a Supabase (Segment, PostHog, Hotjar, Meta Pixel) respetan el estado de consentimiento del visitante.
Websites using Supabase must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD cuando Supabase almacena volúmenes significativos de datos personales (cuentas de usuario, perfiles, datos de salud, financieros o de localización), cuando la aplicación perfila de forma sistemática a usuarios europeos o cuando Realtime difunde datos personales en directo. El uso backend habitual para una lista de espera o un formulario de contacto no suele requerir EIPD.
Sample consent text
Esta aplicación utiliza Supabase, una plataforma backend operada por Supabase Inc. (EE. UU.) sobre infraestructura AWS en una región europea. Supabase almacena sus datos de cuenta, perfil y aplicación. Supabase Auth instala cookies y tokens estrictamente necesarios para mantener su sesión. Al crear una cuenta, acepta este tratamiento al amparo de las Cláusulas Contractuales Tipo de la UE y del Marco de Privacidad de Datos UE EE. UU.
Third-party domains contacted
supabase.comsupabase.cosupabase.insupabase.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sb-access-token | Strictly necessary | 1 hour (configurable) | Stores the JWT access token issued by Supabase Auth to authenticate the user against the project APIs. |
| sb-refresh-token | Strictly necessary | 7 days (configurable) | Stores the refresh token used to obtain a new access token without re prompting the user for credentials. |
| sb-{project-ref}-auth-token | Strictly necessary | 7 days (configurable) | Composite Supabase Auth helper cookie used by the SSR helpers (next.js, sveltekit) to read the session on the server. |
Supabase recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Cuando la aplicación utiliza Supabase Auth en el navegador, Supabase instala cookies estrictamente necesarias: sb-access-token (JWT de acceso), sb-refresh-token (token de actualización) y una cookie auxiliar sb- para SSR. Las cookies se acotan al dominio de la aplicación (first party). Supabase Auth también almacena la sesión en localStorage cuando el SDK de JavaScript está configurado para ello.
Las cookies instaladas por Supabase Auth son estrictamente necesarias para mantener una sesión autenticada y se acogen a la excepción de ePrivacy, por lo que no se requiere consentimiento. Sí se requiere consentimiento si la aplicación almacena en Supabase datos de marketing o de analítica que vayan más allá de la cuenta de usuario, o si el frontend incluye junto a Supabase rastreadores no esenciales.
La creación de cuentas, el inicio de sesión y el propio SaaS se amparan en la ejecución de un contrato del artículo 6.1.b) del RGPD. Los registros de seguridad y la limitación de tasa se basan en el interés legítimo del artículo 6.1.f). Los datos de marketing, los opt in de boletín y la analítica almacenada en Supabase se basan en el consentimiento del artículo 6.1.a).
Supabase firma las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD mediante su Anexo de Tratamiento y confirma su adhesión al Marco de Privacidad de Datos UE EE. UU. Los datos de producción residen en la región AWS elegida por el cliente (eu-central-1, eu-west-1, eu-west-2, eu-west-3). Como medidas adicionales se aplican TLS 1.3, cifrado en reposo, SOC 2 Tipo II, HIPAA para clientes empresariales y un acceso de soporte muy restringido.
Se recomienda una EIPD cuando Supabase almacena volúmenes significativos de datos personales (cuentas de usuario, perfiles, datos de salud, financieros o de localización), cuando la aplicación perfila de forma sistemática a usuarios europeos o cuando Realtime difunde datos personales en directo. Para una lista de espera pequeña, un formulario de contacto o una herramienta interna, normalmente no se requiere EIPD.
Firme el Anexo de Tratamiento de Supabase, elija una región europea para producción, habilite políticas RLS estrictas, utilice las claves service role solo en entornos de servidor seguros, active registros de auditoría, defina reglas de retención para usuarios y Storage y documente Supabase como encargado del tratamiento en su registro de actividades. Mencione a Supabase Inc., la región europea y las garantías CCT y DPF en la política de privacidad.
Las alternativas europeas o autoalojadas incluyen Supabase autoalojado (el proyecto es open source bajo Apache 2.0), Nhost (Alemania), Hasura (EE. UU. y UE), Appwrite (Países Bajos, autoalojado o cloud), Pocketbase (open source, autoalojado), Directus (open source, autoalojado) y OVHcloud Postgres gestionado combinado con autenticación propia.
Indique a Supabase Inc. como encargado del tratamiento del backend, mencione las cookies estrictamente necesarias de Supabase Auth (sb-access-token, sb-refresh-token) y explique que mantienen la sesión del usuario, indique que los datos se almacenan en una región AWS europea elegida por el editor y enlace a la Política de Privacidad de Supabase. No es necesaria una entrada de consentimiento para estas cookies porque se acogen a la excepción de estricta necesidad.