¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Trumba

¿Qué hace Trumba?

Trumba es un servicio estadounidense de calendario de eventos y registros operado por Trumba Corporation en Seattle. El widget incrustado muestra los eventos y recoge inscripciones directamente en el sitio anfitrión mediante un iframe cargado desde trumba.com. Es utilizado por universidades, museos, administraciones locales y comunidades religiosas. Trumba deposita cookies de sesión propias, trata los datos de inscripción (nombre, correo, a veces pago) en Estados Unidos y exige consentimiento RGPD más un mecanismo de transferencia UE EE. UU. para visitantes europeos.

Qué es Trumba y cómo funciona

Trumba es una plataforma alojada de calendario de eventos y registros operada por Trumba Corporation, una empresa estadounidense con sede en Seattle y participada mayoritariamente por Spectrum Equity. Es utilizada por universidades, museos, administraciones locales, comunidades religiosas, bibliotecas y organizadores de eventos para publicar agendas, aceptar inscripciones, gestionar listas de espera, enviar confirmaciones y cobrar pagos. Trumba se integra en el sitio anfitrión como un iframe (Spud, Promotion Spud o Combo Spud) cargado desde calendar.trumba.com o www.trumba.com, con un pequeño wrapper JavaScript para el redimensionado y la suscripción a eventos.

Cookies y datos recopilados

El iframe de Trumba deposita cookies propias en el dominio trumba.com para mantener la sesión de registro: ASP.NET_SessionId para la sesión del servidor, TrumbaCalendarUser para reconocer al visitante entre páginas del calendario y un token CSRF para los formularios protegidos. Al inscribirse, Trumba procesa los datos introducidos (en general nombre, correo, dirección postal, teléfono, organización, requisitos especiales opcionales y datos de pago en eventos de pago). Trumba también registra la IP y el agente de usuario en sus logs de servidor.

Implicaciones RGPD y ePrivacy

El iframe de Trumba es un embed de tercero cargado desde un dominio controlado por Trumba Corporation. La primera petición de red transmite la URL referente, el agente de usuario y la IP a un destinatario estadounidense y deposita cookies. Ambos elementos activan el artículo 5(3) de la Directiva ePrivacy: el iframe no debe cargarse antes de que el visitante acepte la categoría de consentimiento correspondiente. Cuando el calendario se utiliza para registros, la relación es compartida: el operador del sitio es responsable de los datos de inscripción, Trumba actúa como encargado para la operación técnica de la plataforma y se requiere un contrato de encargo conforme al artículo 28 del RGPD.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Consentimiento y minimización

Bloquee el iframe de Trumba hasta que el visitante acepte la categoría de embeds de terceros en la CMP. Un placeholder que explique que el calendario de Trumba se aloja en Estados Unidos y enumere los datos compartidos (referente, IP, cookies) es la práctica recomendada por la CNIL y la AEPD para contenidos incrustados. En Trumba, configure el formulario para recoger únicamente los datos estrictamente necesarios para el evento (minimización, artículo 5(1)(c) del RGPD), y desactive por defecto cualquier casilla opcional de marketing, ya que las casillas premarcadas no equivalen a consentimiento.

Transferencias a Estados Unidos

Trumba trata todos los datos en Estados Unidos. Trumba Corporation está certificada en el Data Privacy Framework UE EE. UU. desde septiembre de 2023, que es el mecanismo principal de transferencia. Los clientes deben firmar además el DPA de Trumba, que incluye las CCT 2021/914 como mecanismo subsidiario, y documentar una Evaluación de Impacto de la Transferencia. Dado que los datos incluyen habitualmente nombre, correo, dirección postal y a veces datos de pago, la TIA debe evaluar el riesgo de acceso por autoridades estadounidenses sobre un conjunto que permite la identificación directa.

Lista de verificación práctica

Pasos concretos: 1) condicionar el iframe de Trumba a la CMP y cargarlo solo tras el consentimiento de embeds de terceros; 2) mostrar un placeholder antes del consentimiento que nombre a Trumba y la transferencia a Estados Unidos; 3) configurar el formulario para captar solo los datos estrictamente necesarios; 4) desactivar cualquier casilla opcional de marketing premarcada; 5) firmar el DPA de Trumba con CCT y verificar la certificación DPF; 6) documentar la TIA; 7) inscribir Trumba en el registro del artículo 30; 8) actualizar la política de privacidad (responsable, encargado Trumba Corporation, finalidades, conservación, destinatarios, derechos de los inscritos).

GDPR consent category

Marketing

Websites using Trumba must obtain user consent under GDPR regulations.

Legal basisWhen the Trumba calendar is used in display only mode (no registration), the embed reads from and writes to the user terminal and qualifies as a non essential third party widget under Article 5(3) of the ePrivacy Directive: prior consent under Article 6(1)(a) GDPR is required before the iframe loads. When the calendar handles registrations, the legal basis for the registration itself is contractual necessity (Article 6(1)(b) GDPR) for the actual event registration plus consent for any additional optional processing (marketing, post event communications).

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, French TDDDG and CNIL guidance on third party embeds, German TDDDG, Spanish LSSI CE and AEPD cookie guide, EU US Data Privacy Framework (Trumba certified), EU Standard Contractual Clauses 2021/914, EDPB recommendations 01/2020 on supplementary measures

DPIA considerations

Se recomienda una EIPD cuando Trumba se utiliza para registros con gran cantidad de participantes, categorías especiales (por ejemplo eventos de salud) o pagos. Documente: categorías de datos recogidos por el formulario (nombre, correo, dirección postal, pago), destinatarios (Trumba Corporation, subencargados de Spectrum Equity, proveedor de pago), retención, transferencia a Estados Unidos, mecanismo de transferencia legal (DPF o CCT) y garantías contractuales (DPA). Para un calendario solo de visualización, normalmente no es necesaria una EIPD, pero el consentimiento para el iframe sigue siendo obligatorio.

Sample consent text

Insertamos calendarios y formularios de inscripción de Trumba, operados por Trumba Corporation (Seattle, EE. UU.). Trumba se carga en un iframe desde trumba.com, deposita cookies de sesión propias y trata los datos de inscripción introducidos en Estados Unidos al amparo del Data Privacy Framework UE EE. UU. El calendario de Trumba solo se cargará si acepta la categoría de cookies correspondiente.

Technical details

Tracking methodEmbedded event calendar and event registration widget loaded from calendar.trumba.com or www.trumba.com via an iframe and a small JavaScript wrapper. The wrapper exposes resize and event subscription callbacks. The Trumba calendar reads visitor interactions (event clicks, registrations, RSVP submissions) and sets first party session cookies on the trumba.com domain to maintain the registration session.

Server locationUnited States. Trumba Corporation is headquartered in Seattle, Washington, and operates its infrastructure in US AWS regions (us-west-2 primary, us-east-1 secondary). No EU data residency option is offered as of 2026.

Data transferred outside the EUTrumba Corporation is a US company owned by Spectrum Equity. All visitor and registration data is processed in the United States. Trumba is certified under the EU US Data Privacy Framework since September 2023; transfers can also rely on the EU Standard Contractual Clauses 2021/914 signed in the Trumba DPA. A Transfer Impact Assessment is required given the typical inclusion of name, email, postal address and sometimes payment data in event registrations.

Third-party domains contacted

trumba.comwww.trumba.comcalendar.trumba.comspuds.trumba.com

Cookies placed

Name	Type	Duration	Purpose
ASP.NET_SessionId	HTTP cookie (first party on trumba.com)	Session	Stores the ASP.NET server session identifier used by the Trumba application to maintain the visitor state across page navigations in the calendar iframe.
TrumbaCalendarUser	HTTP cookie (first party on trumba.com)	1 year	Remembers the calendar visitor across pages and sessions to enable features like My Calendar, registration history and personalised event reminders.
__RequestVerificationToken	HTTP cookie (first party on trumba.com)	Session	Anti CSRF token issued by Trumba to protect registration and form submissions against cross site request forgery attacks.
TrumbaCookieConsent	HTTP cookie (first party on trumba.com)	1 year	Records whether the visitor has acknowledged the Trumba native cookie notice inside the calendar iframe.

Trumba instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies establece Trumba?

El iframe de Trumba deposita cookies propias en el dominio trumba.com: ASP.NET_SessionId para la sesión del servidor, TrumbaCalendarUser para reconocer al visitante entre páginas del calendario y un token CSRF para proteger los formularios de inscripción. Son cookies de sesión o de corta duración vinculadas al dominio Trumba, pero desde el sitio que incrusta el iframe se consideran tecnología de seguimiento de tercero, ya que las lee Trumba Corporation.

¿Es necesario el consentimiento para incrustar el calendario de Trumba?

Sí. El iframe de Trumba es un embed de tercero cargado desde un dominio controlado en Estados Unidos. La primera petición de red transmite el referente, la IP y el agente de usuario a Trumba y deposita cookies, ambos elementos activan el artículo 5(3) de la Directiva ePrivacy. Se requiere consentimiento previo y explícito conforme al artículo 6(1)(a) del RGPD antes de cargar el iframe, incluso en modo solo de visualización sin inscripciones.

¿Qué base jurídica aplica a los registros mediante Trumba?

La visualización del calendario requiere consentimiento (artículo 6(1)(a) del RGPD) por ser un embed de tercero. El tratamiento de los datos de inscripción se basa en la necesidad contractual (artículo 6(1)(b)) para lo estrictamente necesario, más consentimiento (artículo 6(1)(a)) para cualquier comunicación de marketing opcional. Un contrato de encargo conforme al artículo 28 con Trumba Corporation como encargado es obligatorio para los datos de inscripción.

¿Se transfieren los datos a Estados Unidos?

Sí. Todos los datos de Trumba se procesan en Estados Unidos. Trumba Corporation está certificada en el Data Privacy Framework UE EE. UU. desde septiembre de 2023, que es el mecanismo principal de transferencia. El DPA de Trumba incluye además las CCT 2021/914 como mecanismo subsidiario. Los clientes deben documentar una Evaluación de Impacto de la Transferencia ya que los datos de inscripción suelen permitir la identificación directa.

¿Se necesita una EIPD para Trumba?

Se recomienda una EIPD cuando Trumba se utiliza para inscripciones con gran número de participantes, categorías especiales (eventos de salud, religiosos, políticos) o datos de pago. Para un calendario solo de visualización sin inscripción no suele ser necesaria, pero el consentimiento para el iframe sigue siendo obligatorio. Documente finalidades, destinatarios, conservación y mecanismo de transferencia en el registro del artículo 30.

¿Cómo desplegar Trumba conforme al RGPD?

Condicione el iframe de Trumba a la CMP y cárguelo solo tras el consentimiento de la categoría de embeds de terceros. Sustituya el iframe por un placeholder antes del consentimiento que mencione Trumba y la transferencia a EE. UU. Configure el formulario para captar solo los datos estrictamente necesarios, desactive las casillas opcionales premarcadas, firme el DPA de Trumba, documente la TIA, inscriba Trumba en el registro del artículo 30 y actualice la política de privacidad.

¿Qué alternativas europeas existen a Trumba?

Para publicación de calendarios: Localist (US, opciones de residencia UE), Modern Tribe Events Calendar Pro (código abierto, autohospedable en UE), Tockify (Canadá, adecuación UE), Plain Events (Alemania), Eventcube (Reino Unido). Para inscripciones con pago: Eventbrite (US, mismos problemas de transferencia), Weezevent (Francia), Yurplan (Francia), AmiAmi (Francia) y Heroes Run by Sportlink (Países Bajos).

¿Cómo actualizo la política de cookies al añadir Trumba?

Añada una entrada que indique a Trumba Corporation (Seattle, EE. UU.) como encargado, la finalidad (incrustación de calendario e inscripción a eventos), la base jurídica (consentimiento para el iframe, contrato para la inscripción), las categorías de datos (referente, IP, cookies de sesión, nombre, correo, dirección postal, datos de pago si procede), la conservación, la transferencia internacional a EE. UU. bajo DPF o CCT, los destinatarios y un enlace directo a la política de privacidad de Trumba.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note