¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Instagram Embed es la forma oficial de mostrar una publicación, reel o perfil público de Instagram dentro de otra web mediante un iframe oEmbed y un script (embeds.js) cargado desde instagram.com. El embed instala cookies de seguimiento de Meta (datr, fr, ig_did, mid, c_user cuando el visitante está conectado) en el dominio instagram.com y revela la IP y el User Agent del visitante a Meta en cuanto se ejecuta el script. Conforme al RGPD y la Directiva ePrivacy, este tratamiento exige consentimiento previo porque el embed no puede considerarse estrictamente necesario y se transfieren datos personales a Meta Platforms Inc en Estados Unidos.
Un embed de Instagram es la forma oficial de mostrar una publicación pública, un reel, un highlight o un perfil dentro de otra web. La integración combina un iframe apuntando al dominio instagram.com y un pequeño archivo JavaScript (embeds.js) alojado en la infraestructura de Meta. En cuanto se carga el iframe, el navegador del visitante contacta con instagram.com, que lee y escribe los mismos identificadores que Instagram utiliza en su propia plataforma (datr, fr, ig_did, mid y la variante c_user si el visitante está conectado). Incluso un embed aparentemente pasivo es un contacto directo con Meta con los mismos flujos de datos que una visita a instagram.com.
Meta recibe la dirección IP del visitante, el User Agent, el idioma, la URL de referencia (su página) y todas las cookies ya instaladas en instagram.com. Si el visitante está conectado a Instagram o Facebook, Meta recibe además el identificador de cuenta (c_user) y puede reidentificar al visitante en toda la web abierta. El embed se convierte así en una pieza de la infraestructura de tracking de Meta en su dominio. Sin ningún píxel de Meta, el embed básico ya basta para asociar la visita a su página con una cuenta de Meta y alimentar su grafo publicitario.
El embed de Instagram no puede acogerse a la exención de estricta necesidad del artículo 5(3) de la Directiva ePrivacy porque no es indispensable para el servicio solicitado. Requiere consentimiento previo, informado y granular. A ello se suma la transferencia a Meta Platforms Inc en Estados Unidos, una transferencia conforme al capítulo V del RGPD. El TJUE en Schrems II (C 311/18) invalidó el Privacy Shield y los reguladores europeos (CNIL, autoridades alemanas, Garante italiano, EDPB) consideran que compartir datos con Meta conlleva un riesgo residual significativo incluso bajo el Marco UE EE. UU. de Privacidad de Datos, por las leyes de vigilancia estadounidenses (FISA 702, Executive Order 12333).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
El patrón recomendado es el embed en doble clic (click to load). El embed se sustituye por un placeholder estático hasta que el visitante acepta de forma explícita. El placeholder debe indicar claramente que el contenido procede de Instagram, que cargarlo transfiere datos personales a Meta en EE. UU. y que el visitante puede rechazarlo. La aceptación debe ser opt in (sin casillas premarcadas), tan fácil de rechazar como de aceptar, y revocable mediante un panel de consentimiento persistente. La CNIL ha sancionado a varios operadores franceses por cargar embeds de Meta antes del consentimiento.
Dado que el embed de Instagram combina un tratamiento a gran escala por parte de Meta, perfiles que pueden revelar datos sensibles (orientación sexual, opiniones políticas, religión a través de las cuentas consultadas) y una transferencia internacional de alto riesgo, la EIPD es obligatoria en muchos Estados miembros. Debe documentar la necesidad, la proporcionalidad de los datos compartidos, las garantías existentes (consentimiento, DPF, CCT, click to load) y las alternativas valoradas. Los operadores en sectores regulados (salud, educación, sector público) deberían en general evitar el embed.
Implemente un placeholder click to load, exponga Instagram en su banner de consentimiento como proveedor de redes sociales o publicidad y dispare el embed solo tras un consentimiento granular. Documente el tratamiento en el registro de actividades y actualice la política de privacidad con el enlace a las condiciones de Meta y la lista de cookies instaladas por instagram.com. Las alternativas más seguras incluyen alojar una captura del post en su propia CDN, usar una imagen estática con enlace a la URL de Instagram, o recurrir a APIs oficiales de prensa que entregan el contenido sin que el navegador del visitante contacte con Meta.
Websites using Instagram Embed must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD es recomendable siempre que el embed de Instagram se utilice en páginas dirigidas a visitantes de la UE, ya que provoca transferencias sistemáticas de datos personales a Meta en Estados Unidos y varios reguladores europeos (CNIL, Bundeskartellamt, Garante italiano) la consideran de alto riesgo. La EIPD debe analizar el mecanismo de consentimiento, la falta de necesidad técnica, el riesgo residual bajo el Marco UE EE. UU. de Privacidad de Datos y la idoneidad de alternativas más seguras (imagen estática, capturas auto alojadas).
Sample consent text
Incluimos contenido de Instagram. Cargar este embed comparte su dirección IP, su User Agent y su contexto de navegación con Meta Platforms Inc en Estados Unidos, y Meta instala cookies en el dominio instagram.com. El embed solo se carga después de que acepte las cookies publicitarias y de redes sociales.
Third-party domains contacted
instagram.comwww.instagram.comcdninstagram.comscontent.cdninstagram.comfacebook.comstatic.cdninstagram.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| datr | http | 2 years | Meta browser identifier used for security, fraud detection and analytics. Set on the instagram.com domain when the embed loads. |
| fr | http | 90 days | Meta advertising cookie used to deliver, measure and personalise ads across Meta properties and the Audience Network. |
| ig_did | http | 2 years | Instagram device identifier used to recognise the browser across sessions. |
| mid | http | 2 years | Alternative Instagram device identifier set by the embed. |
| sb | http | 2 years | Meta security cookie used to identify the browser and detect suspicious activity. |
| c_user | http | 1 year | Meta logged in user identifier. Set on the instagram.com domain when the visitor is also logged into Instagram or Facebook. Enables cross site identification. |
| xs | http | Session | Meta session token used to maintain the logged in state and tie the embed view to a Meta Account. |
Instagram Embed instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
En cuanto se carga, instagram.com instala las cookies de tracking habituales de Meta: datr (identificación del navegador, 2 años), fr (publicidad y analítica, 90 días), ig_did y mid (identificadores de dispositivo de Instagram, 1 a 2 años), sb (seguridad, 2 años) y c_user / xs si el visitante está conectado a Instagram o Facebook. Son cookies de terceros emitidas por Meta en EE. UU.
Sí. El embed carga scripts y escribe cookies de tracking de Meta y no es estrictamente necesario para el servicio solicitado. El artículo 5(3) de la Directiva ePrivacy exige un consentimiento opt in previo y el RGPD obliga a informar de forma transparente sobre la transferencia internacional a Meta. La implementación estándar es un placeholder de doble clic que solo carga el embed tras la aceptación.
La única base realista es el consentimiento del artículo 6(1)(a) del RGPD. El contrato o el interés legítimo no están disponibles porque el embed es decorativo, no esencial, y expone al visitante a un profiling masivo por parte de Meta. Meta utiliza otras bases para sus propios tratamientos, pero el responsable que integra el iframe debe obtener el consentimiento antes de que cualquier dato salga del navegador del visitante.
Sí. Aunque los visitantes del EEE interactúen con contenido bajo responsabilidad de Meta Platforms Ireland Ltd, los flujos técnicos van a la infraestructura de Meta Platforms Inc en EE. UU. Constituye una transferencia conforme al capítulo V del RGPD, hoy amparada por el Marco UE EE. UU. de Privacidad de Datos (Meta está autocertificada) y por Cláusulas Contractuales Tipo. Schrems II y las directrices posteriores del EDPB mantienen este tipo de transferencia en un nivel de riesgo elevado.
Es muy recomendable en la mayoría de casos y algunos reguladores europeos la exigen explícitamente cuando se despliega a gran escala. La combinación de profiling comportamental por parte de Meta, posibles inferencias de categorías especiales de datos y transferencias internacionales de alto riesgo suele superar el umbral del artículo 35 del RGPD. Los sectores regulados deberían en general evitar el embed.
Use un placeholder click to load servido desde su propio dominio, exponga Instagram en el banner como proveedor de redes sociales o publicidad, e inyecte el iframe solo tras un consentimiento granular. Documente el tratamiento en la política de privacidad, enlace a las condiciones de Meta, liste las cookies instaladas por instagram.com y conserve la prueba del consentimiento. Evite el embed en páginas dirigidas a públicos vulnerables.
Las alternativas habituales incluyen alojar una captura del post en su propio CDN con un pie de texto, usar una imagen estática que enlace a la URL de Instagram, o renderizar el post desde el servidor mediante la Instagram Graph API y entregarlo desde su propia infraestructura. Algunos servicios de terceros compatibles con el RGPD (proxies tipo Embedly, snapshots auto alojados) evitan que el navegador del visitante contacte con Meta.
Documente a Instagram y a Meta Platforms Inc como destinatarios de los datos, enumere las cookies de Meta (datr, fr, ig_did, mid, sb, c_user) con duración y finalidad, declare la transferencia a EE. UU. bajo el Marco UE EE. UU. de Privacidad de Datos, indique la base legal (consentimiento) y enlace a la política de privacidad y lista de cookies de Meta. Actualice la entrada cuando Meta modifique sus informaciones.