¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Yandex SmartCaptcha es un servicio anti bots de la marca Yandex Cloud operado por Yandex LLC, con sede en Moscú y centros de datos en la Federación de Rusia. Distingue a humanos de bots mediante análisis conductual invisible, huella digital del navegador y, cuando es necesario, retos interactivos. Rusia carece de decisión de adecuación al RGPD: incrustar SmartCaptcha en un sitio europeo activa las obligaciones del capítulo V, exige consentimiento informado y las autoridades europeas suelen desaconsejarlo en favor de alternativas con sede en la UE.
Yandex SmartCaptcha es un servicio anti bots ofrecido por Yandex LLC, empresa rusa con sede en Moscú, dentro de la familia Yandex Cloud. Protege formularios, páginas de inicio de sesión y APIs frente al abuso automatizado combinando una puntuación conductual invisible con retos interactivos adaptativos (rejillas de imágenes, deslizadores) que solo se muestran a las sesiones sospechosas. El servicio se rige por los términos de Yandex Cloud sujetos al derecho ruso y está muy extendido en la Federación de Rusia. Su presencia en un sitio europeo debe justificarse cuidadosamente.
SmartCaptcha recopila la dirección IP, User Agent, información de pantalla y zona horaria, patrones de ratón y teclado, eventos táctiles, señales de huella digital (canvas, WebGL, contexto de audio, fuentes instaladas) y la URL de referencia. Instala cookies de corta duración en smartcaptcha.yandexcloud.net y captcha.yandex.ru y almacena tokens en local storage para recordar las sesiones validadas. El reto se entrega mediante un iframe aislado cargado desde servidores de Yandex. Cada evaluación se envía a la infraestructura de Yandex en Rusia y produce un veredicto binario y una puntuación de confianza.
Las señales conductuales y las cookies entran de lleno en el art. 5(3) de la Directiva ePrivacy y activan la obligación de consentimiento traspuesta en el art. 22.2 LSSI en España. Algunos responsables alegan que la protección anti bots es estrictamente necesaria, pero el CEPD y la AEPD solo aceptan esta calificación para captchas de primera parte sin elaboración de perfiles. Yandex recoge datos de huella digital y opera fuera de la UE, por lo que la exención no resulta aplicable.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base legal recomendada es el consentimiento explícito del art. 6(1)(a) RGPD junto con el art. 5(3) ePrivacy. El script del reto debe bloquearse hasta que el visitante acepte la categoría de seguridad o protección anti bots en el banner de consentimiento, y debe ofrecerse un flujo alternativo (enlace por correo, pregunta sencilla, captcha europeo) a quien lo rechace. El interés legítimo del art. 6(1)(f) es frágil porque la prueba de necesidad fracasa cuando hCaptcha, Cloudflare Turnstile o Friendly Captcha ofrecen una protección equivalente sin transferencias internacionales.
Rusia no está cubierta por ninguna decisión de adecuación de la Comisión Europea. Las transferencias requieren por tanto un instrumento del art. 46 RGPD, en la práctica las Cláusulas Contractuales Tipo. Tras Schrems II (TJUE C 311/18) es obligatoria una evaluación de impacto del transferimiento que considere la Ley Federal 374 FZ (Ley Yarovaya), el régimen de interceptación SORM y los amplios poderes del FSB. La seudonimización y el cifrado de extremo a extremo son difíciles de aplicar en un servicio captcha que necesita señales en bruto. El régimen de sanciones de la UE (Reglamento 833/2014) puede además restringir la relación con proveedores rusos.
Realice una EIPD completa, evalúe alternativas europeas (hCaptcha en Irlanda, Cloudflare Turnstile con CCT y EU US Data Privacy Framework, Friendly Captcha en Alemania) y verifique la exposición a sanciones. Si SmartCaptcha resulta imprescindible, firme el adenda de CCT de Yandex Cloud, documente la evaluación de impacto del transferimiento, limite el reto a los puntos de mayor riesgo, bloquee el script tras un banner de consentimiento granular y actualice la política de privacidad y el registro de actividades. Vigile las decisiones de la AEPD, el CEPD y otras autoridades sobre encargados rusos y prepare un plan de migración.
Websites using Yandex SmartCaptcha must obtain user consent under GDPR regulations.
DPIA considerations
Una evaluación de impacto del art. 35 RGPD es altamente recomendable porque Yandex SmartCaptcha combina (i) vigilancia sistemática de los visitantes mediante señales conductuales y de huella digital, (ii) decisiones automatizadas que pueden bloquear a usuarios legítimos y (iii) transferencias a un país tercero sin decisión de adecuación. La EIPD debe documentar la prueba de necesidad frente a alternativas europeas (hCaptcha, Cloudflare Turnstile, Friendly Captcha), la evaluación de impacto del transferimiento a Rusia, las garantías (CCT, cifrado en tránsito, restricciones contractuales sobre solicitudes gubernamentales) y el riesgo residual.
Sample consent text
Este sitio utiliza Yandex SmartCaptcha para detectar bots en formularios y páginas de inicio de sesión. SmartCaptcha instala cookies e identificadores en su dispositivo y transmite señales del navegador y su dirección IP a servidores de Yandex LLC ubicados en la Federación de Rusia. Rusia no está cubierta por ninguna decisión de adecuación al RGPD y la transferencia se realiza bajo Cláusulas Contractuales Tipo con medidas adicionales. Pulse Aceptar para activar la protección o Rechazar para usar un flujo de verificación alternativo.
Third-party domains contacted
smartcaptcha.yandexcloud.netcaptcha.yandex.ruyandex.ruyandex.commc.yandex.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| yandexuid | Persistent | 1 year | Long lived Yandex visitor identifier used by SmartCaptcha to recognise the browser across challenges and to feed Yandex anti fraud signals. |
| yp | Persistent | 10 years | Yandex preferences cookie storing language, region and security settings used by SmartCaptcha and other Yandex products. |
| i | Persistent | 1 year | Yandex identifier cookie linked to the visitor profile, used to detect bot patterns and repeat offenders across sessions. |
| smartcaptcha_token | Local Storage | Session | Validation token stored after a successful challenge so the visitor is not prompted again within the same session. |
| yandex_login | Session | Session | Optional session cookie set when the visitor is logged in to a Yandex account, used to lower the friction of the challenge. |
Yandex SmartCaptcha es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
SmartCaptcha recopila la dirección IP del visitante, User Agent, información de pantalla y zona horaria, patrones de ratón y teclado, eventos táctiles, señales de huella digital (canvas, WebGL, contexto de audio, fuentes instaladas) y la URL de referencia. Instala cookies y guarda tokens en smartcaptcha.yandexcloud.net y captcha.yandex.ru para recordar sesiones validadas. Todas las señales se envían a servidores de Yandex en la Federación de Rusia para su evaluación. El resultado es una puntuación de confianza y un veredicto binario que el sitio utiliza para permitir o bloquear el envío del formulario.
Sí. Como SmartCaptcha almacena tokens y cookies en el terminal y recoge señales de huella digital, queda dentro del art. 5(3) de la Directiva ePrivacy y exige consentimiento previo, libre, específico e informado. La AEPD, la CNIL y la DSK alemana no aceptan la exención de estrictamente necesarias para un captcha de un país tercero que realiza perfilado. El script del reto debe bloquearse hasta que el visitante acepte una categoría de seguridad o anti bots, y debe ofrecerse un flujo alternativo a quien lo rechace.
El consentimiento del art. 6(1)(a) RGPD junto con el art. 5(3) ePrivacy es la base más segura. El interés legítimo del art. 6(1)(f) resulta cuestionable porque la prueba de necesidad no se cumple cuando existen alternativas europeas (hCaptcha, Cloudflare Turnstile, Friendly Captcha) con protección equivalente y sin transferencia internacional. Si se recoge consentimiento, debe ser granular, separado de otras finalidades, fácilmente revocable y registrado en la plataforma de gestión del consentimiento con prueba de aceptación.
SmartCaptcha trata los datos en centros Yandex Cloud de Moscú y Vladímir. Rusia no cuenta con decisión de adecuación según el art. 45 RGPD, por lo que las transferencias deben apoyarse en Cláusulas Contractuales Tipo del art. 46 junto con las medidas suplementarias del CEPD tras Schrems II. La evaluación de impacto del transferimiento debe analizar la Ley Federal 374 FZ (Ley Yarovaya), el régimen de interceptación SORM y los poderes del FSB, y explicar cómo las garantías técnicas o contractuales mitigan el riesgo residual.
Una evaluación de impacto relativa a la protección de datos del art. 35 RGPD es muy recomendable. El tratamiento cumple varios criterios de la lista del CEPD: vigilancia sistemática mediante señales conductuales, decisiones automatizadas que pueden bloquear a usuarios legítimos y transferencias a un país tercero sin adecuación. La EIPD debe comparar SmartCaptcha con alternativas europeas, documentar la evaluación de impacto del transferimiento, enumerar las garantías (CCT, cifrado, restricciones contractuales) y cuantificar el riesgo residual.
Bloquee el script de SmartCaptcha hasta que el visitante acepte la categoría de seguridad en el banner de cookies. Limite el reto a puntos sensibles (inicio de sesión, registro, pago) y no a todas las páginas. Firme el contrato de encargado de Yandex Cloud y la adenda de Cláusulas Contractuales Tipo. Documente la evaluación de impacto del transferimiento y actualice la política de privacidad, el registro de actividades y el registro de cookies. Ofrezca un flujo de verificación alternativo accesible para no excluir a quienes rechacen.
Entre las alternativas compatibles con la UE están hCaptcha (Intuition Machines, servidores UE y CCT), Cloudflare Turnstile (EE. UU. bajo EU US Data Privacy Framework y CCT), Friendly Captcha (Alemania, privacidad desde el diseño, sin huella digital), Altcha (código abierto, autoalojable) y Anubis o retos sencillos de prueba de trabajo. Para formularios de bajo riesgo, medidas del lado del servidor como campos honeypot, limitación de tasa y comprobación del tiempo de cumplimentación pueden sustituir por completo a un captcha de terceros.
Incluya Yandex SmartCaptcha por nombre en el registro de cookies bajo la categoría de seguridad o protección anti bots. Indique el responsable (Yandex LLC), las categorías de datos (IP, señales de huella digital, datos conductuales), las cookies y tokens instalados, el plazo de conservación, la base legal (consentimiento), el país de destino (Rusia) y las garantías (CCT y evaluación de impacto). Enlace la documentación de privacidad de Yandex Cloud. Revise la política cuando cambie de proveedor o cuando el CEPD o la AEPD publiquen nuevas guías sobre encargados rusos.