¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
El widget ClustrMaps es un contador de visitantes gratuito con mapamundi que recopila direcciones IP de los visitantes, las geolocaliza y muestra públicamente datos de visitas agregados en su sitio web.
El widget ClustrMaps es un contador de visitantes gratuito lanzado en 2005 y ahora propiedad de Pillar Health, empresa estadounidense. Los editores integran un pequeño fragmento de código (script y etiqueta de imagen) en su HTML; cada visita activa una llamada del lado del servidor a clustrmaps.com que registra la dirección IP del visitante, realiza una búsqueda de geolocalización e incrementa un contador público. A continuación el widget muestra un mapamundi o un contador numérico con los orígenes de las visitas. A diferencia de las soluciones puramente del lado del cliente, ClustrMaps captura los datos en el propio servidor a partir de la petición HTTP, por lo que la dirección IP se lee aunque no se establezca ninguna cookie.
En cada carga de página el navegador realiza una petición a los dominios clustrmaps.com. La petición HTTP transmite la dirección IP, el User-Agent, el Referer y la marca temporal a los servidores ClustrMaps en Estados Unidos. ClustrMaps geolocaliza la IP a nivel de ciudad, almacena un contador agregado asociado al identificador de su widget y puede emplear almacenamiento de primera parte para reconocer visitantes recurrentes. El contador agregado (ciudad, país, total de visitas) se muestra públicamente en el widget. Las direcciones IP en bruto permanecen en ClustrMaps, pero los marcadores de ciudad agregados son públicamente visibles e indexables por motores de búsqueda.
El Tribunal de Justicia de la Unión Europea declaró en el asunto Breyer (C-582/14, sentencia de 19 de octubre de 2016) que las direcciones IP dinámicas constituyen datos personales para un proveedor de servicios de medios en línea cuando dispone de medios legales para identificar al visitante con ayuda de información adicional en poder de un tercero (típicamente el ISP). El TJUE confirmó y amplió esta doctrina en IAB Europe (C-604/22, 7 de marzo de 2024). Dado que ClustrMaps registra activamente las IP, las geolocaliza y las combina con marcas temporales y User-Agents, el tratamiento entra plenamente en el artículo 4.1 del RGPD. El interés legítimo del considerando 49 no basta, pues los datos se comparten con un tercero estadounidense con fines analíticos y no de seguridad.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pillar Health está establecida en EE. UU. y la infraestructura de ClustrMaps se aloja allí. Tras la sentencia Schrems II (C-311/18, 16 de julio de 2020) que anuló el Privacy Shield, los responsables deben recurrir a Cláusulas Contractuales Tipo complementadas con una evaluación de impacto de la transferencia. El Data Privacy Framework UE-EE. UU. adoptado en julio de 2023 restablece parcialmente la adecuación, pero solo para entidades auto-certificadas. La certificación DPF de Pillar Health debe verificarse en la lista oficial de dataprivacyframework.gov antes de invocarla. En caso contrario, el responsable debe firmar CCT y evaluar las leyes estadounidenses de vigilancia (FISA 702, EO 12333) en relación con el tratamiento de IP.
Un riesgo propio de ClustrMaps es la exhibición pública de los datos de visitas agregados. En sitios de alto tráfico los marcadores de ciudad resultan inofensivos, pero en sitios pequeños o especializados (blog personal, página de consulta, asociación de nicho) el mapa puede señalar la ciudad de un único visitante. Combinado con la temática de la página (patología, opinión política, consulta confidencial), el contador público puede equivaler a una divulgación indirecta de categorías especiales de datos del artículo 9 del RGPD. Las Directrices 04/2019 del CEPD sobre rendición de cuentas recuerdan que los responsables deben evaluar el riesgo de reidentificación a partir de agregados públicos. Los editores de sitios poco frecuentados o de contenido sensible deben desactivar la vista pública del mapa o prescindir del widget.
Como ClustrMaps realiza un tratamiento analítico que no es estrictamente necesario para prestar el servicio solicitado, el artículo 5(3) de la Directiva ePrivacy y los considerandos paralelos de la AEPD exigen un consentimiento previo, informado, libre y específico antes de cargar el script o capturar la IP. La CNIL ha sostenido de forma reiterada (deliberaciones SAN-2022-009 y SAN-2023-024) que los widgets analíticos ''gratuitos'' no disfrutan de ninguna exención análoga a la de las soluciones de medición conformes al referencial CNIL. La CNIL también advierte en su guía de 2024 sobre servicios de terceros de la monetización de datos por los widgets gratuitos, recordando que el responsable sigue respondiendo del tratamiento posterior. En la práctica: desplegar ClustrMaps solo tras un consentimiento granular vía CMP, bloquear el script hasta que se acepte y ofrecer un rechazo de igual prominencia.
Websites using Widget ClustrMaps must obtain user consent under GDPR regulations.
DPIA considerations
El widget ClustrMaps recopila las direcciones IP de los visitantes en el lado del servidor, que conforme a la sentencia del TJUE Breyer (C-582/14) constituyen datos personales cuando pueden combinarse con otros identificadores en poder del responsable. El widget transfiere datos a servidores de Pillar Health en EE. UU., activando las obligaciones Schrems II: verificación de Cláusulas Contractuales Tipo y evaluación de impacto de transferencia respecto de FISA 702 y EO 12333. Un riesgo específico es el 'contador público': los datos agregados (ciudad, país, recuento) se muestran públicamente y en páginas con poco tráfico pueden reidentificar indirectamente a un visitante (un único marcador de ciudad próximo a un destinatario conocido). La CNIL advierte repetidamente que los widgets 'gratuitos' financian su servicio mediante la monetización de datos de comportamiento; el responsable debe examinar el modelo de negocio. Se recomienda una EIPD si el widget se integra en páginas de contexto sensible (salud, política, religión) o si el tráfico permite una identificación indirecta.
Sample consent text
Utilizamos el widget ClustrMaps para mostrar un mapa público de los visitantes de este sitio. Este servicio recopila su dirección IP y su ubicación geográfica aproximada y los transfiere a servidores de Pillar Health en Estados Unidos. ¿Da su consentimiento a este tratamiento?
Third-party domains contacted
clustrmaps.comwww.clustrmaps.comcdn.clustrmaps.comclustrmaps-cdn.complus.pillarhealth.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| clustrmaps_session | first_party | session | Server-side session identifier used by ClustrMaps to deduplicate repeat page views within a single browsing session and prevent counter inflation. Set in first-party context but linked to ClustrMaps processing in the US. |
| __cmuid | third_party | 1 year | Persistent visitor identifier set by clustrmaps.com to recognise returning visitors across sessions and to attribute repeat visits in the aggregated map. Considered non-essential analytics storage requiring prior consent under Article 5(3) of the ePrivacy Directive. |
| cm_geo | first_party | 30 days | Stores the cached geolocation result for the visitor's IP to reduce duplicate GeoIP lookups by ClustrMaps. The cached city or country value is processed alongside server-side IP collection and is subject to consent and to GDPR transfer rules when synchronised with the US backend. |
Widget ClustrMaps utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
Sí. ClustrMaps realiza un tratamiento analítico que no es estrictamente necesario para prestar el servicio solicitado por el usuario. El artículo 5(3) de la Directiva ePrivacy y los considerandos equivalentes de la LSSI y de la AEPD exigen un consentimiento previo, informado, libre, específico e inequívoco antes de cargar el script del widget o capturar cualquier IP. El widget debe quedar bloqueado por una CMP hasta la aceptación explícita y el rechazo debe ser tan sencillo como la aceptación.
Sí. En la sentencia Breyer (C-582/14) el TJUE declaró que las direcciones IP dinámicas son datos personales cuando el responsable dispone de medios legales para obtener información identificativa de un tercero como el ISP. La sentencia IAB Europe (C-604/22, 2024) confirma una interpretación amplia de la identificabilidad. ClustrMaps registra la IP, la geolocaliza y la combina con marcas temporales y User-Agents: todo ello entra plenamente en el artículo 4.1 del RGPD.
ClustrMaps lo opera Pillar Health en Estados Unidos. Tras Schrems II (C-311/18, 2020) los responsables deben utilizar Cláusulas Contractuales Tipo más una evaluación de impacto de transferencia, o bien una certificación válida en el marco del Data Privacy Framework UE-EE. UU. adoptado en julio de 2023. Verifique el estado DPF activo de Pillar Health en dataprivacyframework.gov; en caso contrario, sigue expuesto a los riesgos de acceso por FISA 702 y EO 12333 y debe implementar medidas suplementarias.
ClustrMaps muestra públicamente datos agregados de visitas (marcadores de ciudades, totales por país, recuento de visitas). En páginas poco visitadas o de nicho, esta agregación puede señalar la ciudad de un único visitante, lo que combinado con la temática de la página (salud, religión, política) puede equivaler a una divulgación indirecta de categorías especiales de datos del artículo 9 del RGPD. Las Directrices 04/2019 del CEPD obligan al responsable a evaluar el riesgo de reidentificación a partir de agregados públicos.
ClustrMaps se basa principalmente en la recogida de IP del lado del servidor, pero puede usar almacenamiento de primera parte para deduplicar visitantes recurrentes durante un período corto. Cualquier almacenamiento de este tipo queda sujeto al artículo 5(3) de la Directiva ePrivacy y exige consentimiento previo, con independencia de la duración o del mecanismo técnico.
Una Evaluación de Impacto en la Protección de Datos es recomendable (y puede ser obligatoria conforme al artículo 35 del RGPD) cuando ClustrMaps se despliega en páginas con contexto sensible, en sitios con poco tráfico donde la reidentificación es plausible, o en combinación con otras herramientas de seguimiento. La EIPD debe abordar las transferencias a EE. UU., el riesgo de agregación pública y el modelo de negocio del proveedor.
En su guía 2024 sobre servicios de terceros y en las deliberaciones SAN-2022-009 y SAN-2023-024, la CNIL francesa advierte que los widgets de analítica y contadores "gratuitos" suelen monetizar los datos de los visitantes y que el editor sigue siendo responsable del tratamiento posterior. La gratuidad no exime ni de recabar consentimiento ni de una evaluación rigurosa del proveedor.
Soluciones analíticas respetuosas con la privacidad alojadas en la UE como Matomo (autoalojado o en la nube UE), Plausible (UE), Fathom (opción UE) o Piwik PRO ofrecen estadísticas de visitas sin transferencias a EE. UU. y, correctamente configuradas, pueden beneficiarse de la exención de consentimiento de la CNIL. Ninguna ofrece de forma nativa un widget público de mapamundi: dado que el contador público es el principal factor de riesgo de ClustrMaps, la mitigación más sencilla es eliminar la vista pública del mapa.