¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
GitLab es una plataforma DevSecOps integral que combina control de código, revisión, CI/CD, registros de contenedores y paquetes, escaneo de seguridad, observabilidad y gestión de proyectos. Está disponible como GitLab SaaS (gitlab.com), Community Edition open source autoalojable, Enterprise Edition de pago y GitLab Dedicated con residencia de datos en la UE. La postura de privacidad depende mucho del modelo de despliegue.
GitLab es una plataforma DevSecOps open core desarrollada por GitLab Inc., compañía con sede en San Francisco y equipo totalmente remoto. Es una de las mayores plataformas de gestión de código fuente y CI/CD del mundo, junto a GitHub y Bitbucket, y reúne todo el ciclo de vida del software en una sola aplicación. Tres variantes: GitLab SaaS en gitlab.com, GitLab Self Managed (Community Edition y Enterprise Edition para instalar en la infraestructura del cliente) y GitLab Dedicated, oferta cloud monoinquilino con residencia regional, incluida la UE.
En el área autenticada, GitLab fija _gitlab_session, una cookie remember_user_token opcional y _gitlab_ci_session en contextos CI. Son estrictamente necesarias para la autenticación. En las páginas públicas de marketing de gitlab.com, GitLab puede cargar Google Analytics, Drift, Marketo y Snowplow con sus cookies tras aceptar el banner. Se almacenan código fuente, issues, merge requests, imágenes de contenedor y paquetes, logs de CI y eventos de auditoría.
Las cookies de sesión son estrictamente necesarias y están exentas del consentimiento. El código, las issues y los artefactos de CI pueden contener datos personales: GitLab Inc. actúa entonces como encargado del tratamiento conforme al art. 28 RGPD para los repositorios del cliente. En GitLab SaaS, el mecanismo estándar es el DPA de GitLab con cláusulas tipo y DPF para la transferencia a EE. UU.; en Dedicated, la región UE mantiene los datos en la UE. El autoalojado no transmite nada a GitLab Inc. salvo que Service Ping esté activado.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
No para la experiencia DevOps autenticada. Las cookies de sesión son estrictamente necesarias. El consentimiento se exige en las páginas de marketing de gitlab.com (el banner lo gestiona) y para la analítica de producto Snowplow opcional en SaaS. El autoalojado puede desactivar totalmente las usage statistics (Service Ping).
GitLab SaaS almacena principalmente en regiones de Google Cloud en EE. UU., con un compromiso Customer Data Residency que limita pero no elimina las transferencias rutinarias. GitLab Dedicated permite fijar los datos a una región UE (Frankfurt), recomendado para sectores regulados. GitLab Inc. está certificada DPF y firma cláusulas tipo mediante su DPA. La lista completa de subencargados se publica en el GitLab Trust Center.
Para clientes europeos: evalúe GitLab Dedicated con región UE para código con datos regulados; autoaloje GitLab CE/EE en la UE si quiere control completo; firme el DPA de GitLab; desactive Service Ping si la telemetría es indeseada; configure SSO y MFA para todos los administradores; mencione a GitLab Inc. y a sus subencargados en la política; y trate las páginas públicas de marketing de gitlab.com como un perímetro de consentimiento separado al incrustar contenido.
Websites using GitLab must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD para despliegues GitLab SaaS que manejan código con datos personales, escáneres de seguridad que generan informes de vulnerabilidades o pipelines que tocan datos regulados. El autoalojado es de bajo riesgo. Documente el modelo, la residencia de datos, el uso de Service Ping y los subencargados.
Sample consent text
Nuestro portal de desarrolladores funciona sobre GitLab. Los usuarios autenticados tienen cookies de sesión fijadas por GitLab. Las páginas públicas de marketing de gitlab.com pueden fijar cookies analíticas o de marketing opcionales si las acepta en el banner.
Third-party domains contacted
gitlab.comabout.gitlab.comdocs.gitlab.comassets.gitlab-static.netgitlab-runner-downloads.s3.amazonaws.comsnowplowanalytics.comregistry.gitlab.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _gitlab_session | first party | Session | Main GitLab session cookie, set on the application domain to keep the user logged in. Strictly necessary. |
| remember_user_token | first party | 2 weeks | Optional Remember me cookie that extends the GitLab session when the user opts in during login. |
| _gitlab_ci_session | first party | Session | Session cookie for CI/CD specific endpoints when accessed from a browser. |
| event_filter | first party | 1 year | Stores the last selected filter in the GitLab dashboard event feed. |
| user_oauth_state | first party | Short lived | OAuth state token used during third party login flows on GitLab. |
| _ga / _ga_<ID> | third party | 2 years | Google Analytics cookies set on the public marketing pages of gitlab.com after consent. Not set inside the authenticated application. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
La aplicación autenticada fija _gitlab_session, remember_user_token (opcional), _gitlab_ci_session, _gitlab_pages_session y tokens CSRF. Todas estrictamente necesarias. Las páginas de marketing de gitlab.com cargan además cookies analíticas y de marketing tras el consentimiento.
No para la experiencia DevOps autenticada. Sí para el marketing y la analítica de producto cargados en las páginas públicas o activados mediante integraciones opcionales. El autoalojado puede desactivar totalmente la telemetría.
Ejecución del contrato para el servicio DevOps, obligación legal para conservar registros de auditoría, interés legítimo para prevención de fraude y abuso. Consentimiento como base para los rastreadores no estrictamente necesarios en las páginas públicas.
Para GitLab SaaS sí, cubiertas por el Marco de Privacidad de Datos UE EE. UU. y por las cláusulas tipo del DPA. Para GitLab Dedicated EU, los datos del cliente permanecen en la UE. En autoalojado no sale nada de su infraestructura salvo que Service Ping esté activado.
Para CE/EE autoalojado en general no. Para GitLab SaaS con datos regulados o de producción se recomienda una EIPD. Para GitLab Dedicated EU, documente la residencia en una EIPD más ligera.
Elija Dedicated EU o autoalojado en la UE para datos sensibles, firme el DPA de GitLab, configure SSO y 2FA, desactive Service Ping si no quiere telemetría, revise los subencargados en el Trust Center y documente el despliegue en el registro del art. 30.
GitHub (Microsoft, certificado DPF, regiones UE en preview), Bitbucket (Atlassian, con regiones UE), Gitea (open source autoalojable, Gitea Cloud UE), Forgejo (fork open source de Gitea), Codeberg (hospedaje comunitario en Alemania). Cada uno con sus flujos y licencias.
Para el portal autenticado, liste _gitlab_session y cookies relacionadas en Estrictamente necesarias con proveedor GitLab Inc., EE. UU. Para las páginas públicas de marketing, liste por separado los rastreadores analíticos y de marketing (Google Analytics, Marketo, Drift) con consentimiento. Mencione el mecanismo de transferencia (DPF y cláusulas tipo).