¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Twitter Analytics, ahora X Analytics, es la plataforma de medición de audiencias y contenidos de X Corp. Registra impresiones, interacciones y actividad de perfil, y funciona con los widgets X que dejan cookies en los sitios donde se incrustan.
Twitter Analytics, hoy denominada habitualmente X Analytics, es la plataforma de medición de audiencias y contenidos de X Corp, la empresa que opera la red social antes llamada Twitter. Ofrece a los titulares de cuenta métricas de impresiones, interacciones, reproducciones de vídeo, visitas al perfil y demografía de seguidores. La misma telemetría alimenta los informes publicitarios de X Ads Manager y la medición de conversiones del píxel de X.
Las páginas que insertan Tweets, líneas de tiempo, botones de seguir o el píxel de X cargan recursos desde x.com, twitter.com y abs.twimg.com. X coloca identificadores como guest_id, personalization_id, ct0, twid, lang y la cookie de sesión _twitter_sess. Estas cookies permiten el seguimiento entre sitios, la atribución publicitaria y la vinculación de perfiles, incluso en sitios de terceros.
Las cookies entran de lleno en el art. 5(3) de la Directiva ePrivacy y en el art. 22.2 de la LSSI. X Corp actúa como responsable independiente para los datos captados por sus widgets, y la sentencia Fashion ID (C 40/17) genera corresponsabilidad para el sitio que las incrusta. Como el tratamiento incluye perfilado, la única base legal viable del art. 6(1) RGPD es el consentimiento libre, específico, informado e inequívoco del visitante.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los operadores deben bloquear todos los widgets X, líneas de tiempo y píxeles antes de que el visitante acepte en el banner. Una casilla premarcada, un consentimiento implícito o seguir navegando no son válidos (TJUE Planet49, C 673/17). El banner debe describir las finalidades, los plazos de conservación, la transferencia internacional y ofrecer un botón rechazar tan accesible como aceptar, conforme a las directrices CEPD 03/2022 y la guía AEPD de cookies.
X Corp trata los datos en Estados Unidos. La compañía se retiró del EU US Data Privacy Framework en mayo de 2023, por lo que las transferencias solo se apoyan ya en cláusulas contractuales tipo con medidas suplementarias. Schrems II exige una evaluación de impacto de transferencia que cubra las leyes de vigilancia estadounidenses (FISA 702, EO 12333). Varias autoridades europeas han advertido del uso de redes sociales estadounidenses sin garantías sólidas.
Cargue los embeds de X solo tras el consentimiento, use un CMP con categoría X granular, firme el adenda de tratamiento del píxel X, realice una evaluación de impacto de transferencia y considere un proxy en servidor o capturas estáticas de Tweets. Documente el tratamiento en el registro, mencione a X Corp en la política de privacidad y ofrezca un mecanismo de retirada del consentimiento tan sencillo como el de aceptación.
Websites using Twitter Analytics must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD del art. 35 RGPD. Twitter Analytics realiza perfilado sistemático, seguimiento entre sitios y transferencias a un responsable estadounidense que abandonó el Data Privacy Framework en 2023. La EIPD debe documentar las medidas suplementarias post Schrems II, los plazos de conservación y la corresponsabilidad de los embeds X.
Sample consent text
Utilizamos Twitter (X) Analytics y embeds X para medir cómo funcionan nuestros contenidos en la red X. Con su consentimiento, X instala cookies como guest_id y personalization_id, elabora perfiles de su interacción y transfiere los datos a X Corp en Estados Unidos. Puede rechazar o cambiar su elección en cualquier momento.
Third-party domains contacted
x.comtwitter.comabs.twimg.complatform.twitter.comanalytics.twitter.comads-twitter.comt.coCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| guest_id | third party tracking | around 2 years | Unique identifier assigned by X to non logged in visitors, used for analytics, fraud prevention and ad attribution across pages embedding X content. |
| personalization_id | third party advertising | around 2 years | Cross site identifier used by X to personalise advertising and content based on browsing behaviour on any page that loads X widgets or pixels. |
| ct0 | third party security and tracking | 6 hours to 1 year | CSRF token that also enables authenticated and unauthenticated tracking of interactions with X widgets and the X Pixel. |
| twid | third party tracking | persistent | Identifier of the logged in X account, linked to the X user profile and used to attribute embed interactions to a known account. |
| lang | third party preference | session | Stores the language preference used by X widgets and analytics so embedded content is rendered in the right locale. |
| _twitter_sess | third party session | session | Session cookie of the X platform that maintains state when a visitor interacts with embedded Tweets, login flows or video players. |
Twitter Analytics recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Las páginas con widgets X o el píxel X escriben cookies desde x.com y twitter.com. Se encuentran guest_id (identificación del visitante, unos dos años), personalization_id (segmentación entre sitios, unos dos años), ct0 (token CSRF, de seis horas a un año), twid (id del usuario autenticado, persistente), lang (idioma) y _twitter_sess (sesión). Todas se emplean para seguimiento, publicidad y analítica.
Sí. Las cookies entran en el art. 5(3) ePrivacy y en el art. 22.2 LSSI y constituyen perfilado del art. 22 RGPD. Los operadores deben recoger un consentimiento previo, libre, específico, informado e inequívoco antes de cargar las etiquetas X. Un simple aviso o un consentimiento implícito no bastan según las directrices CEPD 03/2022 y la sentencia Planet49.
Solo el consentimiento del art. 6(1)(a) RGPD es viable. El interés legítimo del art. 6(1)(f) queda descartado por el perfilado sistemático, el alcance entre sitios del grafo X y la transferencia internacional. La ejecución contractual (6(1)(b)) tampoco aplica porque el visitante no tiene contrato con el sitio que incrusta las cookies de X.
Sí. X Corp trata los datos en Estados Unidos y se retiró del EU US Data Privacy Framework en mayo de 2023. Las transferencias se apoyan en cláusulas contractuales tipo con medidas suplementarias. Tras Schrems II (C 311/18) es obligatoria una evaluación de impacto de transferencia que cubra FISA 702 y EO 12333.
Una EIPD del art. 35 RGPD es altamente recomendable porque el tratamiento combina perfilado a gran escala, seguimiento entre sitios y transferencia a un tercer país sin decisión de adecuación. La EIPD debe cubrir garantías técnicas, corresponsabilidad, plazos de conservación y derecho de oposición, conforme a la lista AEPD de tratamientos de alto riesgo.
Bloquee por defecto los widgets X y el píxel en el gestor de etiquetas, exponga una categoría de consentimiento granular, cargue los scripts X solo tras el opt in, documente la corresponsabilidad con X Corp, firme el adenda de tratamiento del píxel X y realice una evaluación de transferencia. Conserve el registro del consentimiento y ofrezca una retirada en un clic.
Para medir audiencias, soluciones europeas como Matomo, Plausible, Piwik PRO o AT Internet (Piano Analytics) aportan análisis comparables con modos sin consentimiento. Para la medición social pueden valorarse Buffer Analyze, Hootsuite, Iconosquare o las analíticas nativas de LinkedIn y Mastodon, idealmente con capturas estáticas en lugar de embeds X dinámicos.
Indique a X Corp como destinatario externo con transferencia a EE. UU., enumere las cookies (guest_id, personalization_id, ct0, twid, lang, _twitter_sess) con sus plazos, enlace a la política de privacidad de X y explique cómo retirar el consentimiento. Actualice la política siempre que añada o retire un widget o el píxel de X.