¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Dyte es una plataforma para desarrolladores con SDK WebRTC para integrar vídeo, voz y chat en directo. Adquirida por Cloudflare en 2023 e integrada en Cloudflare Realtime, impulsa llamadas embebidas en telemedicina, e-learning, atención al cliente y herramientas de trabajo remoto. Los flujos de audio y vídeo viajan por la infraestructura de Cloudflare y Dyte en Estados Unidos e India, lo que activa obligaciones de consentimiento y transferencia internacional bajo el RGPD para los sitios europeos.
Dyte es una plataforma para desarrolladores que ofrece SDK y API basadas en WebRTC para integrar vídeo, voz y chat en directo en sitios y aplicaciones. Fue adquirida por Cloudflare a finales de 2023 y forma parte ahora de Cloudflare Realtime, compartiendo la misma red edge global para enrutar los flujos con baja latencia.
Los casos de uso típicos son la telemedicina, las aulas online, la venta a distancia, la atención al cliente por vídeo y las herramientas de colaboración. Dyte expone componentes de interfaz listos para usar, SDK headless para web y móvil, y API REST para gestionar reuniones y grabaciones.
Cuando el SDK de Dyte se carga en una página, descarga JavaScript y configuración desde dominios de Dyte y Cloudflare, abre canales WebSocket de señalización y negocia conexiones par a par para audio y vídeo. Durante una sesión procesa flujos de audio y vídeo, capturas de pantalla, mensajes de chat, nombres de participantes, identificadores de dispositivo, direcciones IP, metadatos de navegador y sistema operativo, y telemetría de calidad de servicio.
Dyte se apoya principalmente en sessionStorage y localStorage del navegador, pero también deposita algunas cookies funcionales en su portal de reuniones (app.dyte.io) para autenticación, continuidad de sesión y preferencias de consentimiento. Los flujos de audio y vídeo pueden considerarse datos biométricos cuando se usan para identificar a una persona, lo que activa el régimen de categorías especiales del artículo 9 RGPD.
Cargar Dyte desde un dominio de terceros y escribir en el almacenamiento local entra en el ámbito del artículo 5(3) de la directiva ePrivacy y de la LSSI en España. Se exige consentimiento previo salvo que el almacenamiento sea estrictamente necesario para un servicio expresamente solicitado por la persona usuaria, lo que en la práctica solo ocurre cuando decide unirse activamente a una reunión.
Conforme al RGPD, el editor del sitio es responsable del tratamiento y Dyte/Cloudflare actúa como encargado a través de un acuerdo DPA. El nivel de riesgo se eleva por el uso de flujos WebRTC, identificadores de dispositivo persistentes, señales de fingerprinting derivadas de getUserMedia y el enrutamiento transfronterizo hacia infraestructura estadounidense e india.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Para un widget de contacto que carga el SDK de Dyte de forma proactiva en cada página, el consentimiento opt-in basado en el artículo 6(1)(a) RGPD y el artículo 5(3) ePrivacy es la base más segura. El SDK y todas sus cookies deben permanecer bloqueados hasta que la persona acepte la categoría correspondiente en el banner de consentimiento.
Cuando la propia reunión es el servicio solicitado (por ejemplo una teleconsulta agendada), el artículo 6(1)(b) RGPD sobre ejecución de contrato puede justificar el tratamiento principal, pero las cookies de medición, los eventos analytics y la función de grabación siguen necesitando un consentimiento separado.
Cloudflare y Dyte operan una infraestructura mundial concentrada en Estados Unidos e India. Los flujos de audio, vídeo y señalización de personas usuarias europeas se enrutan con frecuencia por servidores estadounidenses e indios. Para Estados Unidos rige el EU-US Data Privacy Framework cuando Cloudflare está certificado; en caso contrario se aplican cláusulas contractuales tipo, completadas con cifrado en tránsito y en reposo.
India no cuenta con decisión de adecuación, por lo que son imprescindibles las cláusulas contractuales tipo del artículo 46(2)(c) RGPD y una evaluación de impacto de la transferencia. Documente la lógica de enrutamiento y las opciones de residencia de datos ofrecidas por Cloudflare Realtime en su registro de actividades.
Cargue el SDK de Dyte de forma diferida, solo tras recoger el consentimiento o cuando la persona usuaria inicie activamente una llamada. Firme el DPA de Cloudflare/Dyte, mencione a ambos como subencargados en la política de privacidad y desactive la grabación por defecto, exigiendo un opt-in explícito antes de grabar.
Realice una evaluación de impacto para salud, educación y RR. HH., limite el acceso a las grabaciones, fije periodos de conservación cortos y revise las opciones de pinning regional de Cloudflare Realtime. Mantenga al día los dominios de Dyte en su Content Security Policy y en su gestor de consentimiento.
Websites using Dyte must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda firmemente una EIPD cuando Dyte se usa en telemedicina, formación online, entrevistas RR. HH. o cualquier contexto que pueda implicar datos de categoría especial. Puntos clave: (1) los flujos de audio y vídeo pueden ser datos biométricos del artículo 9 RGPD cuando sirven para identificar a una persona; (2) WebRTC revela IP, identificadores de dispositivo y capacidades de códec que permiten fingerprinting; (3) los datos pasan por infraestructura de EE. UU. e India, lo que exige cláusulas contractuales tipo y evaluación de transferencias; (4) la grabación requiere limitar finalidad, conservación y acceso; (5) la cadena de subencargados Dyte y Cloudflare debe documentarse; (6) la retirada del consentimiento debe interrumpir la sesión y borrar los identificadores del lado cliente.
Sample consent text
Utilizamos Dyte (Cloudflare Realtime) para integrar funciones de vídeo, voz y chat. Con su consentimiento, el SDK de Dyte carga JavaScript, abre una conexión WebRTC y procesa audio, vídeo, compartición de pantalla y metadatos del dispositivo. Los flujos se enrutan por servidores de Cloudflare y Dyte en Estados Unidos e India bajo cláusulas contractuales tipo. Puede retirar su consentimiento en cualquier momento desde la configuración de cookies, lo que detiene la carga del SDK y finaliza la sesión activa.
Third-party domains contacted
dyte.ioapp.dyte.ioapi.dyte.iorealtime.dyte.iocdn.dyte.iovideo.dyte.ioassets.dyte.iocloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| dyte-auth-token | Functional / Authentication | Session | Authenticates the user inside the Dyte meeting portal (app.dyte.io) |
| dyte-preferred-input | Functional / Preferences | 1 year | Remembers the preferred microphone and camera devices for the next session |
| dyte-consent | Functional / Consent | 6 months | Stores the user consent preferences for the Dyte meeting portal |
| __cf_bm | Functional / Bot management (Cloudflare) | 30 minutes | Cloudflare bot management cookie set when serving Dyte assets through the Cloudflare edge |
| cf_clearance | Functional / Security (Cloudflare) | 30 days | Cloudflare challenge clearance cookie used to verify the visitor passed a security check |
Dyte instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Dyte se apoya sobre todo en sessionStorage y localStorage. Su portal de reuniones app.dyte.io coloca además algunas cookies funcionales para autenticación, continuidad de sesión y preferencias de consentimiento. Sin cookies de marketing o analytics por defecto, salvo que añada sus propias integraciones.
Sí. El SDK de Dyte carga JavaScript de terceros y escribe en el dispositivo, lo que entra en el artículo 5(3) ePrivacy y la LSSI. Hace falta consentimiento previo, salvo cuando la llamada es el servicio solicitado. Bloquee el SDK hasta que la persona acepte la categoría en el banner.
Para widgets opcionales, la base es el consentimiento (artículo 6(1)(a) RGPD). Cuando la reunión es el servicio solicitado, el artículo 6(1)(b) RGPD (contrato) puede justificar la llamada en sí, pero el tracking, analytics o grabación siguen requiriendo consentimiento.
Sí. Los flujos de audio, vídeo y señalización pasan por la infraestructura de Cloudflare y Dyte en Estados Unidos e India. Las transferencias se basan en el EU-US Data Privacy Framework (si Cloudflare está certificado) o en cláusulas contractuales tipo, con evaluación de transferencia para India.
Se recomienda firmemente para telemedicina, educación, RR. HH. o cualquier caso que pueda involucrar categorías especiales. El audio y vídeo pueden ser datos biométricos (artículo 9 RGPD), los identificadores persistentes permiten elaborar perfiles y el enrutamiento Estados Unidos/India eleva el riesgo.
Cargue el SDK solo tras el consentimiento o cuando la persona usuaria inicie la llamada. Firme el DPA con Cloudflare/Dyte. Liste a ambos como subencargados en la política de privacidad. Desactive la grabación por defecto, configure retención y accesos y añada los dominios Dyte a su Content Security Policy.
Alternativas: Daily.co, Twilio Video, Vonage Video API, Whereby Embedded, Jitsi (open source, autoalojado), LiveKit (SDK open source) y 100ms. Algunas ofrecen residencia de datos en la UE o documentación más completa para sanidad, lo que puede simplificar el cumplimiento.
Liste a Dyte como servicio de comunicación de terceros en la sección de cookies y SDKs. Mencione las cookies funcionales de app.dyte.io, el uso de WebRTC, las categorías de datos (audio, vídeo, chat, metadatos), la cadena de subencargados Cloudflare/Dyte y la transferencia a Estados Unidos e India bajo cláusulas contractuales tipo.