¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Jotform

¿Qué hace Jotform?

Jotform es un constructor de formularios SaaS operado por Jotform Inc. en San Francisco. Los formularios se integran mediante iframe o widget JavaScript; los envíos se almacenan en los servidores de Jotform. Por defecto los datos se alojan en Estados Unidos. Las ediciones EU y HIPAA ofrecen residencia europea o sanitaria. Los widgets instalan cookies de terceros que requieren consentimiento en el EEE.

Jotform, fundado en 2006 por Aytekin Tank en San Francisco, es uno de los mayores constructores de formularios SaaS del mundo, con más de 25 millones de usuarios. Los formularios se crean y alojan en jotform.com y se integran en los sitios cliente mediante iframe o widget JavaScript. Los envíos se procesan y almacenan por Jotform en nombre del editor del sitio.

Qué hace Jotform

Jotform ofrece editor drag and drop, más de diez mil plantillas, lógica condicional, pagos (Stripe, PayPal, Square, Authorize.Net), firma electrónica, subida de archivos, flujos de aprobación, generación de PDF y API REST. Los formularios se integran como iframe, widget JavaScript, página completa o mediante enlace, código QR y modo quiosco. Cuenta con opciones de cumplimiento HIPAA, RGPD, PCI DSS Level 1 y SOC 2 Type II.

Datos y cookies utilizados

El widget integrado carga JavaScript desde cdn.jotfor.ms y envía a api.jotform.com. En el contexto de terceros jotform.com se establecen cookies como JOTFORM_SESSION, JFcid, _ga (cuando se activa la analítica de Jotform) y __cf_bm (Cloudflare). Estas cookies requieren consentimiento previo en el EEE según el artículo 5.3 ePrivacy. Los envíos, IP, user agent y URL de referencia se almacenan en los servidores de Jotform.

Implicaciones RGPD y ePrivacy

Jotform actúa como encargado en virtud del artículo 28 del RGPD. El editor debe firmar el Data Processing Addendum, inscribirlo como subencargado en el registro y activar la residencia europea cuando sirva a usuarios UE con datos sensibles. Sin residencia UE, las transferencias se basan en el DPF UE EE. UU. (Jotform está certificado) o en cláusulas contractuales tipo.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias y opciones de residencia

Los planes estándar almacenan los datos en EE. UU. La opción Jotform Enterprise EU Data Residency almacena los envíos en Fráncfort (AWS eu central 1) y sirve los widgets desde un CDN europeo. Las cuentas HIPAA están aisladas en un entorno sanitario estadounidense. Documente la residencia elegida, el mecanismo de transferencia correspondiente y el cifrado en reposo y en tránsito.

Pasos prácticos de cumplimiento

Bloquee el widget de Jotform hasta el consentimiento en la categoría marketing o estadísticas de su CMP. Firme el DPA de Jotform. Active la residencia europea cuando proceda. Cifre los campos con datos personales. Configure una política de conservación de envíos en Jotform. Documente a Jotform como subencargado y el mecanismo de transferencia a EE. UU. en el registro y la política de privacidad.

GDPR consent category

Marketing

Websites using Jotform must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive) for the third party cookies set by the embedded widget. Performance of a contract (Art. 6(1)(b)) for the submitted data, processed by Jotform as a processor on behalf of the website operator.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, TDDDG, LSSI CE, CCPA/CPRA, HIPAA (US healthcare), EU US Data Privacy Framework

DPIA considerations

Se recomienda una EIPD cuando Jotform recopila categorías especiales de datos, datos de salud o grandes volúmenes de datos personales. Documente la residencia de datos elegida, el mecanismo de transferencia (DPF UE EE. UU. o SCCs), el plazo de conservación en Jotform y las cookies incrustadas.

Sample consent text

Esta página incrusta un formulario alojado por Jotform Inc. (EE. UU.). El widget instala cookies de terceros (JOTFORM_SESSION) y puede transferir su envío a los servidores de Jotform en EE. UU. o en la UE según los ajustes de residencia. Con su consentimiento, se carga el widget de Jotform y se envía su entrada.

Technical details

Tracking methodSaaS form builder embedded via iframe or JavaScript widget. Forms are hosted on jotform.com servers; submissions are sent directly to Jotform and stored on Jotform infrastructure. The embedding website only loads the form widget and an optional CDN tracker.

Server locationJotform Inc., San Francisco, United States. EU customers can opt for the European data residency option (Frankfurt, AWS eu central 1) for an additional fee. HIPAA customers use a separate isolated environment.

Data transferred outside the EUBy default, all form submissions and visitor metadata are stored on Jotform US servers in San Francisco. EU customers can activate the EU data residency (Frankfurt) to keep data inside the EEA. Without that option, transfers require the EU US Data Privacy Framework, Standard Contractual Clauses or other Chapter V GDPR safeguards.

Third-party domains contacted

jotform.comjotfor.mscdn.jotfor.msapi.jotform.comsubmit.jotform.comeu.jotform.com

Cookies placed

Name	Type	Duration	Purpose
JOTFORM_SESSION	third_party	Session	Session identifier used by the Jotform widget to keep track of the current form instance.
JFcid	third_party	1 year	Unique visitor identifier used by Jotform for analytics and conversion attribution.
__cf_bm	third_party	30 minutes	Cloudflare bot management cookie used to distinguish humans from automated traffic on jotform.com.
_ga	third_party	2 years	Google Analytics identifier set on jotform.com when Jotform Analytics is enabled on the account.

Jotform instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies establece Jotform?

En el contexto de terceros jotform.com el widget instala JOTFORM_SESSION (sesión), JFcid (identificador del visitante, un año), _ga y _gid (con Jotform Analytics activa) y __cf_bm (Cloudflare antibot, 30 minutos). Todas requieren consentimiento previo en el EEE, salvo __cf_bm a veces calificada como estrictamente necesaria.

¿Es necesario el consentimiento para Jotform?

Sí. El widget de Jotform carga JavaScript de terceros e instala cookies de terceros, lo que exige consentimiento previo conforme al artículo 5.3 ePrivacy. El envío en sí se apoya en el artículo 6.1.b del RGPD (precontractual) y requiere consentimiento para casillas de marketing.

¿Cuál es la base jurídica del tratamiento Jotform?

Envío: artículo 6.1.b del RGPD (precontractual). Cookies de terceros y widget: artículo 6.1.a (consentimiento). Datos sensibles (artículo 9): consentimiento explícito y garantía contractual adicional (HIPAA BAA para salud).

¿Se transfieren datos a Estados Unidos?

Por defecto sí: Jotform almacena formularios y envíos en EE. UU. Active EU Data Residency en Jotform Enterprise para guardar los datos en Fráncfort. Sin residencia UE, las transferencias se basan en el DPF UE EE. UU. (Jotform está certificado) o en SCCs con EIT.

¿Necesito una EIPD para Jotform?

Recomendada cuando Jotform recoja categorías especiales (salud, biometría, financiero), en selección con decisión automatizada o a gran escala. La EIPD cubre residencia, mecanismo de transferencia, cookies incrustadas y conservación.

¿Cómo se implementa Jotform correctamente?

Bloquee el widget hasta el consentimiento. Firme el DPA de Jotform. Active la residencia UE cuando proceda. Cifre los campos sensibles. Configure conservación de envíos. Use casillas opt in para marketing. Active antispam y alternativas a reCAPTCHA como Cloudflare Turnstile. Documente a Jotform como subencargado.

¿Qué alternativas a Jotform existen?

SaaS europeos: Tally (Bélgica), Typeform (España), Formbricks (open source, hosting UE). SaaS estadounidenses: SurveyMonkey, Wufoo, Google Forms, Microsoft Forms. WordPress autoalojado: Gravity Forms, WPForms, Ninja Forms, Fluent Forms, Contact Form 7.

¿Cómo actualizar la política de cookies cuando cambia Jotform?

Vigile la lista de subencargados de Jotform y su estado DPF. Cuando Jotform actualice DPA, residencia o subencargados, actualice tabla de cookies, política de privacidad y registro, y aumente la versión del banner.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note