¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Agora

PreferenciasWebsite

¿Qué hace Agora?

Agora es una plataforma estadounidense de Real Time Engagement que ofrece SDK de Voz, Vídeo, Chat y Señalización sobre WebRTC. Integrada en una web o app, abre conexiones cifradas con la Software Defined Real time Network (SD RTN) de Agora, escribe identificadores de sesión en almacenamiento first party y enruta audio y vídeo por nodos de borde globales, incluidos los de la UE. Voz y vídeo son datos personales sensibles: cualquier integración de Agora exige una base legal clara, consentimiento para telemetría no esencial y un mecanismo documentado de transferencias internacionales.

¿Qué es Agora?

Agora es una plataforma de Real Time Engagement con sede en Santa Clara, California, y una entidad china relacionada, Shanghai Agora Lab, que opera la región de China. Los desarrolladores integran los SDK Web, Voz, Vídeo y Real Time Messaging de Agora en sitios o aplicaciones móviles para añadir audio en directo, vídeo en directo, streaming interactivo, chat de voz y señalización. El SDK abre conexiones WebRTC cifradas con la Software Defined Real time Network (SD RTN), una red de borde global con nodos en la UE, Reino Unido, América, Asia Pacífico y Oriente Medio.

Para los editores europeos, Agora resulta atractivo por su infraestructura global de baja latencia, pero el plano de control reside en EE. UU. y el SDK escribe identificadores de sesión, huellas de dispositivo y telemetría de calidad en el almacenamiento first party del sitio integrador. Como voz y vídeo son datos personales sensibles, el perfil de riesgo RGPD de cualquier despliegue de Agora es elevado.

Cookies y datos que recopila Agora

En una integración típica, el SDK de Agora escribe un identificador de sesión, un identificador de peer connection, las capacidades del dispositivo (cámara, micrófono, códecs, red) y una pequeña huella de dispositivo en localStorage e IndexedDB del sitio anfitrión. Abre conexiones WebSocket y DTLS/SRTP con pasarelas *.agora.io, transmite los flujos de audio y vídeo y envía continuamente estadísticas de calidad (bitrate, jitter, pérdida de paquetes, IP, geolocalización aproximada) a dominios statscollector.

En las propiedades agora.io (consola, panel, páginas de marketing), Agora también instala cookies funcionales (csrf, session) y utiliza análisis de terceros como Google Analytics, Hotjar y HubSpot. Cloud Recording y Cloud Transcription, cuando se activan, almacenan los archivos de audio, vídeo y texto resultantes en buckets controlados por Agora (Amazon S3 por defecto) durante el periodo configurado por el desarrollador.

Implicaciones RGPD y ePrivacy

Voz y vídeo son datos de contenido y se rigen plenamente por los arts. 4 y 5 del RGPD. Agora actúa como encargado de tratamiento (art. 28 RGPD) por cuenta del editor, que es responsable. El editor debe firmar el Addendum de Tratamiento de Datos de Agora, documentar la base legal, informar a los usuarios en la política de privacidad e implantar medidas técnicas y organizativas adecuadas, incluidas el cifrado en tránsito (DTLS/SRTP) y los controles de acceso en Cloud Recording.

Conforme a la ePrivacy (art. 5(3) de la Directiva 2002/58/CE y sus trasposiciones nacionales, incluida la LSSI en España), los identificadores de sesión y dispositivo que el SDK guarda en almacenamiento local se asimilan a cookies. Los identificadores estrictamente necesarios para la llamada que el usuario inicia explícitamente pueden quedar exentos del consentimiento previo, pero el fingerprinting, la telemetría QoE, los análisis de terceros en agora.io y cualquier grabación requieren consentimiento previo.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Requisitos de consentimiento

La buena práctica es cargar el SDK de Agora solo tras un clic claro del usuario en Iniciar llamada, Unirse a la sala o Activar cámara. Ese clic puede servir como base legal del art. 6(1)(b) RGPD (ejecución de contrato) para los identificadores de sesión estrictamente necesarios. Para la grabación opcional, la transcripción, el análisis de voz con IA y cualquier telemetría de marketing dirigida a análisis de terceros en el dominio del editor se requiere un opt in separado.

El CEPD considera de alto riesgo el tratamiento de voz y vídeo, por lo que el consentimiento debe ser granular (llamada vs. grabación vs. transcripción vs. análisis), informado (la política debe mencionar las transferencias a EE. UU. y la SD RTN) y tan fácil de retirar como de otorgar.

Transferencias internacionales

Agora Inc. está establecida en EE. UU. Aunque la SD RTN dispone de nodos en Fráncfort, Ámsterdam, Londres, Singapur y Sao Paulo, el plano de control, la gestión de cuentas y la mayor parte de los registros permanecen en EE. UU. La región de China la opera Shanghai Agora Lab y debe tratarse como una transferencia separada a un país sin decisión de adecuación.

El DPA de Agora incorpora las Cláusulas Contractuales Tipo (módulos 2 y 3) y el Addendum IDTA del Reino Unido. Los clientes europeos pueden solicitar restringir los servidores de medios a la región UE. Una Evaluación de Impacto de Transferencias debe revisar las leyes de vigilancia de EE. UU. (FISA 702, EO 12333) y el riesgo adicional del uso de la región de China.

Pasos prácticos de cumplimiento

Firme el DPA de Agora desde la consola. Configure la restricción regional a la UE cuando sea posible. Difiera la carga del SDK hasta que el usuario haga clic en unirse. Enlace la grabación, transcripción y análisis con IA a un consentimiento opcional separado en su CMP. Añada Agora al Registro de Actividades del Tratamiento (art. 30 RGPD) y liste *.agora.io y los dominios statscollector en su política y CSP. Documente las transferencias internacionales, realice una TIA y complete una EIPD que cubra la voz y el vídeo.

GDPR consent category

Preferencias

Websites using Agora must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b) GDPR) for delivering the voice or video call the user has joined. Consent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy) for non strictly necessary cookies, device fingerprinting, quality of experience telemetry and any recording or transcription features. Legitimate interest (Art. 6(1)(f)) is rarely sufficient because of the sensitive nature of audio and video content.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, UK GDPR, US CCPA/CPRA, EU AI Act (for voice analytics features), HIPAA (US healthcare add on), COPPA (under 13 audiences), EU Digital Services Act for hosted communications

DPIA considerations

En general se recomienda EIPD porque Agora procesa comunicaciones de voz y vídeo (datos altamente sensibles) y las enruta por infraestructura vinculada a EE.UU. y China. La evaluación debe cubrir riesgos de identificación del hablante, grabación, transcripción, análisis con IA y transferencias internacionales.

Sample consent text

Utilizamos Agora (Agora Inc., EE. UU.) para las llamadas de voz y vídeo y las funciones de chat de este sitio. Unirse a una llamada le conecta con servidores de borde de Agora, transmite audio, vídeo y datos de calidad de conexión y puede instalar cookies funcionales. Las transferencias internacionales a EE. UU. se amparan en Cláusulas Contractuales Tipo. Consulte nuestra política de privacidad.

Technical details

Tracking methodReal time engagement (RTE) SDK (Agora Web SDK, Voice SDK, Video SDK, RTM SDK) for WebRTC and signaling; loads JavaScript or native libraries that open WebSocket and DTLS/SRTP connections to Agora edge gateways; sets first party cookies on agora.io properties and writes session identifiers, device fingerprints and QoE telemetry to localStorage and IndexedDB on the integrating site

Server locationUnited States (Agora Inc., Santa Clara, California, headquarters); global Software Defined Real time Network (SD RTN) with edge nodes in the European Union (Frankfurt, Amsterdam), the United Kingdom, North America, South America, Asia Pacific and the Middle East; control plane in the United States and the People's Republic of China (Shanghai Agora, parent of the China region)

Data transferred outside the EUAgora is headquartered in the United States and operates a related entity in China (Shanghai Agora Lab). Voice, video and signaling data are routed through the closest SD RTN edge but control plane metadata and account data are processed in the United States. The Agora Data Processing Addendum incorporates the EU Standard Contractual Clauses (modules 2 and 3) and the UK International Data Transfer Addendum, plus optional EU residency for media servers on request.

Third-party domains contacted

agora.ioweb-cdn.agora.iowebrtc2-ap-web-1.agora.iowebrtc2-ap-web-2.agora.iostatscollector-1.agora.iostatscollector-2.agora.iovocs.agora.iosd-rtn.com

Cookies placed

Name	Type	Duration	Purpose
session	first_party	Session	Functional session cookie used by Agora to keep an authenticated session on agora.io and to maintain WebRTC signaling state during a call.
csrf	first_party	Session	CSRF protection token used to validate API and signaling requests against the Agora gateway during a call.
AID	first_party	2 years	Internal anonymous identifier used by Agora to correlate Quality of Experience telemetry (bitrate, jitter, packet loss) across sessions of the same browser.
_ga	third_party	2 years	Google Analytics identifier used on agora.io marketing properties to distinguish unique visitors. Loaded only on agora.io properties, not on integrator sites.
_hjSessionUser_*	third_party	1 year	Hotjar session user cookie used on agora.io properties for product analytics and session replay. Not loaded on integrator sites.
hubspotutk	third_party	6 months	HubSpot visitor identifier used on agora.io properties to attribute marketing campaigns and form submissions. Not loaded on integrator sites.

Agora utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies e identificadores instala Agora?

El SDK Web de Agora apenas usa cookies HTTP clásicas en el dominio del editor. Escribe un identificador de sesión, un identificador de peer connection, capacidades del dispositivo y una pequeña huella de dispositivo en localStorage e IndexedDB. Abre conexiones WebSocket y DTLS/SRTP con *.agora.io y envía telemetría QoE a dominios statscollector. En agora.io (consola, marketing) Agora instala cookies funcionales y utiliza Google Analytics, Hotjar y HubSpot.

¿Es necesario consentimiento para usar Agora?

En la mayoría de casos sí. Los identificadores estrictamente necesarios para la llamada que el usuario inicia explícitamente pueden apoyarse en la ejecución del contrato (art. 6(1)(b) RGPD), pero el fingerprinting, la telemetría QoE, la grabación, la transcripción, los análisis de voz con IA y los análisis de terceros en agora.io requieren consentimiento previo conforme al art. 5(3) ePrivacy y al art. 6(1)(a) RGPD.

¿Cuál es la base jurídica del tratamiento a través de Agora?

Ejecución de contrato (art. 6(1)(b) RGPD) para el servicio de voz o vídeo solicitado. Consentimiento (art. 6(1)(a) RGPD) para funciones opcionales como grabación, transcripción, análisis con IA y telemetría de marketing. Obligación legal (art. 6(1)(c)) cuando se conservan grabaciones por exigencia regulatoria. El interés legítimo rara vez es suficiente por la sensibilidad de la voz y el vídeo.

¿Agora transfiere datos a terceros países?

Sí. Agora Inc. tiene sede en EE. UU. y su filial Shanghai Agora Lab opera la región de China. Los medios se enrutan por el nodo SD RTN más cercano, pero el plano de control, los datos de cuenta y la mayoría de registros se tratan en EE. UU. Las transferencias se amparan en el DPA de Agora con las Cláusulas Contractuales Tipo y el IDTA del Reino Unido. Los clientes UE pueden bloquear los servidores multimedia a la región UE y deben realizar una TIA.

¿Necesito EIPD para Agora?

Sí. El art. 35 RGPD exige EIPD cuando se tratan a gran escala contenidos de comunicación, rasgos biométricos de voz o vídeo o se realiza un seguimiento sistemático. Agora cumple normalmente al menos uno de estos criterios. La EIPD debe cubrir la identificación del hablante, grabación, transcripción, análisis con IA, medidas de seguridad y transferencias internacionales a EE. UU. y China.

¿Cómo desplegar Agora cumpliendo la normativa?

Firme el DPA de Agora desde la consola, solicite la restricción regional UE cuando sea posible, demore la carga del SDK hasta que el usuario se una activamente, controle las funciones opcionales (grabación, transcripción, IA) mediante consentimiento separado en su CMP, mencione Agora y las transferencias a EE. UU. en su política, liste *.agora.io y statscollector en su CSP y actualice el RAT (art. 30) y la EIPD.

¿Existen alternativas a Agora?

Para tiempo real con base en la UE, las principales alternativas son Daily, LiveKit Cloud (clústeres UE), Vonage Video API (ahora parte de Daily), Twilio Programmable Video (EE. UU., perfil similar) y soluciones autoalojadas como Jitsi Meet, LiveKit OSS, mediasoup o Janus Gateway. Los despliegues solo en la UE de LiveKit OSS o Jitsi suelen puntuar mejor en la TIA, a costa de mayor esfuerzo operativo.

¿Cómo actualizar mi política de cookies y privacidad para Agora?

Añada una sección Agora a su política de privacidad describiendo el SDK, los flujos WebRTC, la telemetría QoE, el uso de localStorage e IndexedDB y las transferencias a EE. UU. y China. En la política de cookies y en su CMP, liste Agora como tercero con su propio toggle de consentimiento, separado de las funciones opcionales, y enlace la política de privacidad y el DPA de Agora.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note