¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Auth0

¿Qué hace Auth0?

Plataforma de identidad y autenticación de Okta con flujos de inicio de sesión, tokens JWT, MFA, social login y región de despliegue en la UE (Frankfurt).

¿Qué es Auth0?

Auth0 es una plataforma de identidad y autenticación de Okta que permite a los desarrolladores implementar sistemas de inicio de sesión seguros. Auth0 ofrece flujos de inicio de sesión, autenticación multifactor (MFA), social login (Google, Facebook, Apple), tokens de máquina a máquina, Single Sign-On (SSO) y funciones de gestión de identidades de usuario. Auth0 está disponible con una región UE (Frankfurt, AWS eu-central-1).

¿Qué datos personales procesa Auth0?

Auth0 almacena: dirección de correo electrónico o número de teléfono (para inicio de sesión sin contraseña), hash de contraseña, marcas de tiempo de inicio de sesión, direcciones IP, agente de usuario, datos del perfil social (en caso de social login: nombre, correo, foto de perfil, ID social) y metadatos de usuario específicos de la aplicación. Solo deben almacenarse los atributos necesarios para la autenticación.

Base legal del RGPD para Auth0

La ejecución del contrato (art. 6.1.b del RGPD) es la base legal adecuada para la función de autenticación principal: los usuarios no pueden acceder a su cuenta sin ella. No se requiere consentimiento adicional para la autenticación esencial. Para funciones opcionales como analíticas o evaluación del comportamiento en los registros de inicio de sesión pueden aplicarse otras bases legales.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Región UE y transferencia de datos

Auth0 ofrece una región de inquilino en la UE (Frankfurt, AWS eu-central-1). Al seleccionar esta región, todos los datos de usuario y los procesos de autenticación permanecen dentro de la UE, eliminando la necesidad de CCT para los flujos de datos principales. Sin la región UE, los datos se transfieren por defecto a EE.UU. Okta está certificada bajo el Marco de Privacidad de Datos UE-EE.UU. (DPF). La firma del Acuerdo de Procesamiento de Datos (DPA) de Okta es obligatoria.

Pasos prácticos para cumplir el RGPD

Seleccionar la región UE al crear el inquilino de Auth0. Firmar el DPA de Okta (disponible en la documentación legal de Okta). Limitar los atributos de usuario almacenados al mínimo necesario. Tramitar las solicitudes de supresión mediante la API de gestión de Auth0 (DELETE /api/v2/users/{id}). Configurar el streaming de registros para una retención más prolongada si se requiere para auditorías. Actualizar la política de privacidad incluyendo Auth0, las categorías de datos tratados y los proveedores de social login.

GDPR consent category

Esencial

Websites using Auth0 must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b)) for authentication and identity management as a core part of the service relationship. Auth0 processes the minimum personal data necessary to authenticate users (email, password hash, session token). No consent required for core authentication.

Risk levelmedium

Applicable regulationsGDPR, SCCs for US deployments. Auth0 EU region eliminates SCCs for EU-deployed tenants.

DPIA considerations

Se recomienda una EIPD para el tratamiento de categorías especiales de datos o para la autenticación a gran escala. Riesgos: registro de direcciones IP y datos del dispositivo, flujos de datos de social login, transferencia a EE.UU. sin región UE. Se requiere DPA de Okta y, en su caso, CCT.

Sample consent text

La autenticación en esta plataforma se realiza a través de Auth0 (Okta). Sus credenciales y datos de sesión se procesan para prestar el servicio. Este tratamiento es necesario para la ejecución del contrato y no requiere consentimiento adicional.

Technical details

Tracking methodIdentity and authentication platform, login flows, JWT tokens, session management, MFA, social login, machine-to-machine tokens

Server locationUnited States with EU deployment region option (Frankfurt)

Data transferred outside the EUAuth0 (acquired by Okta) is a US-based identity platform. An EU deployment region (Frankfurt) is available for customers who require EU data residency. Standard deployments process authentication data on US infrastructure requiring SCCs. Auth0/Okta provides a GDPR-compliant DPA.

Third-party domains contacted

auth0.comcdn.auth0.comeu.auth0.com

Cookies placed

Name	Type	Duration	Purpose
auth0	persistent	7 days	Auth0 session cookie maintaining the authenticated user session across page loads

Auth0 es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué base legal aplica a la autenticación con Auth0?

Ejecución del contrato (art. 6.1.b del RGPD). La autenticación es necesaria para prestar el servicio: los usuarios no pueden acceder a su cuenta sin ella. No se requiere consentimiento adicional para la autenticación esencial.

¿Auth0 ofrece una región de despliegue en la UE?

Sí. Auth0 proporciona una región de inquilino en la UE (Frankfurt, AWS eu-central-1). Se selecciona al crear el inquilino de Auth0. Con esta configuración, todos los datos de usuario y los procesos de autenticación permanecen dentro de la UE, eliminando la necesidad de CCT para los flujos de datos principales.

¿Qué datos personales almacena Auth0?

Auth0 almacena: dirección de correo o número de teléfono (para inicio de sesión sin contraseña), hash de contraseña, marcas de tiempo de inicio de sesión, direcciones IP, agente de usuario, datos del perfil social (en caso de social login) y metadatos de usuario específicos de la aplicación. Los atributos almacenados deben limitarse a lo necesario para la autenticación.

¿Cómo gestiono las solicitudes de supresión del RGPD para usuarios de Auth0?

Utilice el endpoint DELETE /api/v2/users/{id} de la API de gestión de Auth0 para eliminar un usuario. Esto borra el perfil, las credenciales y los metadatos. Para una supresión completa, elimine también los registros asociados mediante la API de registros de Auth0. Responda a las solicitudes en un plazo de 30 días.

¿El social login de Auth0 (Google, Facebook) genera complicaciones con el RGPD?

Sí. El social login transfiere datos del proveedor social a Auth0: nombre, correo, foto de perfil, ID social. Esto constituye una transferencia de datos personales del proveedor social. Los proveedores de social login deben divulgarse en la política de privacidad. Las propias condiciones del proveedor rigen su tratamiento de datos.

¿Necesito un DPA con Auth0 u Okta?

Sí. Firme el Acuerdo de Procesamiento de Datos (DPA) de Okta, que cubre Auth0 como producto de Okta. Está disponible en la documentación legal de Okta. Para inquilinos en la región UE, verifique que el DPA cubra su configuración de despliegue específica.

¿Cuánto tiempo conserva Auth0 los registros de inicio de sesión?

Auth0 conserva los registros durante 2 días (Free), 7 días (Developer Pro) o 30 días (Enterprise) por defecto. Configure el streaming de registros para exportarlos a su propio almacenamiento si necesita una retención más prolongada con fines de auditoría. Elimine los registros cuando ya no sean necesarios para seguridad o cumplimiento.

¿Auth0 cumple el RGPD?

Sí. Auth0 u Okta cumple el RGPD con un DPA, opción de región UE, APIs para los derechos de los interesados y certificaciones SOC2 e ISO 27001. Los inquilinos en la región UE eliminan las preocupaciones por transferencias a EE.UU. Okta también está certificada bajo el Marco de Privacidad de Datos UE-EE.UU. (DPF).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note