¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Sympa es un gestor libre de listas de distribución desarrollado originalmente en la Université de Rennes 1 (Francia) y mantenido hoy por la comunidad Sympa. Da soporte a servidores de listas de universidades, redes de investigación, administraciones públicas y ONG de toda Europa. Sympa gestiona suscripciones, moderación, distribución de mensajes, archivos web y resúmenes. Al ser autoalojado por el cliente, la huella de privacidad se limita a los datos necesarios para administrar las suscripciones y a una cookie de sesión en la interfaz de archivos web.
Sympa es un sistema libre de gestión de listas de distribución publicado bajo licencia GNU GPL. Fue desarrollado en 1997 en la Université de Rennes 1 y hoy lo mantiene la comunidad Sympa, incluida RENATER, la red nacional francesa de investigación y enseñanza. Sympa se utiliza ampliamente en universidades europeas, redes de investigación, administraciones públicas y ONG para gestionar listas de debate, boletines de anuncios e intercambios de grupos de trabajo. El software se autoaloja, lo que permite al cliente conservar el control total sobre suscriptores, contenidos y configuración en su propia infraestructura.
Sympa almacena la dirección de correo del suscriptor, un nombre opcional, la lista de suscripciones, la marca de tiempo de la confirmación en doble opt in y un estado de moderación por lista. La interfaz de archivos web emite una única cookie de sesión que contiene el identificador del usuario autenticado cuando el suscriptor consulta mensajes antiguos o cambia sus preferencias. Sympa mantiene también registros de entrega en el servidor con el sobre SMTP y los metadatos de rebotes. La interfaz por defecto no incorpora cookies de seguimiento de terceros, huella digital del navegador ni llamadas a servicios de analítica externos.
Operar una lista de distribución implica un tratamiento de datos personales (la dirección de correo) según el RGPD. El art. 13 de la Directiva ePrivacy, el art. 21 LSSI y la jurisprudencia de la AEPD exigen un consentimiento previo, libre, específico e informado para enviar mensajes de prospección comercial o newsletters a personas físicas. La guía de la AEPD, las recomendaciones de la CNIL y la doctrina alemana convergen en el doble opt in. La cookie de sesión de los archivos web es estrictamente necesaria y no requiere consentimiento según el art. 22.2 LSSI.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Para cada suscripción la base legal es el consentimiento explícito del art. 6(1)(a) RGPD, acreditado por la dirección facilitada y la marca de tiempo de confirmación que Sympa registra por defecto. Las listas internas dirigidas a personal pueden apoyarse a veces en la ejecución del contrato (art. 6(1)(b)) o el interés legítimo (art. 6(1)(f)), siempre que la finalidad, el alcance y el derecho de oposición estén documentados. El suscriptor debe poder darse de baja con un solo clic en cada mensaje, conforme a las recomendaciones de la AEPD y al art. 21 RGPD.
Al ser Sympa autoalojado, el responsable elige dónde se ejecuta el servidor. La mayoría de los despliegues académicos y del sector público permanecen en local o en infraestructura RENATER o GEANT dentro de la Unión Europea, evitando cualquier transferencia internacional. Pueden surgir transferencias si el responsable enruta el correo saliente a través de un proveedor SMTP no europeo (Amazon SES EE. UU., SendGrid, Postmark) o si parte de los destinatarios reside fuera del EEE. En esos casos deben existir Cláusulas Contractuales Tipo con el encargado SMTP y una breve evaluación de impacto del transferimiento.
Active el doble opt in en cada lista, conserve la marca de tiempo y la IP del consentimiento y ofrezca un enlace de baja único en cada mensaje. Configure DKIM, SPF y DMARC en el dominio de Sympa para proteger la entregabilidad y evitar suplantaciones. Defina plazos de conservación: las direcciones que rebotan se eliminan tras un periodo establecido y los archivos posteriores a la finalidad documentada se anonimizan o eliminan. Restrinja los roles de moderador y propietario, registre los accesos a la interfaz web y mantenga Sympa actualizado según los avisos publicados en sympa.community.
Websites using Sympa must obtain user consent under GDPR regulations.
DPIA considerations
Una evaluación de impacto del art. 35 RGPD no suele ser obligatoria en un despliegue Sympa con listas internas o comunitarias y datos estándar (correo electrónico, nombre opcional, lista de suscripciones). Resulta pertinente cuando el responsable opera listas de gran escala, trata datos sensibles (grupos de pacientes o activistas) o difunde a destinatarios en países terceros. El registro del art. 30 debe documentar la base legal por lista, la conservación de suscripciones y archivos, el relé SMTP utilizado y las medidas de seguridad del servidor Sympa.
Sample consent text
Puede suscribirse a esta lista de distribución gestionada por nuestro servidor Sympa alojado en la Unión Europea. Al confirmar su dirección de correo a través del enlace de doble opt in, otorga consentimiento explícito en virtud del art. 6(1)(a) RGPD para recibir los mensajes de la lista. Puede darse de baja en cualquier momento mediante el enlace incluido en cada mensaje o escribiendo al propietario de la lista. Conservamos su dirección, sus preferencias de suscripción y la fecha de confirmación como prueba del consentimiento.
Third-party domains contacted
sympa.communitysympa.orggithub.comwww.renater.frCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sympa_session | Session | Session | First party session cookie set by the Sympa web archive interface to keep the authenticated subscriber identifier while browsing list archives or changing personal subscription settings. Strictly necessary, no consent required. |
| sympauser | Persistent | 30 days | Optional first party cookie that remembers the email address of the last authenticated user on shared workstations so that the login form can be prefilled. Set only when the visitor ticks the remember me option. |
Sympa instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Sympa almacena la dirección de correo del suscriptor, un nombre opcional, la lista de suscripciones, la marca de tiempo de la confirmación en doble opt in, el estado de moderación y registros de entrega en el servidor con el sobre SMTP y los metadatos de rebote. La interfaz de archivos web instala una única cookie de sesión de primera parte con el identificador del usuario autenticado. Sympa no carga analítica de terceros, no instala cookies de seguimiento ni realiza huella digital del navegador. Fuera de la cookie de sesión, el único dato personal visible en el navegador es la dirección de correo mostrada en las páginas de usuario.
Sí para las suscripciones, no para la cookie de sesión del archivo. La suscripción a una lista se trata sobre la base del consentimiento explícito del art. 6(1)(a) RGPD y del art. 13 ePrivacy, acreditado por la confirmación en doble opt in. La cookie de sesión de los archivos cae bajo la exención de estrictamente necesarias del art. 5(3) ePrivacy y del art. 22.2 LSSI porque es indispensable para prestar el servicio de archivo autenticado solicitado por el suscriptor. No se requiere banner de consentimiento para la cookie en sí.
La base principal es el consentimiento del art. 6(1)(a) RGPD para cada suscripción individual, acreditado por la marca de tiempo de confirmación en doble opt in que Sympa registra. La explotación del servidor (registros de seguridad, gestión de abusos, tratamiento de rebotes) puede apoyarse en el interés legítimo del art. 6(1)(f). Las listas internas de personal pueden basarse en la ejecución del contrato del art. 6(1)(b) cuando la suscripción forma parte de la relación laboral. Cada configuración de lista debe documentar la base elegida en la descripción de la lista y en el registro del responsable.
Sympa en sí no realiza transferencias internacionales cuando se aloja dentro de la UE en la infraestructura del responsable. Pueden surgir transferencias cuando (i) el correo saliente se enruta por un proveedor SMTP no europeo (Amazon SES EE. UU., SendGrid, Postmark), (ii) el responsable elige una nube fuera de la UE o (iii) algunos suscriptores residen fuera del EEE. En esos casos se requieren Cláusulas Contractuales Tipo con el encargado y una evaluación de impacto del transferimiento bajo Schrems II. Los archivos públicos de listas dirigidas a una audiencia global no necesitan mecanismo de transferencia conforme al art. 49 RGPD.
Una EIPD formal del art. 35 RGPD no suele ser obligatoria en una instalación Sympa con listas y direcciones estándar a escala moderada. Resulta recomendable cuando el responsable gestiona listas muy grandes, cuando los suscriptores pertenecen a categorías sensibles (pacientes, menores, afiliaciones políticas o religiosas) o cuando las listas generan tráfico transfronterizo elevado. El registro del art. 30 debe documentar siempre cada lista, la base legal, el plazo de conservación de suscripciones y archivos y los encargados implicados.
Aloje Sympa dentro de la UE y aplique bastionado Linux estándar, TLS para SMTP y HTTPS, además de controles de acceso al back office. Active el doble opt in en cada lista, conserve los metadatos de consentimiento y añada un enlace de baja en un clic en cada mensaje. Defina reglas de retención para eliminar las direcciones que rebotan y anonimizar o eliminar archivos antiguos según la finalidad documentada. Configure DKIM, SPF y DMARC. Mantenga Sympa actualizado según los avisos de sympa.community. Firme contratos de encargo con cualquier relé SMTP o proveedor de alojamiento utilizado.
Otros gestores libres de listas son GNU Mailman 3, Listmonk, Mailtrain y phpList. Alternativas SaaS europeas incluyen Brevo (antes Sendinblue) en Francia, Mailjet y Sarbacane, así como Acumbamail en España. Para comunidades académicas e investigadoras, GroupServer o las funciones de discusión de Discourse y Element (Matrix) pueden sustituir las listas puras. La elección depende de la necesidad de archivos públicos, del deseo de autoalojamiento y del volumen y tipo de suscriptores. Sympa sigue siendo la referencia para listas académicas e institucionales con altas exigencias de moderación.
La política debe describir el servicio de listas con Sympa, las categorías de datos (correo electrónico, nombre opcional, suscripciones, marca de tiempo del consentimiento, registros de entrega en el servidor), las finalidades (distribución, moderación, seguridad), la base legal (consentimiento para la suscripción, interés legítimo para la explotación), el plazo de conservación, el derecho a darse de baja y los derechos de acceso, rectificación y supresión. Indique la ubicación UE del servidor Sympa y de cualquier relé SMTP. Añada la única cookie de sesión de la interfaz de archivos en la tabla de cookies técnicas.