¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Cloudflare Turnstile es un servicio gratuito de detección de bots sin CAPTCHA de Cloudflare que verifica que los usuarios son humanos mediante desafíos invisibles de prueba de trabajo, señales del navegador y análisis de comportamiento, sin presentar puzles CAPTCHA visibles. Está diseñado para preservar la privacidad: sin cookies de seguimiento persistentes, sin intercambio de datos publicitarios y tratamiento mínimo de datos personales. El interés legítimo respalda su uso para seguridad sin requerir consentimiento, lo que lo convierte en una de las alternativas a CAPTCHA más compatibles con el RGPD.
Cloudflare Turnstile es el sustituto gratuito del CAPTCHA lanzado por Cloudflare en 2022. En lugar de pedir a los usuarios que identifiquen semáforos, Turnstile ejecuta una serie de desafíos JavaScript no interactivos (Private Access Tokens, pruebas de integridad del navegador, señales comportamentales) y devuelve un token que el backend del editor verifica en challenges.cloudflare.com/turnstile/v0/siteverify. El producto se posiciona como la alternativa privacy first a Google reCAPTCHA: no deposita cookies publicitarias de Google ni de Cloudflare, el widget JavaScript es ligero y la verificación es local al navegador siempre que es posible.
En su modo invisible por defecto, Turnstile no escribe ninguna cookie en el dominio del editor. El script del widget (challenges.cloudflare.com/turnstile/v0/api.js) solo almacena un nonce transitorio en sessionStorage para detectar repeticiones durante la misma sesión. Cuando el visitante debe superar un desafío gestionado o interactivo, Cloudflare puede depositar cf_chl_persist en .cloudflare.com (tercero, 1 hora) y cf_chl_rc_n en el dominio del editor (origen, 1 hora) para recordar la superación. Estas cookies son estrictamente necesarias para el servicio de seguridad.
Turnstile se ampara en el interés legítimo del editor en proteger sus formularios, inicios de sesión y APIs frente a bots, scraping y credential stuffing (art. 6.1.f RGPD). La recomendación CNIL sobre cookies y las directrices EDPB 2/2023 sobre art. 5(3) ePrivacy reconocen una exención de consentimiento para cookies y almacenamientos estrictamente necesarios para un servicio de seguridad solicitado explícitamente por el usuario. Turnstile encaja en esa exención mientras el editor no reutilice las señales para marketing o analítica. El principio de minimización (art. 5.1.c RGPD) se respeta porque no se crea ningún identificador persistente del visitante.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare Inc. está establecida en Estados Unidos y adhiere al Data Privacy Framework UE Estados Unidos desde el 1 de agosto de 2023. Las señales del desafío se procesan en la red anycast global, que incluye Estados Unidos, incluso cuando el visitante se conecta a un punto de presencia europeo. Los clientes Cloudflare Enterprise o Business con Regional Services pueden fijar el plano de datos en la región europea para mantener las señales en bruto dentro de la UE. El contrato de encargo de Cloudflare incorpora las CCT (módulo 2) y se firma automáticamente al aceptar las condiciones de Cloudflare.
Limite Turnstile a fines genuinos de protección anti bot; no vierta el score en herramientas de marketing. Documente Cloudflare como encargado en el registro de actividades de tratamiento (art. 30 RGPD) y en la política de privacidad. Active Regional Services UE solo cuando se requiera residencia estricta. Revise el modo de acción configurado (managed, no interactivo, invisible) para mantener la fricción proporcionada. Combine Turnstile con rate limiting y reglas WAF para reducir el número de desafíos. Revise el contrato de encargo anualmente y compruebe la certificación DPF activa en dataprivacyframework.gov.
Alternativas privacy first son Friendly Captcha (alemana, diseñada para RGPD), hCaptcha (con Privacy Pass), Altcha (open source basado en prueba de trabajo) y MTCaptcha. Google reCAPTCHA sigue siendo el más extendido, pero deposita cookies comportamentales en doubleclick.net y es incompatible con la exención de seguridad en la mayoría de los casos.
Websites using Cloudflare Turnstile must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD no suele ser necesaria para Turnstile: es una medida de seguridad que solo trata señales del navegador. Documente la base jurídica y el flujo hacia Cloudflare.
Sample consent text
Utilizamos Cloudflare Turnstile, un sustituto privacy first del CAPTCHA, para detectar bots y proteger nuestros formularios. Turnstile ejecuta un desafío JavaScript no interactivo en su navegador; no se deposita ninguna cookie publicitaria ni se construye un perfil comportamental. Señales como su IP, user agent y tiempos del desafío se procesan en la red global de Cloudflare, incluido Estados Unidos, al amparo del Data Privacy Framework y de las Cláusulas Contractuales Tipo. Como Turnstile es estrictamente necesario para proteger este sitio frente al fraude, se ejecuta sin su consentimiento al amparo de la exención de seguridad reconocida por la CNIL y el EDPB.
Third-party domains contacted
challenges.cloudflare.comchallenges.cloudflare.comcloudflare.comcloudflare.comstatic.cloudflareinsights.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | persistent | 30 minutes | Cloudflare Turnstile clearance cookie confirming successful human verification — no advertising or tracking purpose |
| cf_clearance | First party (Cloudflare, optional) | 30 minutes | Set only when the protected resource also uses Cloudflare Bot Management. Confirms the visitor has passed the bot challenge for the current session. |
| __cf_chl_* | First party (Cloudflare) | Few seconds | Short lived challenge cookie used to coordinate the Turnstile challenge in the browser. Removed immediately after the challenge completes. |
Cloudflare Turnstile es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Generalmente no. Turnstile procesa datos técnicos mínimos con fines de seguridad sin cookies de seguimiento persistentes ni intercambio de datos publicitarios. El interés legítimo (Art. 6(1)(f) RGPD) es una base jurídica adecuada para el uso de soluciones de protección contra bots.
Sí. Turnstile no presenta puzles visibles como selecciones de imágenes o decodificación de texto. Analiza las señales del navegador, la ejecución de JavaScript y la atestación del dispositivo en segundo plano. La mayoría de los usuarios son verificados sin siquiera saber que Turnstile está presente.
Turnstile recopila datos técnicos mínimos: tipo y configuración del navegador, cabeceras HTTP, dirección IP (brevemente para el cálculo de riesgos), zona horaria del dispositivo y señales básicas de interacción. No se establecen identificadores persistentes ni cookies de seguimiento.
Cloudflare es una empresa estadounidense, pero opera puntos de presencia en la UE. Para muchos usuarios europeos, la verificación se procesa en centros de datos de la UE. Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y proporciona SCC en su DPA.
Sí. Cloudflare Turnstile ofrece un nivel gratuito para hasta un millón de solicitudes al mes. Para volúmenes mayores están disponibles planes de pago. No hay costes ocultos para la funcionalidad básica.
Cree una cuenta gratuita en Cloudflare y registre su dominio para Turnstile. Añada el script de Turnstile al encabezado de su HTML. Coloque el widget en su formulario. Valide el token de Turnstile en el servidor a través de la API de Cloudflare. Acepte el DPA de Cloudflare en la configuración de su cuenta.
Ambos son alternativas más compatibles con el RGPD que Google reCAPTCHA. Turnstile es completamente invisible y gratuito, sin intercambio de datos publicitarios. hCaptcha puede mostrar puzles visibles, pero ofrece opciones de monetización para los operadores de sitios web. Para máxima conformidad con la privacidad sin fricción para el usuario, Turnstile suele ser la mejor opción.
Mencione Turnstile en la sección de medidas de seguridad de su política de privacidad: describa el propósito (protección contra solicitudes de bots), los datos procesados (datos técnicos mínimos), la base jurídica (interés legítimo) y el proveedor del servicio (Cloudflare Inc., EE. UU., certificado bajo el Marco de Privacidad de Datos UE-EE. UU.).
Ninguna por defecto. Turnstile es sin cookies y solo usa señales del navegador de corta duración. Puede aparecer una cookie cf_clearance si el recurso protegido también usa Cloudflare Bot Management, pero Turnstile no la necesita.
No. Turnstile es tecnología de seguridad necesaria para el servicio solicitado (considerando 30 ePrivacy, considerando 49 RGPD). Puede cargarse antes del consentimiento, como cualquier CAPTCHA antiabuso. La CNIL y la AEPD comparten esta interpretación.
Interés legítimo (art. 6.1.f del RGPD) para proteger el servicio frente al abuso automatizado, el fraude, el credential stuffing, el scraping y el spam. Es concreto y proporcionado.
Cloudflare, Inc. está establecida en Estados Unidos. La mayoría de los retos se evalúan en el nodo Edge más cercano, a menudo en Europa. Las transferencias a EE.UU. están cubiertas por el EU US Data Privacy Framework y las SCCs del DPA de Cloudflare.
En general no. Turnstile es una medida de seguridad que solo trata señales del navegador de corta duración. Documente la base jurídica en el registro de actividades de tratamiento.
Úselo en formularios/acciones con riesgo real de abuso. Documéntelo como medida de seguridad. Firme el DPA con Cloudflare. Verifique en servidor. Use renderizado explícito o managed para mantener la transparencia.
Alternativas con foco en privacidad: Friendly Captcha (Alemania), Anubis (código abierto), MTCaptcha (España), Hcaptcha (Suiza), Procaptcha (Reino Unido), Capy Puzzle Captcha (Japón), Geetest (China). Para Bot Management completo: Datadome (Francia), Reblaze.
No es obligatorio listar cookies porque Turnstile es sin cookies. Mencione Cloudflare Turnstile en la sección de seguridad del aviso de privacidad: finalidad (antibot), base jurídica (interés legítimo seguridad), encargado (Cloudflare), transferencia (EU US Data Privacy Framework + SCCs).