¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Facebook Login (tambien llamado Iniciar sesion con Facebook) es el SDK de autenticacion social y de social graph de Meta. Permite a los visitantes acceder a un sitio tercero con su cuenta Facebook y expone datos de perfil, amigos, edad y otros campos del graph segun los permisos. Incluir el boton Iniciar sesion con Facebook o el SDK JavaScript de Meta en una web europea activa cookies en el dominio facebook.com, transfiere identificadores a Meta y crea una relacion de corresponsabilidad bajo el RGPD.
Facebook Login es el servicio de autenticacion OAuth 2.0 y OpenID Connect de Meta. Un sitio incluye el boton Iniciar sesion con Facebook cargando el SDK JavaScript de Meta (sdk.js desde connect.facebook.net) o usando directamente el dialogo Facebook Login. Tras autorizar los permisos solicitados (email, perfil publico, lista de amigos, franja de edad, preferencias de marketing), Meta devuelve un token con el que el sitio consulta el Graph API.
En la practica, el editor decide que permisos solicitar, si guardar la ID de Facebook localmente y como combinar los datos de Facebook con el resto del perfil. Cada decision tiene consecuencias RGPD directas.
Facebook Login coloca varias cookies en el dominio tercero .facebook.com: c_user (id del usuario conectado), xs (sesion), datr (identificador de navegador, 2 anos), sb (seguridad), fr (identificador publicitario, 90 dias) y otras. En el dominio del editor, Meta puede guardar un token de Facebook Login en localStorage (fblo_<APP_ID>) y un parametro state efimero para el handshake OAuth. Las llamadas al Graph API transmiten IP, User-Agent, permisos solicitados y App ID a los servidores Meta.
Cargar el SDK de Meta antes de que el usuario pulse Login con Facebook se considera por varias autoridades europeas (CNIL Francia, Datenschutzbehoerde Austria, AEPD Espana) un plugin social que requiere consentimiento previo segun el articulo 5.3 ePrivacy. La decision del Bundeskartellamt sobre Meta, confirmada por el TJUE C-252/21 (4 de julio de 2023), exige consentimiento, no interes legitimo, para combinar datos de Facebook con datos fuera de la plataforma. El editor y Meta son corresponsables del tratamiento iniciado por el boton.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Meta Platforms Inc. (EE. UU.) esta certificada bajo el EU-US Data Privacy Framework. El DPA de Meta incorpora clausulas contractuales tipo para paises fuera del marco. Tras la decision de la Autoridad irlandesa de proteccion de datos de 22 de mayo de 2023, Meta ha acelerado su EU Data Center (Irlanda, Dinamarca, Suecia, Espana) pero la verificacion de identidad sigue pasando por infraestructura estadounidense. Se recomienda una evaluacion de impacto de transferencias.
El consentimiento (articulo 6.1.a del RGPD) se requiere para la carga inicial del SDK de Meta y para el intercambio amplio de datos. La necesidad contractual (articulo 6.1.b) puede cubrir el tratamiento estrictamente vinculado a la autenticacion tras pulsar el boton. Cualquier permiso opcional (amigos, audiencias marketing, audiencias personalizadas) requiere consentimiento granular separado.
Cargar el SDK de Meta solo tras consentimiento explicito, configurar la app de Facebook para pedir los permisos minimos, almacenar solo la ID de Facebook y los datos estrictamente necesarios, documentar la corresponsabilidad mediante el Meta Joint Controller Addendum, mencionar a Meta como destinatario en la politica de privacidad, ofrecer un metodo de login alternativo (email/contrasena u otro SSO) y un procedimiento sencillo de desconexion y eliminacion de la ID de Facebook.
Websites using Facebook Login (Iniciar sesion con Facebook) must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD cuando Facebook Login autentica clientes, almacena perfil en el CRM o personaliza contenido segun el graph de Facebook. La EIPD debe cubrir los datos intercambiados con Meta, el acuerdo de corresponsabilidad, la base legal de cada permiso, la conservacion de IDs Facebook, el mecanismo de transferencia internacional y los procedimientos para solicitudes de los interesados.
Sample consent text
Puede iniciar sesion en este sitio con su cuenta Facebook. Al pulsar Iniciar sesion con Facebook, su navegador abre un popup de Meta, transmite identificadores y su IP a Meta Platforms Ireland Limited y Meta Platforms Inc. en EE. UU. e instala cookies en facebook.com. Tratamos los datos de perfil que usted autorice para crear o actualizar su cuenta. La base es su consentimiento y el EU-US Data Privacy Framework. Puede revocar el acceso en cualquier momento en los ajustes de Facebook.
Third-party domains contacted
facebook.comconnect.facebook.netgraph.facebook.comfbcdn.netmeta.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| c_user | HTTP cookie | 1 year | Logged in Facebook user ID set on .facebook.com after login. |
| xs | HTTP cookie | 1 year | Facebook session secret combined with c_user to authenticate the request. |
| datr | HTTP cookie | 2 years | Browser identifier set on first visit to facebook.com, used for security and abuse detection. |
| sb | HTTP cookie | 2 years | Facebook browser security cookie that helps detect impersonation. |
| fr | HTTP cookie | 90 days | Meta advertising identifier used for ad delivery on the Meta network. |
Facebook Login (Iniciar sesion con Facebook) instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Facebook Login instala c_user (1 ano, ID de usuario), xs (secreto de sesion), datr (ID de navegador, 2 anos), sb (seguridad, 2 anos) y fr (ID publicitario, 90 dias) en .facebook.com. El dominio del editor puede llevar un parametro state OAuth temporal y una entrada fblo_<APP_ID> en localStorage.
Si. El SDK JavaScript de Meta se considera un plugin social bajo la Directiva ePrivacy y requiere opt-in previo antes de cargarlo. Cada permiso de Facebook mas alla de la autenticacion basica requiere consentimiento granular propio.
Consentimiento (articulo 6.1.a del RGPD) para la carga del SDK de Meta y el intercambio mas amplio. La necesidad contractual (articulo 6.1.b) cubre el tratamiento estrictamente de autenticacion tras pulsar Iniciar sesion con Facebook.
Si. Meta Platforms Inc. esta bajo control estadounidense y certificada bajo el EU-US Data Privacy Framework. El DPA de Meta incluye clausulas contractuales tipo. La verificacion de identidad sigue pasando por infraestructura estadounidense tras el EU Data Center.
Si cuando Facebook Login autentica clientes, almacena IDs de Facebook en la base de datos o alimenta la personalizacion de marketing. La EIPD debe abordar la corresponsabilidad y la transferencia UE-EE. UU.
Cargar el SDK de Meta solo tras el consentimiento, pedir el minimo de permisos, documentar la corresponsabilidad, almacenar el minimo de datos de perfil, ofrecer un metodo de login alternativo y un procedimiento sencillo de desconexion.
Para SSO social: Sign in with Apple, Google Identity Services, GitHub OAuth, Microsoft Entra External ID, LinkedIn. Para email/contrasena sin contrasena: WebAuthn, magic links, TOTP. OpenID Connect sobre un Keycloak autoalojado para soberania total.
Anadir una seccion dedicada identificando a Meta Platforms Ireland Limited y Meta Platforms Inc. como corresponsables, listar las cookies, los fines (autenticacion y publicidad), la certificacion EU-US Data Privacy Framework y un enlace a la politica de privacidad de Meta.