¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
ALTCHA es una alternativa de captcha de código abierto y respetuosa con la privacidad, desarrollada por BAU.PLUS en Eslovaquia (UE). Protege los formularios frente al spam y a los bots mediante un reto de prueba de trabajo resuelto en el navegador, sin cookies, sin perfilado de comportamiento y sin huella digital en su configuración por defecto. ALTCHA puede autoalojarse por completo o utilizarse a través del endpoint europeo, lo que la convierte en uno de los valores predeterminados más limpios para cumplir con el RGPD.
ALTCHA es una alternativa de captcha de código abierto desarrollada por Daniel Regeci y el equipo de BAU.PLUS en Eslovaquia. En lugar de basarse en el seguimiento del comportamiento, en el fingerprinting o en pruebas de imágenes, hace que el navegador del visitante calcule localmente un reto de prueba de trabajo antes de enviar el formulario. A continuación, el servidor verifica el token firmado y acepta o rechaza el envío, bloqueando así la gran mayoría de los bots de spam sin perfilar nunca al usuario humano.
En su configuración por defecto, ALTCHA no instala cookies, no realiza fingerprinting y no crea perfiles de comportamiento. Los únicos datos tratados son la dirección IP del visitante (inevitable en cualquier solicitud HTTP al endpoint de verificación), el reto de prueba de trabajo y el token firmado de corta duración que devuelve el navegador. Cuando se utiliza la variante alojada en eu.altcha.org o us.altcha.org, puede mantenerse en el servidor un valor temporal altcha_session para limitar la tasa de peticiones, pero no se almacenan identificadores persistentes en el dispositivo del cliente.
Dado que ALTCHA solo realiza cálculos locales en el navegador y un único intercambio firmado con el endpoint de verificación, encaja con holgura en la excepción de estrictamente necesario del art. 5(3) ePrivacy, tal y como se ha transpuesto en las legislaciones nacionales. No hay perfilado en el sentido del art. 22 RGPD, no se tratan categorías especiales de datos y, cuando se utiliza el endpoint europeo o una instancia autoalojada, no se produce ninguna transferencia internacional. Las obligaciones restantes del RGPD se limitan a la transparencia en la política de privacidad y a una breve evaluación de interés legítimo.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En la mayoría de los despliegues no se exige consentimiento previo. ALTCHA puede cargarse al amparo de la excepción ePrivacy porque es esencial para proteger el envío del formulario solicitado por el usuario frente a abusos, y el tratamiento se apoya en el art. 6(1)(f) RGPD (interés legítimo en la prevención del fraude) o en el art. 6(1)(b) RGPD (ejecución del contrato que representa el formulario). Conviene incluirlo en la categoría de estrictamente necesarias del banner de cookies y explicarlo brevemente en la política de privacidad. El consentimiento solo resulta relevante si el despliegue se combina con funciones opcionales de análisis o puntuación de riesgo que vayan más allá de la mera protección antispam.
Cuando ALTCHA se autoaloja o se utiliza a través de eu.altcha.org, ningún dato personal sale de la UE, lo que elimina por completo la cuestión de las transferencias del capítulo V del RGPD. Si el editor opta por us.altcha.org, el tratamiento se basa en las Cláusulas Contractuales Tipo y en una evaluación de impacto de transferencias, lo que debe reflejarse en la política de privacidad y en el registro de actividades. Pasos prácticos: documentar la LIA, preferir la variante europea o autoalojada, mencionar ALTCHA en la política de privacidad bajo seguridad, listarlo como estrictamente necesario en el banner y revisar la configuración cada año para confirmar que no se han activado funciones opcionales de seguimiento.
Websites using ALTCHA must obtain user consent under GDPR regulations.
DPIA considerations
Por lo general no se necesita una EIPD completa para ALTCHA en su configuración por defecto: no se establecen cookies, no hay fingerprinting ni perfilado de comportamiento, y el tratamiento se limita a la dirección IP temporal y a un token de prueba de trabajo de corta duración. Se recomienda documentar una evaluación de interés legítimo (LIA) que justifique la finalidad de prevención del fraude, el carácter menos intrusivo frente a reCAPTCHA o hCaptcha y la ausencia de perfilado. Si se utiliza el endpoint estadounidense, debe documentarse la evaluación de impacto de transferencias y las CCT correspondientes.
Sample consent text
ALTCHA se utiliza en este sitio como medida de seguridad estrictamente necesaria para proteger nuestros formularios frente al spam y al abuso automatizado. El reto se ejecuta localmente en su navegador como una prueba de trabajo, no instala cookies y no le perfila. Por ello se carga sin consentimiento previo conforme al art. 5(3) ePrivacy y al art. 6(1)(f) RGPD. Encontrará más detalles en nuestra política de privacidad.
Third-party domains contacted
altcha.orgeu.altcha.orgus.altcha.orgcdn.altcha.orgapi.altcha.orgdocs.altcha.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| altcha_session | http_cookie | session | Optional short lived server side identifier used only by the hosted variant to apply rate limiting on the verification endpoint. Not set on the visitor device. |
| altcha_token | first_party_storage | request | Signed proof of work token returned by the widget and submitted with the form. Held only in the form payload, not persisted in cookies or localStorage by default. |
| altcha_challenge | first_party_storage | request | Challenge payload generated by the server and consumed by the widget during the single page lifecycle. Discarded as soon as the proof of work is solved. |
| altcha_rate_limit | http_cookie | session | Optional anti abuse counter used by self hosted deployments that opt in to per session rate limiting. Off by default. |
ALTCHA es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Ninguno en la configuración por defecto. ALTCHA ejecuta una prueba de trabajo en el navegador y devuelve un token firmado; no se almacenan cookies ni identificadores del cliente. La variante alojada puede mantener un registro temporal altcha_session en el servidor, únicamente para limitar la tasa de peticiones.
En la mayoría de los casos no. ALTCHA protege el envío del formulario solicitado por el usuario, lo que se considera estrictamente necesario conforme al art. 5(3) ePrivacy, por lo que puede cargarse sin consentimiento previo. Documente la evaluación de interés legítimo y mencione ALTCHA como estrictamente necesario en el banner.
El art. 6(1)(f) RGPD (interés legítimo en la prevención del fraude y los abusos) es la base principal, junto con el art. 6(1)(b) RGPD (ejecución del contrato) cuando el captcha sea necesario para prestar el servicio solicitado por el usuario.
No si se autoaloja ALTCHA o se utiliza el endpoint eu.altcha.org, ubicado en la Unión Europea. Las transferencias a Estados Unidos solo se producen si elige explícitamente us.altcha.org, en cuyo caso son necesarias las CCT y una evaluación de impacto de las transferencias.
Por lo general no. ALTCHA no perfila a los usuarios, no instala cookies y no realiza fingerprinting; el riesgo es bajo. Una breve evaluación de interés legítimo suele ser suficiente. Una EIPD solo es relevante si combina ALTCHA con funciones opcionales de análisis o puntuación.
Prefiera la versión autoalojada o el endpoint eu.altcha.org, documente la LIA, incluya ALTCHA en la política de privacidad bajo seguridad, listelo como estrictamente necesario en el banner de cookies y revise la configuración cada año para confirmar que no se han activado funciones opcionales de seguimiento.
Sí. Friendly Captcha es un equivalente europeo muy próximo. mCaptcha es otra solución open source basada en prueba de trabajo. hCaptcha está orientado a la privacidad pero es estadounidense; Cloudflare Turnstile es muy popular pero usa infraestructura estadounidense; Google reCAPTCHA es la opción más invasiva.
Añada una sección breve en la política de privacidad explicando que ALTCHA se utiliza para proteger los formularios frente al spam y al abuso, que ejecuta una prueba de trabajo localmente, no instala cookies y no perfila a los usuarios, y que el tratamiento se basa en el interés legítimo del art. 6(1)(f) RGPD.