¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Apple Sign-in

¿Qué hace Apple Sign-in?

Sign in with Apple es el proveedor de identidad de Apple. Permite a los visitantes iniciar sesión en webs y apps con su Apple ID mediante OAuth 2.0 y OpenID Connect, con opción de retransmisión de correo.

Sign in with Apple es el proveedor de identidad de Apple, disponible desde 2019. Implementa OAuth 2.0 y OpenID Connect y es obligatorio para las apps iOS que ofrecen social login. En la web se entrega vía el SDK JS oficial o por redirección OAuth directa a appleid.apple.com. Apple lo posiciona como alternativa orientada a la privacidad frente a Google y Facebook login.

Qué hace Apple Sign-in

El sitio muestra un botón Sign in with Apple. Al pulsarlo, el usuario es redirigido a appleid.apple.com, se autentica con su Apple ID (contraseña más biometría o 2FA) y autoriza los scopes (nombre, correo). Apple devuelve un código de autorización OAuth que el sitio intercambia por un ID token y un refresh token firmados. El flujo es OpenID Connect estándar.

Cookies y datos recopilados

El SDK JS Sign in with Apple puede instalar una pequeña cookie propia en el dominio del comerciante para recordar el estado de inicio de sesión. La mayoría de las cookies viven en appleid.apple.com (s_pers, dssid2, dssf, geo). El comerciante recibe un identificador Apple estable (sub), el correo real o una dirección privaterelay.appleid.com y el nombre en la primera autorización.

Implicaciones RGPD y ePrivacy

El flujo OAuth lo inicia el usuario y se apoya en la ejecución contractual (artículo 6.1.b RGPD). Las cookies estrictamente necesarias para completar el inicio de sesión están exentas (art. 5.3 ePrivacy, LSSI). Las cookies analíticas instaladas por el SDK en la página del botón no son estrictamente necesarias y requieren consentimiento. Apple actúa como responsable independiente para la gestión de su cuenta y como encargado para la aserción que recibe.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias de datos a Estados Unidos

Apple opera appleid.apple.com globalmente con infraestructura UE y EE. UU. Los tokens OAuth pueden validarse en centros de datos estadounidenses. Apple está certificada en el Data Privacy Framework UE-EE. UU. Las transferencias se apoyan además en cláusulas contractuales tipo. Documente el transfer en su registro.

Cómo implementarlo cumpliendo la normativa

Implemente Sign in with Apple con el SDK oficial, solicite únicamente los scopes necesarios (nombre, correo) y trate la dirección privaterelay.appleid.com como un correo real para los avisos transaccionales. Mencione Apple en la política de privacidad como encargado de autenticación con mecanismo de transferencia a EE. UU. Ofrezca al menos un método alternativo de autenticación.

GDPR consent category

Esencial

Websites using Apple Sign-in must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b) GDPR) for the sign in initiated by the user, consent (Art. 6(1)(a)) for any non strictly necessary cookies on the button page

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, EU-US Data Privacy Framework, App Store and Apple Developer Program License Agreement

DPIA considerations

Una EIPD no suele ser necesaria para una integración OAuth estándar. Resulta útil si Apple Sign-in es la única opción de autenticación (accesibilidad, dependencia) o si se combina con un perfilado intenso. Documente los scopes solicitados, el tratamiento del correo (real o relay) y el mecanismo de transferencia a EE. UU.

Sample consent text

Sign in with Apple es un servicio de autenticación operado por Apple. Lo usamos para crear cuenta o iniciar sesión con su Apple ID. Apple instala cookies en el dominio Apple ID y trata sus tokens de identidad en la UE y EE. UU. Esto es necesario para el flujo de inicio de sesión que usted inicia y no requiere consentimiento adicional.

Technical details

Tracking methodOAuth 2.0 and OpenID Connect flow with Apple ID, JavaScript SDK for the Sign in with Apple JS button, server side token validation

Server locationApple infrastructure operated globally with EU and US presence; OAuth token validation against appleid.apple.com

Data transferred outside the EUSign in with Apple is operated by Apple Inc (US). OAuth tokens and identity assertions flow through Apple servers in the EU and the US. Transfers rely on the EU-US Data Privacy Framework (Apple is certified) and on Standard Contractual Clauses combined with a Transfer Impact Assessment.

Third-party domains contacted

appleid.apple.comappleid.cdn-apple.comidmsa.apple.comprivaterelay.appleid.com

Cookies placed

Name	Type	Duration	Purpose
aasp	http_cookie	Session	State cookie set by the Sign in with Apple SDK on the merchant domain to bind the OAuth callback to the originating session.
s_pers	http_cookie	2 years	Apple analytics cookie set on appleid.apple.com to recognise returning Apple ID sessions.
dssid2	http_cookie	Session	Apple session identifier used during the Apple ID authentication.
dssf	http_cookie	Session	Apple fraud prevention cookie used during the Apple ID authentication flow.
geo	http_cookie	Session	Stores the region detected by Apple for the current Apple ID session.

Apple Sign-in es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies instala Apple Sign-in?

El SDK JS de Sign in with Apple puede instalar una pequeña cookie propia en el dominio del comerciante para recordar el estado de inicio de sesión. Las cookies principales viven en appleid.apple.com (s_pers, dssid2, dssf, geo) y son necesarias para el flujo OAuth.

¿Requiere Apple Sign-in consentimiento RGPD?

Las cookies estrictamente necesarias para completar el inicio de sesión se acogen a la exención del art. 5.3 ePrivacy y de la LSSI. El tratamiento del flujo OAuth se apoya en la ejecución contractual desde el momento en que el usuario lo inicia. Las cookies analíticas o de marketing que excedan ese ámbito requieren consentimiento.

¿Cuál es la base jurídica del tratamiento?

Ejecución contractual del artículo 6.1.b del RGPD desde que el usuario pulsa el botón. Consentimiento del artículo 6.1.a para las eventuales cookies no estrictamente necesarias en la página del botón.

¿Se transfieren datos fuera de la UE?

Sí. Apple Inc es una empresa estadounidense y opera appleid.apple.com globalmente con centros de datos UE y EE. UU. Los tokens OAuth pueden validarse en EE. UU. Apple está certificada en el Data Privacy Framework UE-EE. UU. y ofrece CCT.

¿Es necesaria una EIPD?

No suele ser necesaria para una integración OAuth estándar. Es útil cuando Apple Sign-in es la única opción de autenticación (accesibilidad, dependencia) o cuando se combina con un perfilado intensivo.

¿Cómo implementar Apple Sign-in de forma conforme?

Use el SDK oficial, solicite solo los scopes necesarios (nombre, correo), trate la dirección privaterelay.appleid.com como un correo real para comunicaciones transaccionales, mencione Apple en la política de privacidad y ofrezca al menos un método alternativo de autenticación.

¿Existen alternativas a Apple Sign-in?

Alternativas: correo y contraseña con magic links, Google Sign-in, Microsoft Account, passkeys (WebAuthn), GitHub OAuth, proveedores de identidad como Auth0, Clerk, Stytch, Okta o Keycloak. Elija según audiencia y requisitos normativos.

¿Cómo actualizo mi política de cookies para Apple Sign-in?

Enumere la pequeña cookie propia del SDK como estrictamente necesaria y haga referencia a las cookies de appleid.apple.com como cookies de autenticación de terceros. Mencione a Apple como proveedor de autenticación, el mecanismo de transferencia a EE. UU. y enlace su política de privacidad.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note