¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Google Meet es el servicio de videoconferencia de Google, disponible a través de Google Workspace y como producto independiente para cuentas personales. Cuando se incrusta en una página web o se carga mediante una invitación de Google Calendar, deposita cookies del ecosistema Google y transfiere datos a Google LLC en Estados Unidos. Como servicio de terceros, activa la obligación de consentimiento RGPD en páginas de marketing y requiere salvaguardas contractuales para uso empresarial.
Google Meet se comporta de forma muy distinta según dónde se cargue. Cuando el widget de Meet o un enlace de reunión se incrusta en una página de marketing, un centro de ayuda o un blog, el navegador carga scripts de Google y deposita cookies del ecosistema Google antes incluso de que empiece la reunión. En ese escenario Google actúa como encargado de tratamiento de datos personales como la dirección IP, identificadores de dispositivo e identificadores de cuenta, y el editor del sitio se convierte en responsable del tratamiento, obligado a obtener un consentimiento válido. Cuando Google Meet se utiliza internamente dentro de un tenant de Google Workspace, por empleados que se unen a una reunión planificada, la base jurídica suele desplazarse a la ejecución de un contrato o al interés legítimo, y el Anexo de Tratamiento de Datos de Workspace rige la relación entre el empleador y Google.
Meet no dispone de una única cookie dedicada, sino que reutiliza el amplio conjunto de cookies de autenticación y seguridad de Google. Las cookies habitualmente observadas incluyen NID para publicidad y preferencias en dominios Google, SID, HSID, SSID, APISID y SAPISID para autenticar al usuario en los servicios de Google, y __Secure-3PSIDCC para la continuidad de sesión entre sitios. Algunas tienen vidas útiles de seis meses a dos años, están marcadas como Secure y HttpOnly, y se depositan en .google.com, por lo que se comparten entre todas las propiedades de Google que el usuario visite. Desde el punto de vista de la privacidad, no son cookies estrictamente necesarias en el sentido de la Directiva ePrivacy, por lo que requieren consentimiento previo cuando se activan desde una web ajena a Google.
Google LLC está establecida en Estados Unidos y se autocertifica conforme al Data Privacy Framework UE/EE. UU., que la Comisión Europea reconoció en julio de 2023 como un nivel adecuado de protección mediante decisión de adecuación. Para las personas interesadas del Espacio Económico Europeo, las transferencias de datos de uso de Google Meet a Estados Unidos quedan, por tanto, cubiertas por un mecanismo de adecuación. Como defensa en profundidad, Google ofrece además Cláusulas Contractuales Tipo en su Anexo de Tratamiento de Workspace. Los responsables deben documentar en su registro de actividades que la transferencia se apoya primero en el DPF y, como respaldo, en las CCT, y vigilar cualquier impugnación futura de la decisión de adecuación ante el Tribunal de Justicia de la Unión Europea.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En sitios públicos que incrustan Google Meet, el patrón recomendado es clic para cargar. La página muestra primero un sustituto estático que explica que cargar el widget de reunión depositará cookies de Google y transferirá datos a Estados Unidos. Solo cuando la persona visitante pulsa un botón explícito de aceptación, el sitio inyecta el iframe de Meet o el script de Google Calendar. La plataforma de gestión del consentimiento debe registrar el evento de consentimiento con marca temporal, versión de la política y alcance de las cookies. Ese mismo registro debe reutilizarse si la persona visitante vuelve dentro de la ventana de retención, de modo que el banner no reaparezca en cada carga de página.
Una Evaluación de Impacto en la Protección de Datos resulta obligatoria cuando Google Meet se utiliza para grabar reuniones a gran escala, cuando las reuniones tratan categorías especiales como información sanitaria, actividad sindical o asuntos jurídicos, cuando intervienen menores, o cuando las grabaciones se almacenan en Google Drive y se comparten transfronterizamente. La EIPD debe describir el ciclo de vida de la grabación desde su captura hasta su supresión, los controles de acceso aplicados al lugar de almacenamiento, el plazo de conservación y los derechos de las personas participantes a obtener copia, solicitar rectificación o pedir supresión. Si el riesgo residual sigue siendo alto tras la mitigación, el responsable debe consultar a la autoridad de control con arreglo al art. 36 del RGPD antes de iniciar el tratamiento.
Firmar el Anexo de Tratamiento de Datos de Google Workspace con sus referencias al DPF, listar Google LLC en el registro público de subencargados, documentar la base jurídica para cada caso de uso de Meet, exponer Google Meet como interruptor granular dentro del banner de cookies, condicionar el código de incrustación al estado del consentimiento, configurar la retención de grabaciones al mínimo necesario, restringir quién puede grabar y quién puede unirse desde fuera, formar al personal en avisos legales de grabación, y revisar todo el dispositivo al menos una vez al año o ante cualquier cambio sustancial en las condiciones de Google.
Websites using Google Meet must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD cuando Google Meet se utiliza para grabar reuniones, para tratar categorías especiales de datos (salud, asesoramiento jurídico, casos de RRHH), para comunicaciones internas a gran escala, o cuando se incrusta en páginas públicas de alto tráfico. Documente el papel de Google como encargado, el mecanismo de transferencia DPF, la conservación de las grabaciones y los controles de acceso.
Sample consent text
Utilizamos Google Meet para ofrecer videoconferencia en esta página. Al cargar el widget de Meet se establecen cookies de Google y se transfieren datos a Google LLC en Estados Unidos en el marco del Data Privacy Framework UE/EE. UU. Al pulsar Aceptar, usted consiente este tratamiento conforme al art. 6, apdo. 1, letra a, del RGPD.
Third-party domains contacted
meet.google.comwww.google.comapis.google.comssl.gstatic.comfonts.googleapis.comfonts.gstatic.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | third_party | 6 months | Stores Google preferences and personalised advertising settings, set on .google.com when any Google property loads, used by Meet alongside other Google services. |
| SID | third_party | 2 years | Authentication cookie that signs the user into Google services. Set on .google.com, marked Secure and HttpOnly, used by Meet to identify the participant. |
| HSID | third_party | 2 years | Security cookie that protects Google accounts against forged authentication requests, used together with SID and SSID during Meet sign in flows. |
| SAPISID | third_party | 2 years | Cross domain authorisation cookie that allows Google APIs to recognise the signed in user, used by the Meet web client to call backend services. |
| APISID | third_party | 2 years | Companion authorisation cookie used with SAPISID to enable signed requests from Meet to other Google services such as Calendar and Drive. |
| __Secure-3PSIDCC | third_party | 1 year | Cross site session continuity cookie used by Google to keep the user signed in across third party embeds. Marked Secure, relevant when Meet is loaded from an external website. |
Google Meet utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
Google Meet no dispone de una cookie única dedicada. En su lugar reutiliza las cookies del ecosistema Google que se depositan en .google.com al cargar la página o el widget. Las más habituales son NID para preferencias y publicidad, SID, HSID, SSID, APISID y SAPISID para iniciar sesión y seguridad en los servicios de Google, y __Secure-3PSIDCC para la continuidad de sesión entre sitios. Sus vidas útiles suelen oscilar entre seis meses y dos años y la mayoría están marcadas como Secure y HttpOnly. Desde el punto de vista de ePrivacy, no son estrictamente necesarias, por lo que se requiere consentimiento previo cuando Meet se carga desde un sitio ajeno a Google.
Sí. Cuando el widget de Meet, un iframe a meet.google.com o una incrustación de Google Calendar se carga en un sitio público, Google deposita cookies y trata datos personales como la IP de la persona visitante e identificadores de dispositivo antes incluso de que comience cualquier reunión. Ese tratamiento no es estrictamente necesario para el servicio solicitado en el sentido de la Directiva ePrivacy, por lo que requiere un consentimiento previo, informado, libre y específico conforme al RGPD. El patrón clic para cargar, en el que la incrustación se condiciona a un botón explícito de aceptación, se considera buena práctica y es preferido por la mayoría de autoridades de control.
La base jurídica depende del caso de uso. Para Google Meet incrustado en una página de marketing o pública, el consentimiento conforme al art. 6, apdo. 1, letra a, del RGPD es la base adecuada porque las cookies y la cesión de datos no son estrictamente necesarias. Para una persona que se une a una reunión alojada por un cliente de Workspace, suele aplicarse la ejecución de un contrato conforme al art. 6, apdo. 1, letra b, del RGPD, porque el tratamiento es necesario para prestar el servicio de comunicación solicitado. Para uso interno por personal, los empleadores combinan a menudo contrato e interés legítimo, documentado en el registro de actividades de tratamiento y apoyado en el Anexo de Tratamiento de Workspace.
Sí. Google Meet es operado por Google LLC en Estados Unidos y, aunque Google mantiene centros de datos en Europa, el tratamiento involucra habitualmente personal y sistemas en EE. UU. Google se autocertifica conforme al Data Privacy Framework UE/EE. UU., que la Comisión Europea reconoció en julio de 2023 como un nivel adecuado de protección. Como defensa en profundidad, en el Anexo de Tratamiento de Workspace se incorporan además Cláusulas Contractuales Tipo. Los responsables deben documentar esta transferencia en su registro del art. 30 y vigilar futuros desafíos jurídicos.
Una Evaluación de Impacto en la Protección de Datos es muy recomendable, y a menudo obligatoria, cuando Google Meet se utiliza para grabar reuniones a gran escala, cuando las reuniones tratan categorías especiales como salud, actividad sindical o asesoramiento jurídico, cuando intervienen menores, o cuando las grabaciones se almacenan en Google Drive y se comparten transfronterizamente. La EIPD debe cubrir el ciclo de vida de la grabación, la base jurídica, los controles de acceso, el plazo de conservación y los derechos de las personas interesadas. Si el riesgo residual sigue siendo alto tras la mitigación, el responsable debe consultar a su autoridad de control conforme al art. 36 del RGPD antes de iniciar.
Firme el Anexo de Tratamiento de Datos de Google Workspace, incluya a Google LLC en su registro de subencargados, identifique la base jurídica correcta para cada escenario de Meet y exponga Google Meet como interruptor granular en su banner de cookies. Para las incrustaciones, utilice un sustituto clic para cargar de modo que el iframe de Meet solo se inyecte tras un consentimiento explícito. Configure la retención de grabaciones al mínimo necesario, restrinja quién puede grabar y quién puede unirse desde fuera, forme al personal en avisos legales de grabación, documente todo en el registro y revise el dispositivo al menos una vez al año o cada vez que Google actualice sus condiciones.
Alternativas europeas o autoalojadas son Jitsi Meet, que puede autoalojarse en la UE y evita por completo las transferencias a EE. UU., OpenTalk y BigBlueButton para educación y webinarios, Whereby con almacenamiento regional UE y Zoom configurado con el pod UE para clientes de sanidad y sector público. Microsoft Teams también está muy extendido pero plantea cuestiones de transferencia a EE. UU. similares a Google Meet. La elección adecuada depende de la integración con los sistemas de identidad existentes, las necesidades de conservación, los requisitos de grabación y la sensibilidad de las reuniones.
En su política de cookies, mencione Google Meet como servicio de videoconferencia de terceros operado por Google LLC, describa las categorías de cookies que deposita como autenticación, seguridad y preferencias e indique sus duraciones típicas. Explique que cargar el widget de Meet transfiere datos personales a Estados Unidos en el marco del Data Privacy Framework UE/EE. UU. Refiera la base jurídica (consentimiento para incrustaciones públicas, contrato para unirse a reuniones) y enlace a la política de privacidad de Google y a la página de certificación DPF. Documente, por último, el interruptor granular de consentimiento que controla cuándo se carga la incrustación.