¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Cloudflare Turnstile es un servicio gratuito de detección de bots sin CAPTCHA de Cloudflare que verifica que los usuarios son humanos mediante desafíos invisibles de prueba de trabajo, señales del navegador y análisis de comportamiento, sin presentar puzles CAPTCHA visibles. Está diseñado para preservar la privacidad: sin cookies de seguimiento persistentes, sin intercambio de datos publicitarios y tratamiento mínimo de datos personales. El interés legítimo respalda su uso para seguridad sin requerir consentimiento, lo que lo convierte en una de las alternativas a CAPTCHA más compatibles con el RGPD.
Cloudflare Turnstile es un servicio gratuito de detección de bots sin CAPTCHA lanzado por Cloudflare en 2022 como alternativa respetuosa con la privacidad a Google reCAPTCHA. En lugar de presentar a los usuarios puzles visuales, Turnstile utiliza desafíos JavaScript no intrusivos, análisis de señales del navegador y técnicas de prueba de trabajo para verificar la humanidad de forma invisible. La mayoría de los usuarios superan la verificación de Turnstile sin ninguna interacción visible, lo que mejora la experiencia del usuario.
Turnstile está diseñado desde cero para preservar la privacidad. No establece cookies persistentes con fines de seguimiento. No crea perfiles de usuarios entre sitios web. No comparte señales con plataformas publicitarias. Cloudflare utiliza Tokens de Acceso Privado (PAT) donde se admiten, permitiendo la atestación de dispositivos de Apple y Google sin identificar el dispositivo específico. El resultado es una detección de bots fiable con una exposición mínima de datos personales.
El tratamiento mínimo de datos y la ausencia de intercambio de datos publicitarios hacen del interés legítimo (Art. 6(1)(f) RGPD) una base jurídica sólidamente respaldada para el uso de Turnstile. A diferencia de reCAPTCHA, que genera incertidumbre en el RGPD debido al uso de datos publicitarios de Google, el alcance de Turnstile está claramente limitado a la seguridad. Cloudflare proporciona un DPA conforme al RGPD que cubre Turnstile a través de sus condiciones empresariales estándar. Por lo general no se requiere el consentimiento del usuario para usar Turnstile.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare es una empresa estadounidense, pero opera una red anycast global con numerosos puntos de presencia en la UE. Las solicitudes de verificación se procesan a través del centro de datos de Cloudflare más cercano, lo que para muchos usuarios europeos implica un procesamiento en la UE. Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y proporciona SCC en su DPA, cubriendo las transferencias internacionales de datos.
Regístrese en Cloudflare Turnstile (disponible nivel gratuito). Añada el script y el widget de Turnstile a sus formularios. Acepte el DPA de Cloudflare que cubre Turnstile. Documente la base de interés legítimo para la prevención de bots en su Registro de Actividades de Tratamiento. Informe sobre Turnstile en su política de privacidad: prevención de bots, tratamiento mínimo de datos e infraestructura de Cloudflare. No se necesita una entrada en el banner de consentimiento de cookies para Turnstile en sí.
Websites using Cloudflare Turnstile must obtain user consent under GDPR regulations.
DPIA considerations
Por lo general no se requiere una EIPD para los despliegues estándar de Cloudflare Turnstile. Su enfoque de privacidad por diseño, la ausencia de cookies persistentes y la no compartición de datos publicitarios lo convierten en un servicio de bajo riesgo.
Sample consent text
Este sitio web utiliza Cloudflare Turnstile para proteger los formularios de bots. Turnstile verifica que es usted una persona mediante señales del navegador que preservan la privacidad, sin cookies ni seguimiento. Se procesan datos técnicos mínimos bajo el interés legítimo con fines de seguridad.
Third-party domains contacted
challenges.cloudflare.comcloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | persistent | 30 minutes | Cloudflare Turnstile clearance cookie confirming successful human verification — no advertising or tracking purpose |
Cloudflare Turnstile es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Generalmente no. Turnstile procesa datos técnicos mínimos con fines de seguridad sin cookies de seguimiento persistentes ni intercambio de datos publicitarios. El interés legítimo (Art. 6(1)(f) RGPD) es una base jurídica adecuada para el uso de soluciones de protección contra bots.
Sí. Turnstile no presenta puzles visibles como selecciones de imágenes o decodificación de texto. Analiza las señales del navegador, la ejecución de JavaScript y la atestación del dispositivo en segundo plano. La mayoría de los usuarios son verificados sin siquiera saber que Turnstile está presente.
Turnstile recopila datos técnicos mínimos: tipo y configuración del navegador, cabeceras HTTP, dirección IP (brevemente para el cálculo de riesgos), zona horaria del dispositivo y señales básicas de interacción. No se establecen identificadores persistentes ni cookies de seguimiento.
Cloudflare es una empresa estadounidense, pero opera puntos de presencia en la UE. Para muchos usuarios europeos, la verificación se procesa en centros de datos de la UE. Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y proporciona SCC en su DPA.
Sí. Cloudflare Turnstile ofrece un nivel gratuito para hasta un millón de solicitudes al mes. Para volúmenes mayores están disponibles planes de pago. No hay costes ocultos para la funcionalidad básica.
Cree una cuenta gratuita en Cloudflare y registre su dominio para Turnstile. Añada el script de Turnstile al encabezado de su HTML. Coloque el widget en su formulario. Valide el token de Turnstile en el servidor a través de la API de Cloudflare. Acepte el DPA de Cloudflare en la configuración de su cuenta.
Ambos son alternativas más compatibles con el RGPD que Google reCAPTCHA. Turnstile es completamente invisible y gratuito, sin intercambio de datos publicitarios. hCaptcha puede mostrar puzles visibles, pero ofrece opciones de monetización para los operadores de sitios web. Para máxima conformidad con la privacidad sin fricción para el usuario, Turnstile suele ser la mejor opción.
Mencione Turnstile en la sección de medidas de seguridad de su política de privacidad: describa el propósito (protección contra solicitudes de bots), los datos procesados (datos técnicos mínimos), la base jurídica (interés legítimo) y el proveedor del servicio (Cloudflare Inc., EE. UU., certificado bajo el Marco de Privacidad de Datos UE-EE. UU.).