¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Incrustar vídeos de YouTube en sitios web provoca que el código de seguimiento de Google se cargue en los navegadores de los visitantes, estableciendo cookies publicitarias y de análisis que rastrean el comportamiento de visualización y crean perfiles publicitarios. Esto requiere consentimiento según la Directiva ePrivacy. YouTube proporciona un dominio de incrustación mejorado para la privacidad (youtube-nocookie.com) que reduce significativamente la colocación de cookies. Alternativamente, usar un enfoque de fachada o miniatura retrasa la carga de YouTube hasta que los usuarios hacen clic en reproducir, reduciendo el impacto en la privacidad.
YouTube es la plataforma de vídeo operada por Google Ireland Limited (responsable para editores UE) y Google LLC (subencargado en Estados Unidos). Cuando un editor incrusta un vídeo de YouTube, el iframe estándar se sirve desde youtube.com y carga inmediatamente JavaScript, fuentes y recursos del reproductor desde ytimg.com, googlevideo.com y doubleclick.net. El reproductor intercambia señales publicitarias con Google Marketing Platform, incluso si en el vídeo no se muestra publicidad.
La incrustación estándar youtube.com deposita las cookies VISITOR_INFO1_LIVE (identificador de visitante, 6 meses), YSC (identificador de sesión, sesión), PREF (preferencias, 8 meses) e IDE en doubleclick.net (id publicitario, 13 meses) al cargar el iframe. El modo privacy enhanced youtube-nocookie.com deposita las mismas cookies solo después del clic en Reproducir. Ambos modos también escriben entradas localStorage para recordar la posición de reproducción y la calidad.
Antes de cargar cualquier incrustación de YouTube se requiere consentimiento conforme al art. 6.1.a RGPD y al art. 5(3) ePrivacy, porque el iframe deposita cookies publicitarias en dominios de terceros (doubleclick.net, google.com). La sentencia TJUE Fashion ID (C 40/17, julio de 2019) confirma la corresponsabilidad del editor. La CNIL ha sancionado organizaciones francesas por cargar YouTube sin consentimiento (Carrefour 2020, Universidad de Le Mans 2023). Incluso youtube-nocookie.com no está exenta: la resolución del dominio revela la IP del visitante a Google.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La carga de una incrustación de YouTube transmite IP, user agent, referente y cookies a Google LLC en Estados Unidos. Google LLC está certificada en el Data Privacy Framework UE Estados Unidos desde el 10 de julio de 2023 y las condiciones de YouTube incorporan las CCT (módulo 3). No obstante, la decisión vinculante del EDPB contra Google Analytics (1/2022) y varias sanciones de autoridades de control confirman que el editor también debe implementar medidas suplementarias, documentar una EIDT e informar a los usuarios.
Sustituya el iframe estándar por un placeholder click to load (imagen y botón Play) que solo cargue la incrustación de YouTube tras el consentimiento. Use el dominio youtube-nocookie.com en lugar de youtube.com para minimizar cookies. Documente Google Ireland Limited y Google LLC en su registro de actividades (art. 30 RGPD) y en la política de privacidad. Liste VISITOR_INFO1_LIVE, YSC, PREF e IDE en su política de cookies. Para contenidos sensibles, considere autoalojarse con Plyr, Mux Video, Vimeo Pro o Bunny.net. Renueve el consentimiento cada 6 meses (deliberación CNIL 2020 091).
Alternativas amigables con el RGPD: Vimeo Privacy Friendly Embed (EE. UU. con residencia UE), Cloudflare Stream, Mux Video (UE y EE. UU.), Bunny Stream (Eslovenia y edge global), PeerTube (open source autoalojable), Dailymotion (Francia) y el stack autoalojado Plyr o Video.js con manifiestos HLS en su propio CDN.
Websites using Incrustación de YouTube must obtain user consent under GDPR regulations.
DPIA considerations
En general no se requiere una EIPD para la incrustación estándar de vídeos de YouTube con una gestión adecuada del consentimiento. Puede ser relevante para grandes plataformas de medios que incrustan muchos vídeos donde el seguimiento de audiencia de Google crea un perfil sistemático de los visitantes.
Sample consent text
Esta página incrusta vídeos de YouTube proporcionados por Google Ireland Limited (operador) y Google LLC (subencargado en Estados Unidos). Al pulsar reproducir, YouTube deposita cookies publicitarias (VISITOR_INFO1_LIVE, YSC, PREF, IDE) y transmite su dirección IP, user agent y el vídeo visualizado a Google en Estados Unidos al amparo del Data Privacy Framework y de las Cláusulas Contractuales Tipo. Cargamos cada incrustación de YouTube solo después de que acepte la categoría marketing o vídeo en nuestras preferencias de cookies, y utilizamos el modo privacy enhanced youtube-nocookie.com siempre que es posible.
Third-party domains contacted
youtube.comwww.youtube-nocookie.comi.ytimg.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| YSC | session | Session | YouTube session identifier loaded on standard YouTube embed — tracks viewing session data |
| VISITOR_INFO1_LIVE | persistent | 6 months | YouTube visitor identifier for tracking viewing history and personalising recommendations |
Incrustación de YouTube instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Las incrustaciones estándar de YouTube requieren consentimiento ya que establecen cookies publicitarias inmediatamente al cargar la página. Usar youtube-nocookie.com reduce pero puede no eliminar completamente los requisitos de consentimiento. El enfoque de fachada (carga de miniatura) es el más respetuoso con la privacidad y puede no requerir un banner de consentimiento.
youtube-nocookie.com es el dominio de incrustación mejorado para privacidad de YouTube. Según Google, no establece cookies hasta que el usuario reproduce el vídeo. Actívelo reemplazando "youtube.com/embed/" por "www.youtube-nocookie.com/embed/" en la URL src de su iframe. El bloque de YouTube integrado de WordPress lo usa por defecto.
Las incrustaciones estándar de YouTube establecen VISITOR_INFO1_LIVE (ID de visitante de YouTube, 6 meses), YSC (sesión, sin expiración) y pueden establecer cookies publicitarias si el usuario está conectado a Google. Estas requieren consentimiento. El modo youtube-nocookie.com evita establecer estas cookies hasta la reproducción.
Sí. Todo el procesamiento de YouTube (Google) ocurre en infraestructura de EE.UU. Se requieren CCE como parte de los términos estándar de Google. Acepte los términos de procesamiento de datos de Google y divulgue la transferencia a EE.UU. en su política de privacidad al incrustar vídeos de YouTube.
Use la librería lite-youtube-embed (disponible en npm y GitHub) que renderiza una miniatura y carga el iframe real de YouTube solo al hacer clic. Es semántico, accesible, significativamente más rápido y respetuoso con la privacidad. Alternativamente, use una implementación personalizada con una imagen en miniatura y un manejador onclick que reemplace la imagen por el iframe real.
Las opiniones legales difieren. Google dice que no se establecen cookies hasta la reproducción. Algunas autoridades de protección de datos consideran que incluso la transmisión de la dirección IP al cargar el iframe es una transferencia de datos personales que requiere consentimiento. El enfoque más seguro: usar youtube-nocookie.com Y el patrón de fachada, para que el dominio de YouTube solo reciba una solicitud cuando el usuario hace clic activamente en reproducir.
Vimeo (alojado en EE.UU. pero con modo de privacidad dnt=1), Wistia (alojado en EE.UU.) y Dailymotion (empresa francesa) son alternativas. Para vídeo alojado por uno mismo, PeerTube (código abierto, se puede alojar en la UE) proporciona una incrustación compatible con YouTube sin las prácticas de datos de Google.
Sí. Divulgue que el sitio web incrusta vídeos de YouTube, que YouTube (Google) establece cookies cuando los vídeos se cargan o reproducen, que los datos se transfieren a Google en EE.UU., y proporcione un enlace a la Política de Privacidad de YouTube. Si usa youtube-nocookie.com, indique que esto reduce pero puede no eliminar el procesamiento de datos.