¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
hCaptcha es un servicio captcha respetuoso con la privacidad que detecta bots sin elaborar perfiles de usuario tan amplios como reCAPTCHA.
hCaptcha es un servicio captcha del proveedor estadounidense Intuition Machines, Inc. que detecta bots y abusos automatizados en sitios web. hCaptcha se posiciona como alternativa respetuosa con la privacidad frente a Google reCAPTCHA y se utiliza ampliamente en aplicaciones web europeas para proteger procesos de inicio de sesión, registro y formularios de contacto. Cloudflare lo utilizó como motor predeterminado antes de Turnstile en sus páginas de challenge.
hCaptcha instala habitualmente la cookie hcaptcha y, en su versión Enterprise, hmt_id. Recopila la dirección IP, el user agent, el idioma del navegador, los plugins instalados, el tamaño de pantalla, los movimientos del ratón, las pulsaciones del teclado y los eventos táctiles. Estas señales se envían a servidores en Estados Unidos y se evalúan con modelos de riesgo. A diferencia de reCAPTCHA, hCaptcha evita el seguimiento entre sitios y ofrece un mecanismo compatible con Privacy Pass.
Como hCaptcha instala cookies y lee información del dispositivo del usuario, su uso entra en el ámbito del artículo 22.2 de la LSSI y exige el consentimiento previo. Puede aplicarse la excepción de cookies estrictamente necesarias en el inicio de sesión o en formularios sensibles para la seguridad, siempre que hCaptcha solo se cargue en esas ubicaciones y no con fines de tracking. La AEPD interpreta esta excepción de forma restrictiva, por lo que conviene cargar hCaptcha tras la aceptación del banner si está presente en todas las páginas.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Intuition Machines, Inc. es una empresa estadounidense con sede en Delaware. Cuando el usuario interactúa con el widget de hCaptcha se produce una transferencia internacional de datos. El proveedor está adherido al EU US Data Privacy Framework y ofrece cláusulas contractuales tipo en su DPA. El responsable del tratamiento debe documentar una evaluación de impacto de la transferencia y, cuando sea posible, utilizar los endpoints europeos de hCaptcha.
Cargue el script de hCaptcha solo después de que el usuario acepte si está presente en todas las páginas. Si solo se utiliza en el login o en formularios concretos, puede invocarse el interés legítimo, debidamente documentado. Firme un Data Processing Addendum con Intuition Machines, complete la política de privacidad con las categorías de datos y las garantías para las transferencias internacionales y considere la versión Enterprise, que recopila menos señales del usuario.
Websites using hCaptcha must obtain user consent under GDPR regulations.
DPIA considerations
hCaptcha procesa la dirección IP, señales de huella digital del navegador y movimientos del ratón para detectar bots. La EIPD no suele ser necesaria si solo se utiliza en el login o en formularios. Tenga en cuenta la transferencia a Estados Unidos y valore usar la edición Enterprise con menos recopilación de datos.
Sample consent text
Este sitio utiliza hCaptcha de Intuition Machines, Inc. (Estados Unidos) para prevenir spam y abusos. Su dirección IP y datos técnicos del navegador se envían a hCaptcha. Más información en nuestra política de privacidad. Si no acepta, pulse Rechazar.
Third-party domains contacted
hcaptcha.comnewassets.hcaptcha.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| hmt_id | session | Session | hCaptcha session identifier maintaining challenge state during bot verification — minimal data footprint |
hCaptcha es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
hCaptcha instala la cookie hcaptcha y, en la versión Enterprise, hmt_id y otros tokens de corta duración. Guardan el estado de la detección de bots y protegen frente a ataques automatizados. Su vigencia varía desde la sesión hasta 24 horas.
Conforme al artículo 22.2 de la LSSI suele requerirse consentimiento porque hCaptcha instala cookies y lee información del dispositivo. En usos estrictamente de seguridad (login, registro) puede invocarse la excepción de cookies técnicas, pero la AEPD interpreta esa excepción de forma restrictiva.
En el modo basado en consentimiento aplica el artículo 6.1.a del RGPD. Si hCaptcha solo protege funciones críticas, puede invocarse el interés legítimo del artículo 6.1.f, siempre que exista una ponderación de intereses documentada.
Sí. Intuition Machines, Inc. procesa los datos en Estados Unidos. La empresa está adherida al EU US Data Privacy Framework y ofrece cláusulas contractuales tipo. Debe documentarse una evaluación de impacto de la transferencia.
En general no se requiere EIPD porque hCaptcha no permite la elaboración sistemática de perfiles. Si se utiliza en contextos con personas especialmente vulnerables (menores, pacientes), conviene evaluar los riesgos conforme al artículo 35 del RGPD.
No lo cargue globalmente, solo donde sea necesario. Utilice un banner de consentimiento, documente la base jurídica elegida, firme un DPA y enlace la política de privacidad de hCaptcha en su propio documento.
Alternativas: Cloudflare Turnstile (privacy first, posible hosting europeo), Friendly Captcha (proveedor alemán), MTCaptcha o soluciones autoalojadas como Altcha. Friendly Captcha destaca por su perfil RGPD, ya que funciona sin cookies.
Mencione hCaptcha por su nombre, describa las categorías de datos tratados (IP, datos del navegador, movimientos del ratón), la finalidad (protección frente a bots), el proveedor (Intuition Machines, Inc., EE. UU.), la base jurídica y las garantías de la transferencia internacional.