¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

DataDome

¿Qué hace DataDome?

DataDome es una plataforma francesa de protección contra bots en el edge. Detecta y bloquea bots maliciosos, credential stuffing, scraping y fraude mediante un challenge JavaScript y una cookie de primera parte estrictamente necesaria. Se basa en interés legítimo, sin consentimiento para el uso central de seguridad.

Qué hace DataDome

DataDome es una plataforma de detección de bots y protección contra fraude online en tiempo real. El producto se despliega como módulo CDN o servidor web (Cloudflare Workers, Fastly Compute@Edge, AWS Lambda@Edge, Akamai EdgeWorkers, Nginx, Apache, conectores cloud nativos) y como tag JavaScript en cliente. Cada solicitud se puntúa en 2 milisegundos a partir de más de 5 billones de señales al día; los bots se desafían, permiten, bloquean o envían a un CAPTCHA. La plataforma también ofrece Account Protection (autenticación continua), API Protection y Online Fraud detection.

Cookies y huella

DataDome escribe una única cookie de primera parte llamada datadome (1 año, HTTPOnly, Secure) en el dominio del editor. La cookie almacena un token de sesión cifrado que el edge de DataDome usa para reconocer al visitante entre solicitudes. El tag JavaScript recoge una huella del dispositivo (canvas, user agent, pantalla, audio context, WebGL) y la envía a los servidores de detección DataDome para la decisión sobre bots. La huella y la IP se conservan solo el tiempo necesario para la decisión de seguridad y la analítica de threat intelligence.

Interés legítimo y exención ePrivacy

La cookie datadome y la huella entran en la exención de estricta necesidad del art. 5(3) ePrivacy según las directrices CNIL (2020) y las del CEPD 2/2023. El tratamiento se basa en el interés legítimo del art. 6(1)(f) RGPD: proteger el sitio contra bots, credential stuffing, scraping y fraude es un objetivo legítimo del editor y el visitante puede esperar razonablemente esa medida. Solo se requiere consentimiento cuando DataDome se utiliza más allá de la pura seguridad, por ejemplo alimentar un dashboard analítico o de fraude publicitario.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Residencia UE y transferencias a EE UU

DataDome ofrece despliegue solo UE en el que el cluster de detección, los logs y la agregación de threat intelligence permanecen en la UE (París, Frankfurt, Irlanda). Los equipos de customer success y threat research en Nueva York y Singapur pueden acceder a firmas de bots anonimizadas. Las SCC 2021 cubren transferencias incidentales y DataDome figura en el EU US Data Privacy Framework. Como empresa francesa, DataDome está directamente bajo el RGPD con la CNIL como autoridad principal.

Cómo desplegar DataDome de forma conforme

Firmar el DPA de DataDome, solicitar el despliegue solo UE, listar la cookie datadome en la política bajo la categoría estrictamente necesaria, documentar la ponderación de interés legítimo, personalizar la página challenge de DataDome con tu marca para transparencia, configurar la conservación de logs al mínimo y documentar el tratamiento de detección de bots en el registro del art. 30 RGPD.

GDPR consent category

Esencial

Websites using DataDome must obtain user consent under GDPR regulations.

Legal basisLegitimate interest of the publisher in protecting the site against bots, credential stuffing, scraping and fraud (GDPR art. 6(1)(f)). The DataDome cookie (datadome) and the JavaScript fingerprint qualify as strictly necessary security measures and are exempt under ePrivacy art. 5(3) per the CNIL guidance on cookies (2020) and the EDPB guidelines 2/2023. Consent is required only if DataDome is used for non security purposes such as audience analytics or ad fraud reporting beyond the strict bot detection use case.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, CNIL guidance on security cookies (2020), EDPB guidelines 2/2023, French Loi Informatique et Libertés, NIS 2 Directive, EU US Data Privacy Framework, German TTDSG

DPIA considerations

En general no se requiere EIPD para el caso estándar de detección de bots porque el flujo de datos es limitado y la cookie es estrictamente necesaria. Sí se recomienda al utilizar DataDome con el módulo Account Protection que realiza autenticación continua, con el módulo Online Fraud o cuando las firmas de bots alimentan un SIEM externo. La EIPD debe cubrir el alcance del fingerprint del dispositivo, la conservación de logs, el compromiso de despliegue solo UE y cualquier exportación de puntuaciones de bots a sistemas publicitarios.

Sample consent text

Nuestro sitio está protegido por DataDome, un servicio francés de detección de bots. DataDome coloca una cookie estrictamente necesaria (datadome) en su dispositivo para reconocer visitantes legítimos y desafiar tráfico sospechoso. Esta cookie está exenta de consentimiento según las directrices CNIL sobre cookies de seguridad. Sus datos se tratan en la Unión Europea sobre la base de interés legítimo (art. 6(1)(f) RGPD). DataDome no utiliza estos datos con fines publicitarios o de elaboración de perfiles.

Technical details

Tracking methodedge_bot_detection_with_javascript_challenge_device_fingerprint_and_strictly_necessary_cookie

Server locationDataDome is operated by DataDome SAS, a French company headquartered in Paris with offices in New York and Singapore. The DataDome detection servers run on a multi cloud infrastructure with primary regions in the European Union (eu-west-3 Paris, eu-central-1 Frankfurt, eu-west-1 Ireland) and additional regions in the United States and Asia for low latency global coverage. EU customers can request EU only processing where requests for European traffic stay inside the EU.

Data transferred outside the EUDataDome SAS is a French company under GDPR jurisdiction. Although EU traffic stays on the EU detection clusters, DataDome support and customer success teams operate from Paris, New York and Singapore. The DataDome Threat Research team analyses anonymised bot signatures globally. DataDome offers an EU only deployment contractually. Limited transfers to the United States and Singapore may occur for support and threat intelligence under the 2021 Standard Contractual Clauses and the EU US Data Privacy Framework.

Third-party domains contacted

datadome.coapi.datadome.cojs.datadome.cocaptcha-delivery.comct.captcha-delivery.comgeo.captcha-delivery.com

Cookies placed

Name	Type	Duration	Purpose
datadome	First party (DataDome bot protection)	1 year	Strictly necessary security cookie containing an encrypted session token used by DataDome to recognise legitimate visitors across requests and to bypass the bot challenge for previously validated sessions

DataDome es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies establece DataDome?

Una única cookie de primera parte llamada datadome (1 año, HTTPOnly, Secure) en el dominio del editor. La cookie almacena un token de sesión cifrado que DataDome usa para reconocer al visitante entre solicitudes. Ninguna cookie de marketing, ningún identificador de terceros.

¿Es necesario el consentimiento para DataDome?

No. La cookie datadome y la huella entran en la exención de estricta necesidad del art. 5(3) ePrivacy según las directrices CNIL sobre cookies de seguridad (2020) y las del CEPD 2/2023. El tratamiento se basa en el interés legítimo del art. 6(1)(f) RGPD. Solo se requiere consentimiento cuando DataDome se utiliza más allá de la pura seguridad.

¿Cuál es la base legal de DataDome?

Interés legítimo del art. 6(1)(f) RGPD, porque proteger el sitio contra bots, credential stuffing, scraping y fraude es un objetivo legítimo del editor con expectativa razonable del visitante. El art. 28 RGPD rige la relación de encargado entre el editor y DataDome SAS.

¿Se transfieren datos fuera de la UE?

Por defecto no con el despliegue solo UE. Los clusters de detección DataDome en París, Frankfurt e Irlanda tratan el tráfico. Los equipos customer success y threat research en Nueva York y Singapur pueden acceder a firmas de bots anonimizadas. SCC 2021 y EU US Data Privacy Framework cubren transferencias incidentales.

¿Necesito una EIPD para DataDome?

Generalmente no para la detección estándar de bots. Recomendada para Account Protection (autenticación continua), Online Fraud detection o cuando las puntuaciones de bots alimentan un SIEM externo o un sistema publicitario. La EIPD debe describir el alcance del fingerprint del dispositivo y la conservación de logs.

¿Cómo despliego DataDome de forma conforme?

Firmar el DPA, solicitar el despliegue solo UE, listar la cookie datadome en la política bajo estrictamente necesaria, documentar la ponderación de interés legítimo, personalizar la página challenge DataDome con tu marca, establecer la conservación mínima de logs y documentar el tratamiento en el registro.

¿Cuáles son las alternativas a DataDome?

Cloudflare Bot Management, Akamai Bot Manager Premier, Imperva Advanced Bot Protection, Human Security (antes White Ops), PerimeterX (ahora Human), Kasada, Castle y Arkose Labs. Para autoalojamiento: CrowdSec (Francia, código abierto), Fail2Ban, ModSecurity. DataDome y CrowdSec son los actores más centrados en UE.

¿Cómo actualizo mi política de cookies tras añadir DataDome?

Añadir una sección estrictamente necesaria que describa la cookie datadome (1 año, seguridad), indicar la base legal (interés legítimo), mencionar a DataDome SAS en París como encargado, enlazar a la política de privacidad de DataDome y explicar por qué esta cookie no puede rechazarse sin romper el servicio de seguridad.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note