¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Twitter Widgets (también llamados X Widgets desde 2023) es la biblioteca JavaScript que permite a un sitio web embeber tweets en vivo, líneas de tiempo, botones de seguir y compartir, e hilos de conversación de X (antes Twitter). Los widgets cargan scripts desde platform.twitter.com y platform.x.com, depositan cookies de sesión y de seguimiento de X en el navegador del visitante y transmiten IP, User-Agent y referente a los servidores de X Corp. en Estados Unidos. Para los editores europeos, esto cae directamente bajo el requisito de consentimiento ePrivacy y el régimen de transferencias transfronterizas del RGPD.
Twitter Widgets (renombrados X Widgets desde 2023) son una familia de componentes embebibles ofrecidos por X Corp. para mostrar contenido en vivo de X en sitios de terceros. Incluyen tweets individuales, líneas de tiempo, botones de seguir, botones de compartir e hilos de conversación. Los widgets cargan JavaScript desde platform.twitter.com o platform.x.com, que renderiza el contenido en iframes alojados en syndication.twitter.com o syndication.x.com.
Los Twitter Widgets depositan o leen cookies que incluyen guest_id, personalization_id, ct0, auth_token (si el usuario está conectado a X), kdt y twid. Transmiten la dirección IP del visitante, User-Agent, URL de la página de embed, referente, resolución de pantalla, preferencias de idioma y (para usuarios conectados) el identificador de cuenta de X. Los datos se envían a X Corp. en Estados Unidos.
Los Twitter Widgets caen plenamente bajo el art. 5(3) ePrivacy: depositan cookies de terceros no esenciales y requieren consentimiento previo. X también puede usar las impresiones del widget para enriquecer perfiles publicitarios, algo señalado por el EDPB en guías sobre social plugins. El operador del widget (su sitio) puede ser corresponsable con X por la recogida en el momento de carga, tras la sentencia Fashion ID del TJUE. Al ser X una Very Large Online Platform bajo el DSA, aplican obligaciones de transparencia adicionales.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Todos los datos recogidos por el widget son tratados por X Corp. en Estados Unidos. La transferencia se basa en las CCT 2021 y, cuando aplica, en la certificación de X en el Data Privacy Framework UE-EE.UU. X ha estado bajo el escrutinio de los reguladores europeos y su certificación DPF ha sido cuestionada en determinados momentos; verifique el estado actual antes de apoyarse en ella.
El script Twitter Widgets no debe cargarse antes de que el visitante haya consentido a las cookies de marketing o de redes sociales. Implemente un patrón click-to-load: muestre un marcador con un botón Cargar tweet y solo inyecte el script de platform.twitter.com cuando el usuario haga clic o acepte la categoría correspondiente del CMP. Alternativa sin cookies: captura estática del tweet con enlace a X.
1. Bloquear el script Twitter / X tras su CMP. 2. Usar marcadores click-to-load para tweets individuales. 3. Documentar a X Corp. en la política de privacidad como corresponsable o responsable independiente, con divulgación de la transferencia a EE.UU. 4. Realizar una EIPD. 5. Considerar alternativas más amigables con la UE como embeds de Mastodon o capturas estáticas. 6. Verificar el estado actual del DPF de X. 7. Asegurarse de retirar el widget de páginas AMP donde la gestión del consentimiento es más difícil.
Websites using Twitter Widgets must obtain user consent under GDPR regulations.
DPIA considerations
Twitter Widgets transmiten datos personales a X Corp. en cada carga del widget, incluso sin interacción del usuario. Consideraciones clave de la EIPD: (1) las cookies de terceros (auth_token, guest_id, personalization_id) permiten perfilado de comportamiento entre sitios; (2) X puede correlacionar la visita con la cuenta de X conectada del usuario, alimentando un perfil utilizable para segmentación publicitaria; (3) todos los datos transferidos a Estados Unidos; (4) X ha sido objeto de múltiples decisiones de DPA nacionales (Garante italiano, DPC irlandés) sobre base legal; (5) el DSA clasifica X como Very Large Online Platform con obligaciones adicionales de transparencia; (6) la personalización del feed por IA puede activar el art. 22 RGPD. Se requiere una EIPD para cualquier embed en producción en un sitio europeo.
Sample consent text
Esta página puede incrustar tweets en vivo y botones de X (antes Twitter). Al cargarse, el widget comparte datos con X Corp. en Estados Unidos, incluida su dirección IP, información del navegador, la URL de esta página y las cookies de X si está conectado. No cargamos el widget hasta que pulse abajo para aceptar. Más información en nuestra política de cookies.
Third-party domains contacted
platform.twitter.complatform.x.comsyndication.twitter.comsyndication.x.comtwitter.comx.compbs.twimg.comvideo.twimg.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| guest_id | Marketing / Tracking | 2 years | Persistent visitor identifier used by X to recognise the browser across visits and embedded widget impressions. |
| personalization_id | Marketing / Advertising | 2 years | Used by X to personalise ads and content recommendations, including across sites that embed X widgets. |
| ct0 | Strictly necessary (X) | Session | CSRF protection token for X interactions; required for logged-in widget actions like Like or Follow. |
| auth_token | Functional | Persistent | Authentication token set if the visitor is logged into X. Lets the widget recognise the X account and personalise. |
| twid | Functional | 6 years | Stores the X user identifier when logged in, allowing rapid recognition across widget loads. |
| kdt | Security | 10 years | Trusted-device identifier used by X for security checks on login. |
Twitter Widgets instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Cookies habituales: guest_id (identificador de visitante, 2 años), personalization_id (personalización publicitaria entre sitios, 2 años), ct0 (token CSRF), auth_token (sesión conectada), kdt y twid. Todas son no esenciales y requieren consentimiento previo.
Sí. Los Twitter / X Widgets depositan cookies de terceros no esenciales y transmiten datos personales (IP, contexto de navegación) a X Corp. al cargar la página, por lo que se requiere consentimiento previo según el art. 5(3) ePrivacy. Implemente click-to-load para que el widget solo se cargue tras la aceptación explícita.
Consentimiento (art. 6(1)(a) RGPD) para la colocación de cookies y la transmisión de datos generada por el widget. El sitio incrustador puede ser corresponsable con X por esta recogida, tras la sentencia Fashion ID, lo que requiere técnicamente un Acuerdo de Corresponsabilidad (art. 26 RGPD), aunque en la práctica X no ofrece dicho acuerdo.
Sí. X Corp. trata los datos en EE.UU. La transferencia se basa en las CCT 2021 y, cuando aplica, en la certificación de X en el DPF UE-EE.UU. El estado del DPF puede cambiar; verifique la certificación pública actual antes de apoyarse en ella.
Sí para cualquier despliegue en producción, especialmente con muchos widgets o tráfico europeo significativo. La combinación de perfilado de comportamiento, transferencia a EE.UU. y posible corresponsabilidad con una VLOP bajo el DSA satisface varios criterios del art. 35(3) RGPD.
Implemente click-to-load: muestre un marcador estático (autor, fecha, vista previa) y solo inyecte el script platform.twitter.com tras consentimiento explícito. Documente a X Corp. en su aviso de privacidad y política de cookies. Añada divulgación de corresponsabilidad si procede. Considere alternativas como capturas estáticas o embeds de Mastodon.
Para alternativas amigables con la UE: captura estática del tweet con enlace a X, renderizado en servidor del contenido público (sujeto a TOS de X), embed de Mastodon o Bluesky, o servicios de embed privacy-friendly como Iframely o Embedly en modo sin cookies.
Liste guest_id, personalization_id, ct0, auth_token y cualquier otra cookie de X observada en producción con finalidad, duración y origen tercero. En el aviso de privacidad, identifique a X Corp. como (co)responsable, divulgue la transferencia a EE.UU. con CCT y estado del DPF, y enlace a la política de privacidad de X.