¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

FormAssembly

¿Qué hace FormAssembly?

FormAssembly es una potente plataforma de creación de formularios y recopilación de datos utilizada por empresas, organizaciones sin ánimo de lucro y entidades sanitarias para crear formularios complejos con lógica condicional, integración con Salesforce y configuraciones compatibles con HIPAA. Los datos enviados se procesan por defecto en EE. UU., con residencia europea disponible en planes Enterprise. Cada formulario requiere evaluar la base jurídica RGPD aplicable a los datos recogidos.

Qué es FormAssembly

FormAssembly es una plataforma empresarial de creación de formularios para flujos complejos de recopilación de datos. Soporta lógica condicional, formularios multipaso, flujos Salesforce, configuraciones HIPAA y SSO. Es habitual en universidades, sanidad y sectores regulados donde los datos del formulario alimentan directamente Salesforce u otros sistemas backend.

Qué datos y cookies trata

Los formularios incrustados pueden colocar cookies funcionales para gestión de sesión y CSRF. Si el formulario se sirve desde formassembly.com, las cookies se establecen en el dominio FormAssembly. Se recogen todos los datos introducidos por el usuario, junto con metadatos como dirección IP, marca de tiempo, datos del navegador e identificadores del dispositivo. En configuraciones HIPAA se añaden registros de auditoría.

Implicaciones RGPD y ePrivacy

La base jurídica depende del propósito del formulario. Inscripciones a newsletter requieren consentimiento, formularios de servicio o contrato pueden ampararse en ejecución de contrato y obligaciones legales en sectores regulados. Las cookies no estrictamente necesarias requieren consentimiento ePrivacy. En formularios con datos de salud aplica además el art. 9 del RGPD.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Requisitos de consentimiento

Para formularios contractuales puros no se requiere consentimiento de cookies si no se establecen cookies no necesarias. Cada formulario debe incluir un aviso de privacidad con responsable, base jurídica, destinatarios (incluida FormAssembly) y transferencia a EE. UU. En formularios incrustados con seguimiento, una CMP debe bloquear las cookies no esenciales.

Transferencias internacionales

FormAssembly trata por defecto los datos en EE. UU. sobre AWS. En planes Enterprise hay residencia europea. En planes estándar se aplican CCT (art. 46 RGPD). Se debe firmar el DPA de FormAssembly y registrar la transferencia en el RAT. Una TIA es recomendable, sobre todo con datos sensibles.

Pasos prácticos de cumplimiento

Incluya un aviso de privacidad en cada formulario con responsable, base jurídica, destinatarios (incluida FormAssembly), transferencia a EE. UU. y derechos del interesado. Para datos sensibles use residencia europea cuando sea posible. Firme el DPA de FormAssembly. En sanidad firme también el BAA y aplique consentimiento explícito (art. 9). Audite las integraciones Salesforce para evitar que datos personales lleguen a sistemas no autorizados. Actualice el RAT.

GDPR consent category

Marketing

Websites using FormAssembly must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR) or contract performance (Art. 6(1)(b)) depending on the purpose of the form. Non-essential tracking cookies require ePrivacy consent. Legal obligation (Art. 6(1)(c)) may apply where form data collection is legally required.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, UK GDPR, CCPA, HIPAA (healthcare forms)

DPIA considerations

Es recomendable una EIPD cuando los formularios de FormAssembly recogen a gran escala datos sensibles, especialmente en sanidad (configuración HIPAA), información financiera o categorías especiales del art. 9 del RGPD. La transferencia a EE. UU. y la amplitud de los flujos integrados con Salesforce también justifican la evaluación.

Sample consent text

Este formulario funciona con FormAssembly. Los datos enviados serán tratados por FormAssembly y pueden transferirse a servidores ubicados en Estados Unidos. Revise nuestra política de privacidad para conocer cómo se usarán sus datos antes de enviar el formulario.

Technical details

Tracking methodHosted form iframe or embedded JavaScript, first-party cookies, server-side form submission and data storage

Server locationUnited States (FormAssembly infrastructure, AWS) with EU data residency available on Enterprise plans

Data transferred outside the EUFormAssembly is a US-based form builder and data collection platform. Form submission data is processed on US infrastructure by default. EU data residency is available for Enterprise customers. Transfers rely on Standard Contractual Clauses under GDPR Article 46.

Third-party domains contacted

formassembly.comapp.formassembly.comcdn.formassembly.com

Cookies placed

Name	Type	Duration	Purpose
FASM_SESSION	session	Session	Session management cookie required for secure form submission and CSRF protection
fa_track	persistent	1 year	Form interaction tracking cookie used to measure form completion rates and funnel analytics

FormAssembly instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies coloca FormAssembly?

Cuando los formularios se incrustan en su sitio, el script puede colocar cookies funcionales de sesión y protección CSRF. Si el formulario se sirve desde formassembly.com, las cookies quedan en el dominio FormAssembly. Los formularios incrustados en su dominio requieren consentimiento ePrivacy para cualquier cookie no esencial.

¿Se requiere banner de consentimiento RGPD?

Para los datos del formulario no se necesita consentimiento adicional si el formulario se basa en ejecución de contrato. No obstante, los scripts de formulario incrustado que coloquen cookies no esenciales requieren consentimiento ePrivacy. Cada formulario debe incluir un aviso de privacidad con responsable, base jurídica y transferencia a EE. UU.

¿Cuál es la base jurídica?

Depende de la finalidad del formulario. Solicitudes de contacto y servicio: ejecución de contrato (art. 6.1.b) o interés legítimo (art. 6.1.f). Suscripciones a marketing y newsletter: consentimiento (art. 6.1.a). Formularios de sanidad y datos sensibles: consentimiento explícito (art. 9.2.a).

¿Hay transferencias fuera de la UE?

Por defecto sí. FormAssembly trata los datos en EE. UU. La residencia europea está disponible en planes Enterprise. Los planes estándar se rigen por CCT. Firme el DPA de FormAssembly y documente la transferencia en el RAT.

¿Se necesita una EIPD?

Recomendable cuando FormAssembly recoge a gran escala datos sensibles, especialmente en sanidad con configuración HIPAA, o cuando los datos se usan para decisiones automatizadas o elaboración de perfiles.

¿Cómo hacer que los formularios cumplan el RGPD?

Incluya un aviso de privacidad en cada formulario con responsable, base jurídica, destinatarios (incluida FormAssembly), transferencia a EE. UU., salvaguarda CCT y derechos del interesado. Para datos sensibles utilice residencia europea cuando sea posible. Firme el DPA. Documente el tratamiento en el RAT.

¿Existen alternativas alojadas en la UE?

Typeform y Tally ofrecen residencia europea. Para integración con Salesforce y datos en la UE, Formstack con hosting europeo es una alternativa. Herramientas open source como Formio o LimeSurvey pueden desplegarse en infraestructura europea para soberanía total.

¿Cómo gestionar datos sanitarios en FormAssembly?

Utilice la configuración HIPAA y firme un BAA. Bajo el RGPD, los datos de salud son categorías especiales del art. 9 y requieren consentimiento explícito (no implícito). Indique de forma específica que se recogen datos sanitarios y para qué fin médico. Valore la residencia europea para máxima conformidad.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note