¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
TikTok Embed es el iframe oficial que permite mostrar un vídeo público de TikTok dentro de otra web. El embed carga embed.js desde www.tiktok.com, instala cookies de tracking de ByteDance (tt_webid, tt_csrf_token, _ttp, msToken, ttwid) y transmite la IP, el User Agent y la URL de referencia del visitante a TikTok en cuanto se inicializa el iframe. La DPC irlandesa impuso 345 millones de euros a TikTok en septiembre de 2023 y 530 millones más en mayo de 2025 por transferencias hacia China, y los reguladores europeos clasifican el embed como tratamiento de alto riesgo que exige consentimiento previo según la Directiva ePrivacy.
El embed de TikTok se activa al incluir una etiqueta script que apunta a www.tiktok.com/embed.js y un blockquote con la URL del vídeo. En cuanto el script se ejecuta, el navegador del visitante abre conexiones a www.tiktok.com, p16 sign.tiktokcdn us.com y a varios CDN auxiliares, descarga el reproductor y permite a TikTok leer y escribir sus identificadores de seguimiento. Técnicamente equivale a abrir el vídeo en tiktok.com pero dentro de un iframe en su dominio. ByteDance recibe entonces la IP del visitante, el User Agent, el idioma, la zona horaria, la URL de referencia y todas las cookies previamente instaladas en tiktok.com.
TikTok instala una serie de cookies de tracking: tt_webid y tt_webid_v2 (identificadores de dispositivo), tt_csrf_token (protección CSRF), _ttp (identificador del TikTok Pixel cuando está activado), msToken (token anti scraping y de sesión), ttwid (identificador web) y passport_csrf_token / passport_auth_status_ss cuando el visitante está conectado. La visualización del embed se registra en la analítica de TikTok y alimenta el grafo de recomendación. Si el operador también ejecuta un TikTok Pixel en el mismo dominio, el embed y el Pixel pueden correlacionarse para enriquecer el perfil ByteDance del visitante.
El embed de TikTok no es estrictamente necesario para el servicio solicitado, por lo que el artículo 5(3) de la Directiva ePrivacy exige un consentimiento opt in previo antes de escribir cualquier cookie o cargar cualquier script. La decisión DPC del 1 de septiembre de 2023 sancionó a TikTok con 345 millones de euros por carencias relativas a datos de menores y transparencia, y en mayo de 2025 la misma autoridad añadió 530 millones por transferencias de datos de usuarios europeos a China. Los reguladores europeos consideran las integraciones de TikTok de alto riesgo, sobre todo cuando el público puede incluir menores.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Project Clover obliga a TikTok a almacenar los datos de los usuarios europeos en infraestructura Oracle dentro de la UE, con NCC Group como security trustee externo. El proyecto se está desplegando y el personal de ByteDance en China conserva acceso remoto controlado para ingeniería, moderación y trust and safety. Mientras Project Clover no esté plenamente auditado y respaldado por el EDPB, el embed debe tratarse como una transferencia de alto riesgo a países terceros no adecuados. En la mayoría de los casos es necesaria una EIPD y los operadores en sectores regulados deberían evitar el embed.
Implemente un placeholder click to load con opt in por defecto, exponga TikTok en el banner como proveedor de redes sociales o publicidad e inyecte el embed solo tras un consentimiento granular. Evite los embeds de TikTok en páginas dirigidas a menores. Actualice la política de privacidad con el enlace a las condiciones de TikTok, la lista de cookies y la declaración de la transferencia a ByteDance. Las alternativas más seguras incluyen alojar un MP4 en su propio CDN bajo la licencia del creador, mostrar una miniatura estática que enlace a la URL de TikTok o un proxy del servidor que recupere el vídeo sin que el navegador del visitante contacte con TikTok.
Websites using TikTok Embed must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD es obligatoria para el embed de TikTok en la mayoría de propiedades dirigidas a la UE. La combinación de tratamiento a gran escala por parte de ByteDance, posibles inferencias de categorías especiales de datos a través de los vídeos consumidos y transferencias históricas a China lo convierten en una actividad de alto riesgo. Tras las decisiones DPC 2023 y 2025, los operadores deben documentar la base legal, el flujo de consentimiento, el riesgo residual tras Project Clover, las categorías de datos transferidos y las alternativas más seguras evaluadas.
Sample consent text
Incluimos vídeos de TikTok. Cargar este embed comparte su dirección IP, su User Agent y su contexto de navegación con TikTok y ByteDance, y puede implicar transferencias fuera del EEE. El embed solo se carga después de que acepte las cookies publicitarias y de redes sociales.
Third-party domains contacted
tiktok.comwww.tiktok.comp16-sign.tiktokcdn-us.comp16-sign-va.tiktokcdn.commssdk.tiktokv.combyteoversea.comtiktokcdn.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| tt_webid | http | 12 months | TikTok device identifier set by www.tiktok.com when the embed loads. Used for analytics, recommendations and fraud prevention. |
| tt_webid_v2 | http | 12 months | Newer TikTok device identifier used alongside tt_webid for cross session recognition. |
| tt_csrf_token | http | Session | CSRF token paired with TikTok requests to prevent cross site request forgery on actions performed inside the embed. |
| msToken | http | ~30 minutes | Anti scraping and short lived session token rotated on every interaction with TikTok endpoints. |
| ttwid | http | 12 months | TikTok web identifier used to track the device across TikTok properties and recommend content. |
| _ttp | http | 13 months | TikTok Pixel identifier. Set on the operator domain when a TikTok Pixel is installed and shared with the embed to correlate visits. |
| passport_csrf_token | http | 6 months | TikTok login session protection cookie set when the visitor is authenticated, linking the embed view to a TikTok account. |
TikTok Embed instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Cuando se carga el embed, www.tiktok.com instala cookies de tracking de ByteDance: tt_webid y tt_webid_v2 (identificadores de dispositivo, 12 meses), tt_csrf_token (protección CSRF), msToken (anti scraping y sesión, unos 30 minutos), ttwid (identificador web de TikTok, 12 meses) y _ttp si el operador también ejecuta un TikTok Pixel. Para visitantes conectados se añaden cookies de passport que vinculan la visualización del embed a una cuenta TikTok.
Sí. El embed carga scripts y escribe cookies de tracking y no es estrictamente necesario para el servicio. El artículo 5(3) de la Directiva ePrivacy exige consentimiento opt in previo y el EDPB aclara que ese consentimiento debe ser específico, informado y granular. La implementación estándar es un placeholder de doble clic servido desde su propio dominio, que solo carga el iframe tras la aceptación.
La única base realista es el consentimiento del artículo 6(1)(a) del RGPD. El interés legítimo no es viable porque el embed permite un profiling a gran escala por ByteDance y expone al visitante a posibles transferencias a China. TikTok recurre a otras bases para sus propios tratamientos, pero el operador que integra el iframe es responsable de obtener el consentimiento antes de que cualquier dato salga del navegador del visitante.
Sí. Aun con Project Clover trasladando los datos de los usuarios europeos a centros Oracle dentro de la UE, el personal de ByteDance en China conserva acceso controlado. La DPC irlandesa sancionó a TikTok con 345 millones de euros en 2023 y 530 millones más en 2025, principalmente por transferencias y datos de menores. El embed debe tratarse como transferencia de alto riesgo a países terceros no adecuados y declararse así en la política de privacidad.
Sí en la mayoría de casos. La combinación de tratamiento masivo por ByteDance, posibles inferencias de categorías especiales de datos a través de los vídeos consumidos y transferencias históricas a China suele superar el umbral del artículo 35 del RGPD. La EIPD debe documentar la necesidad, la base legal, el mecanismo de consentimiento, el riesgo residual bajo Project Clover y las alternativas más seguras evaluadas. En sectores regulados conviene evitar el embed.
Bloquee el embed por defecto y sustitúyalo por un placeholder click to load servido desde su propio dominio que explique el flujo de datos hacia TikTok. Exponga TikTok en el banner como proveedor de redes sociales o publicidad e inyecte el iframe solo tras un consentimiento granular. Documente el tratamiento en la política de privacidad con la lista de cookies, el enlace a las condiciones de TikTok y la declaración de la transferencia a China. Evite el embed en páginas dirigidas a menores.
Las alternativas habituales incluyen descargar el MP4 del vídeo con la autorización del creador y alojarlo en su propio CDN, mostrar una miniatura estática que enlace a la URL de TikTok o usar un proxy del servidor que recupere el vídeo sin exponer el navegador del visitante a los endpoints de TikTok. Para casos editoriales, un host de vídeo basado en la UE (PeerTube, Vimeo con residencia UE, Bunny Stream) puede sustituir por completo la integración TikTok.
Añada a TikTok y a ByteDance Ltd como destinatarios de los datos, enumere las cookies instaladas por www.tiktok.com (tt_webid, tt_webid_v2, tt_csrf_token, msToken, ttwid, _ttp, variantes passport) con su duración y finalidad, declare la transferencia fuera del EEE y a China, mencione Project Clover y haga referencia a las decisiones de la DPC irlandesa. Actualice la entrada cuando TikTok modifique sus informaciones.