Os datos dos usuarios dunha web típica en España non viven nun só sitio. Viven no servidor de hosting, pero tamén en Google Analytics, no CRM integrado, no servizo de email marketing, no píxel de Meta, no CDN que serve os arquivos, nos logs do servidor, e no formulario de contacto de terceiros. Cada un deses sistemas ten a súa propia política de privacidade, os seus propios servidores e as súas propias implicacións legais.
— Unha web española típica envía datos de usuarios a entre seis e doce sistemas distintos, a maioría con servidores fóra da Unión Europea.
— Cada sistema con servidores fóra da UE implica unha transferencia internacional de datos que ten requisitos específicos baixo o RGPD.
— Ao final do artigo hai unha checklist de auditoría para identificar todos os sistemas que reciben datos de usuarios da túa web.⚠️ Este artigo é informativo e non constitúe asesoramento xurídico. Para aplicar estas consideracións ao teu caso específico, consulta cun especialista en protección de datos.
A pregunta que poucas empresas se fan sobre as súas propias webs
O RGPD esixe que as empresas saiban que datos persoais tratan, con que finalidade, onde se almacenan e quen ten acceso a eles. É a base do rexistro de actividades de tratamento que toda organización que trata datos persoais debe manter.
Na práctica, moitas empresas teñen unha política de privacidade que menciona as categorías de datos que recollen e os dereitos dos usuarios, pero non teñen un mapa real de todos os sistemas que reciben eses datos. A política de privacidade describe a intención. O mapa de datos describe a realidade. E a miúdo non coinciden.
O mapa real dunha web española típica
Para entender onde van os datos dos usuarios dunha web, hai que seguir o rastro de cada interacción desde o momento en que o usuario chega ata o momento en que se vai. Aquí está o mapa dunha web corporativa con formulario de contacto, Google Analytics e un píxel de Meta — unha configuración moi habitual en empresas medianas españolas.
Punto 1: o servidor de hosting
É o sistema que a maioría de propietarios coñecen. A base de datos do CMS (WordPress, na maioría dos casos), os arquivos subidos, os datos de rexistro de usuarios se os hai, e os formularios de contacto se están xestionados polo propio CMS. Dependendo do provedor de hosting, os servidores poden estar na UE (OVH, Arsys, moitos provedores europeos) ou fóra (algúns plans de Bluehost, HostGator e outros provedores norteamericanos usan servidores en EE.UU.).
Os logs do servidor — rexistros de cada petición HTTP, incluíndo a dirección IP do visitante, a páxina visitada, o navegador e o sistema operativo — tamén se almacenan aquí e conteñen datos persoais baixo o RGPD. A maioría de configuracións de servidor por defecto conservan estes logs durante meses sen que ninguén o decidise explicitamente.
Punto 2: Google Analytics
Cando se instala Google Analytics nunha web, cada visita envía datos aos servidores de Google. Eses datos inclúen a dirección IP do visitante (que Google anonimiza parcialmente, pero que segue sendo un dato persoal na súa orixe), o comportamento de navegación, o dispositivo, a localización aproximada e os eventos configurados.
Google Analytics procesa eses datos en servidores que poden estar en EE.UU., o que implica unha transferencia internacional de datos. Google ten mecanismos de cumprimento do RGPD documentados (Cláusulas Contractuais Tipo), pero eses mecanismos deben estar reflectidos na política de privacidade e no rexistro de actividades de tratamento da empresa. Moitas webs teñen Google Analytics instalado sen ter documentado esa transferencia internacional.
Dende 2023, a Axencia Española de Protección de Datos emitiu resolucións contra empresas que usaban Google Analytics sen ter implementado correctamente os mecanismos de cumprimento do RGPD para transferencias internacionais.
Punto 3: o píxel de Meta (Facebook/Instagram)
O píxel de Meta é un fragmento de código que, cando está instalado nunha web, envía a Meta información sobre o comportamento dos visitantes: que páxinas visitan, que accións realizan, se completan unha compra ou un formulario. Meta usa esa información para optimizar os anuncios da empresa e para o seu propio sistema de publicidade.
Os servidores de Meta están maioritariamente en EE.UU., coas mesmas implicacións de transferencia internacional que Google Analytics. Adicionalmente, o píxel de Meta pode cruzar os datos do visitante co seu perfil de Facebook ou Instagram se o visitante está conectado a esas plataformas, o que engade unha capa de tratamento de datos que vai máis alá da analítica.
Punto 4: o servizo de email marketing
Cando un usuario se subscribe á newsletter ou deixa o seu email nun formulario, ese dato habitualmente envíase automaticamente á plataforma de email marketing integrada: Mailchimp, Brevo (antes Sendinblue), ActiveCampaign, HubSpot. Cada unha destas plataformas ten os seus servidores en localizacións distintas, con implicacións distintas para a transferencia internacional de datos.
Mailchimp, por exemplo, ten os seus servidores principais en EE.UU. e opera baixo as Cláusulas Contractuais Tipo para cumprir co RGPD en transferencias dende a UE. Brevo ten servidores na UE e é unha opción que algúns responsables de protección de datos prefiren precisamente por iso. A elección da plataforma de email marketing ten implicacións de cumprimento do RGPD que raramente se consideran cando se toma a decisión.
Punto 5: o CDN
Un CDN (Content Delivery Network) é un sistema de servidores distribuídos xeograficamente que serve os arquivos estáticos da web (imaxes, CSS, JavaScript) dende o servidor máis próximo ao visitante. Cloudflare, o CDN máis usado do mundo, ten nodos en máis de 300 cidades en todo o mundo.
O CDN rexistra as IPs dos visitantes para optimizar o enrutamento. Dependendo da configuración, pode tamén rexistrar información sobre as peticións para análise de rendemento e seguridade. Son datos persoais baixo o RGPD que viaxan por unha infraestrutura distribuída globalmente.
Punto 6: os formularios de terceiros
Moitas webs usan ferramentas de terceiros para os formularios de contacto, os chats en vivo ou os sistemas de reservas: Typeform, Calendly, Tally, Intercom. Cada unha destas ferramentas recibe os datos que o usuario introduce e almacénaos nos seus propios sistemas, que xeralmente están fóra da UE.
O problema específico dos formularios de terceiros é que os datos do usuario van directamente á plataforma externa — non pasan polo servidor do cliente —, o que fai que o cliente sexa potencialmente menos consciente desa transferencia e das implicacións que ten.
O problema dos servidores fóra da UE
Que os servidores estean fóra da UE non é automaticamente un problema legal, pero si implica requisitos adicionais baixo o RGPD. Dende a invalidación do Privacy Shield en 2020 (sentenza Schrems II do Tribunal de Xustiza da UE), as transferencias de datos persoais a países fóra do Espazo Económico Europeo requiren garantías específicas.
O mecanismo máis habitual son as Cláusulas Contractuais Tipo aprobadas pola Comisión Europea, que a maioría dos grandes provedores tecnolóxicos americanos adoptaron. Pero adoptalas non é suficiente: a empresa que transfire os datos ten que ter realizado unha avaliación do impacto da transferencia e documentar que as garantías son adecuadas.
A solución non é necesariamente cambiar de provedor. É documentar correctamente as transferencias que existen, verificar que os provedores teñen os mecanismos de cumprimento adecuados, e reflectilo na política de privacidade e no rexistro de actividades de tratamento.
Que podes esixir ao teu provedor web
O teu provedor web — a axencia ou o freelancer que xestiona a túa presenza dixital — debería ser capaz de responderche estas preguntas con precisión:
- Onde están os servidores do hosting? Están dentro da UE?
- Que servizos de terceiros están integrados na web e que datos recibe cada un?
- Que datos se rexistran nos logs do servidor e durante canto tempo?
- Como está configurado Google Analytics respecto á anonimización de IPs e as transferencias internacionais?
- Hai formularios ou ferramentas de terceiros que reciben datos de usuarios directamente?
Un provedor que non pode responder a estas preguntas non ten o nivel de criterio necesario para xestionar correctamente a privacidade dos datos dos teus clientes.
Checklist de auditoría para non técnicos
Esta checklist permite identificar os sistemas que reciben datos de usuarios da túa web sen necesidade de coñecementos técnicos:
- Sabes en que país están os servidores do teu provedor de hosting?
- Tes Google Analytics instalado? Está configurado con anonimización de IP e co acordo de procesamento de datos asinado con Google?
- Tes o píxel de Meta instalado? Está documentado na túa política de privacidade e no rexistro de actividades de tratamento?
- Usas unha plataforma de email marketing? Sabes onde están os seus servidores?
- Usas un CDN? Sabes que datos rexistra e durante canto tempo?
- Hai formularios, chats ou ferramentas de reservas de terceiros na túa web? A onde van os datos que recollen?
- A túa política de privacidade menciona todos os servizos de terceiros que reciben datos dos teus usuarios?
- Tes un rexistro de actividades de tratamento que inclúa todas estas transferencias?
Se non podes responder con seguridade a tres ou máis destas preguntas, é o momento de facer unha auditoría dos sistemas que tratan datos na túa web.
FAQ
Usar Google Analytics co modo de consentimento activado resolve todos os problemas?
O modo de consentimento de Google Analytics reduce significativamente o tratamento de datos de usuarios que non deron o seu consentimento, pero non elimina todas as implicacións da transferencia internacional de datos. É unha mellora importante, pero segue sendo necesario documentar a transferencia e ter o acordo de procesamento de datos con Google correctamente configurado.
Hai alternativas a Google Analytics que teñan os servidores na UE?
Si. Matomo (autohospedado ou en servidores europeos), Plausible (servidores na UE, código aberto), Fathom Analytics (opción de servidores na UE) e Pirsch son alternativas que procesan os datos na UE e que algúns responsables de protección de datos prefiren precisamente para evitar as complexidades das transferencias internacionais.
Quen é responsable de cumprir con estas obrigas — a empresa ou o seu provedor web?
A empresa é o responsable do tratamento baixo o RGPD: é quen decide que datos se tratan, con que finalidade e que ferramentas se usan. O provedor web é o encargado do tratamento: actúa seguindo as instrucións do responsable. A responsabilidade legal ante a AEPD recae sobre a empresa, non sobre o provedor, aínda que o provedor poida ser corresponsable se actuou sen instrucións do responsable.
⚠️ Este artigo é informativo e non constitúe asesoramento xurídico. Para unha auditoría completa dos sistemas que tratan datos na túa web, consulta cun especialista en protección de datos.
En Baqueiro documentamos todos os servizos de terceiros que se integran nos proxectos que desenvolvemos e incluímolos no mapa de datos que entregamos ao cliente. Se non tes claro que sistemas están recibindo datos dos usuarios da túa web, podemos axudarche a facer ese mapa.
Los datos de los usuarios de una web típica en España no viven en un solo sitio. Viven en el servidor de hosting, pero también en Google Analytics, en el CRM integrado, en el servicio de email marketing, en el pixel de Meta, en el CDN que sirve los archivos, en los logs del servidor, y en el formulario de contacto de terceros. Cada uno de esos sistemas tiene su propia política de privacidad, sus propios servidores y sus propias implicaciones legales.
— Una web española típica envía datos de usuarios a entre seis y doce sistemas distintos, la mayoría con servidores fuera de la Unión Europea.
— Cada sistema con servidores fuera de la UE implica una transferencia internacional de datos que tiene requisitos específicos bajo el RGPD.
— Al final del artículo hay una checklist de auditoría para identificar todos los sistemas que reciben datos de usuarios de tu web.⚠️ Este artículo es informativo y no constituye asesoramiento jurídico. Para aplicar estas consideraciones a tu caso específico, consulta con un especialista en protección de datos.
La pregunta que pocas empresas se hacen sobre sus propias webs
El RGPD exige que las empresas sepan qué datos personales tratan, con qué finalidad, dónde se almacenan y quién tiene acceso a ellos. Es la base del registro de actividades de tratamiento que toda organización que trata datos personales debe mantener.
En la práctica, muchas empresas tienen una política de privacidad que menciona las categorías de datos que recogen y los derechos de los usuarios, pero no tienen un mapa real de todos los sistemas que reciben esos datos. La política de privacidad describe la intención. El mapa de datos describe la realidad. Y a menudo no coinciden.
El mapa real de una web española típica
Para entender dónde van los datos de los usuarios de una web, hay que seguir el rastro de cada interacción desde el momento en que el usuario llega hasta el momento en que se va. Aquí está el mapa de una web corporativa con formulario de contacto, Google Analytics y un pixel de Meta — una configuración muy habitual en empresas medianas españolas.
Punto 1: el servidor de hosting
Es el sistema que la mayoría de propietarios conocen. La base de datos del CMS (WordPress, en la mayoría de los casos), los archivos subidos, los datos de registro de usuarios si los hay, y los formularios de contacto si están gestionados por el propio CMS. Dependiendo del proveedor de hosting, los servidores pueden estar en la UE (OVH, Arsys, muchos proveedores europeos) o fuera (algunos planes de Bluehost, HostGator y otros proveedores norteamericanos usan servidores en EE.UU.).
Los logs del servidor — registros de cada petición HTTP, incluyendo la dirección IP del visitante, la página visitada, el navegador y el sistema operativo — también se almacenan aquí y contienen datos personales bajo el RGPD. La mayoría de configuraciones de servidor por defecto conservan estos logs durante meses sin que nadie lo haya decidido explícitamente.
Punto 2: Google Analytics
Cuando se instala Google Analytics en una web, cada visita envía datos a los servidores de Google. Esos datos incluyen la dirección IP del visitante (que Google anonimiza parcialmente, pero que sigue siendo un dato personal en su origen), el comportamiento de navegación, el dispositivo, la ubicación aproximada y los eventos configurados.
Google Analytics procesa esos datos en servidores que pueden estar en EE.UU., lo que implica una transferencia internacional de datos. Google tiene mecanismos de cumplimiento del RGPD documentados (Cláusulas Contractuales Tipo), pero esos mecanismos deben estar reflejados en la política de privacidad y en el registro de actividades de tratamiento de la empresa. Muchas webs tienen Google Analytics instalado sin haber documentado esa transferencia internacional.
Desde 2023, la Agencia Española de Protección de Datos ha emitido resoluciones contra empresas que usaban Google Analytics sin haber implementado correctamente los mecanismos de cumplimiento del RGPD para transferencias internacionales.
Punto 3: el pixel de Meta (Facebook/Instagram)
El pixel de Meta es un fragmento de código que, cuando está instalado en una web, envía a Meta información sobre el comportamiento de los visitantes: qué páginas visitan, qué acciones realizan, si completan una compra o un formulario. Meta usa esa información para optimizar los anuncios de la empresa y para su propio sistema de publicidad.
Los servidores de Meta están mayoritariamente en EE.UU., con las mismas implicaciones de transferencia internacional que Google Analytics. Adicionalmente, el pixel de Meta puede cruzar los datos del visitante con su perfil de Facebook o Instagram si el visitante está conectado a esas plataformas, lo que añade una capa de tratamiento de datos que va más allá de la analítica.
Punto 4: el servicio de email marketing
Cuando un usuario se suscribe a la newsletter o deja su email en un formulario, ese dato habitualmente se envía automáticamente a la plataforma de email marketing integrada: Mailchimp, Brevo (antes Sendinblue), ActiveCampaign, HubSpot. Cada una de estas plataformas tiene sus servidores en ubicaciones distintas, con implicaciones distintas para la transferencia internacional de datos.
Mailchimp, por ejemplo, tiene sus servidores principales en EE.UU. y opera bajo las Cláusulas Contractuales Tipo para cumplir con el RGPD en transferencias desde la UE. Brevo tiene servidores en la UE y es una opción que algunos responsables de protección de datos prefieren precisamente por eso. La elección de la plataforma de email marketing tiene implicaciones de cumplimiento del RGPD que rara vez se consideran cuando se toma la decisión.
Punto 5: el CDN
Un CDN (Content Delivery Network) es un sistema de servidores distribuidos geográficamente que sirve los archivos estáticos de la web (imágenes, CSS, JavaScript) desde el servidor más cercano al visitante. Cloudflare, el CDN más usado del mundo, tiene nodos en más de 300 ciudades en todo el mundo.
El CDN registra las IPs de los visitantes para optimizar el enrutamiento. Dependiendo de la configuración, puede también registrar información sobre las peticiones para análisis de rendimiento y seguridad. Son datos personales bajo el RGPD que viajan por una infraestructura distribuida globalmente.
Punto 6: los formularios de terceros
Muchas webs usan herramientas de terceros para los formularios de contacto, los chats en vivo o los sistemas de reservas: Typeform, Calendly, Tally, Intercom. Cada una de estas herramientas recibe los datos que el usuario introduce y los almacena en sus propios sistemas, que generalmente están fuera de la UE.
El problema específico de los formularios de terceros es que los datos del usuario van directamente a la plataforma externa — no pasan por el servidor del cliente —, lo que hace que el cliente sea potencialmente menos consciente de esa transferencia y de las implicaciones que tiene.
El problema de los servidores fuera de la UE
Que los servidores estén fuera de la UE no es automáticamente un problema legal, pero sí implica requisitos adicionales bajo el RGPD. Desde la invalidación del Privacy Shield en 2020 (sentencia Schrems II del Tribunal de Justicia de la UE), las transferencias de datos personales a países fuera del Espacio Económico Europeo requieren garantías específicas.
El mecanismo más habitual son las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, que la mayoría de los grandes proveedores tecnológicos americanos han adoptado. Pero adoptarlas no es suficiente: la empresa que transfiere los datos tiene que haber realizado una evaluación del impacto de la transferencia y documentar que las garantías son adecuadas.
La solución no es necesariamente cambiar de proveedor. Es documentar correctamente las transferencias que existen, verificar que los proveedores tienen los mecanismos de cumplimiento adecuados, y reflejarlo en la política de privacidad y en el registro de actividades de tratamiento.
Qué puedes exigir a tu proveedor web
Tu proveedor web — la agencia o el freelancer que gestiona tu presencia digital — debería ser capaz de responderte estas preguntas con precisión:
- ¿Dónde están los servidores del hosting? ¿Están dentro de la UE?
- ¿Qué servicios de terceros están integrados en la web y qué datos recibe cada uno?
- ¿Qué datos se registran en los logs del servidor y durante cuánto tiempo?
- ¿Cómo está configurado Google Analytics respecto a la anonimización de IPs y las transferencias internacionales?
- ¿Hay formularios o herramientas de terceros que reciben datos de usuarios directamente?
Un proveedor que no puede responder a estas preguntas no tiene el nivel de criterio necesario para gestionar correctamente la privacidad de los datos de tus clientes.
Checklist de auditoría para no técnicos
Esta checklist permite identificar los sistemas que reciben datos de usuarios de tu web sin necesidad de conocimientos técnicos:
- ¿Sabes en qué país están los servidores de tu proveedor de hosting?
- ¿Tienes Google Analytics instalado? ¿Está configurado con anonimización de IP y con el acuerdo de procesamiento de datos firmado con Google?
- ¿Tienes el pixel de Meta instalado? ¿Está documentado en tu política de privacidad y en el registro de actividades de tratamiento?
- ¿Usas una plataforma de email marketing? ¿Sabes dónde están sus servidores?
- ¿Usas un CDN? ¿Sabes qué datos registra y durante cuánto tiempo?
- ¿Hay formularios, chats o herramientas de reservas de terceros en tu web? ¿A dónde van los datos que recogen?
- ¿Tu política de privacidad menciona todos los servicios de terceros que reciben datos de tus usuarios?
- ¿Tienes un registro de actividades de tratamiento que incluya todas estas transferencias?
Si no puedes responder con seguridad a tres o más de estas preguntas, es el momento de hacer una auditoría de los sistemas que tratan datos en tu web.
FAQ
¿Usar Google Analytics con el modo de consentimiento activado resuelve todos los problemas?
El modo de consentimiento de Google Analytics reduce significativamente el tratamiento de datos de usuarios que no han dado su consentimiento, pero no elimina todas las implicaciones de la transferencia internacional de datos. Es una mejora importante, pero sigue siendo necesario documentar la transferencia y tener el acuerdo de procesamiento de datos con Google correctamente configurado.
¿Hay alternativas a Google Analytics que tengan los servidores en la UE?
Sí. Matomo (autohospedado o en servidores europeos), Plausible (servidores en la UE, código abierto), Fathom Analytics (opción de servidores en la UE) y Pirsch son alternativas que procesan los datos en la UE y que algunos responsables de protección de datos prefieren precisamente para evitar las complejidades de las transferencias internacionales.
¿Quién es responsable de cumplir con estas obligaciones — la empresa o su proveedor web?
La empresa es el responsable del tratamiento bajo el RGPD: es quien decide qué datos se tratan, con qué finalidad y qué herramientas se usan. El proveedor web es el encargado del tratamiento: actúa siguiendo las instrucciones del responsable. La responsabilidad legal ante la AEPD recae sobre la empresa, no sobre el proveedor, aunque el proveedor pueda ser corresponsable si ha actuado sin instrucciones del responsable.
⚠️ Este artículo es informativo y no constituye asesoramiento jurídico. Para una auditoría completa de los sistemas que tratan datos en tu web, consulta con un especialista en protección de datos.
En Baqueiro documentamos todos los servicios de terceros que se integran en los proyectos que desarrollamos y los incluimos en el mapa de datos que entregamos al cliente. Si no tienes claro qué sistemas están recibiendo datos de los usuarios de tu web, podemos ayudarte a hacer ese mapa.
The data of users of a typical website in Spain does not reside in one place. It lives on the hosting server, but also in Google Analytics, in the integrated CRM, in the email marketing service, in the Meta pixel, in the CDN that serves the files, in the server logs, and in third-party contact forms. Each of these systems has its own privacy policy, its own servers, and its own legal implications.
— A typical Spanish website sends user data to between six and twelve different systems, most with servers outside the European Union.
— Each system with servers outside the EU involves an international data transfer that has specific requirements under the GDPR.
— At the end of the article, there is an audit checklist to identify all the systems receiving user data from your website.⚠️ This article is informational and does not constitute legal advice. To apply these considerations to your specific case, consult a data protection specialist.
The question few companies ask about their own websites
The GDPR requires companies to know what personal data they process, for what purpose, where it is stored, and who has access to it. It is the basis of the record of processing activities that every organization processing personal data must maintain.
In practice, many companies have a privacy policy that mentions the categories of data they collect and the rights of users, but they do not have a real map of all the systems receiving that data. The privacy policy describes the intention. The data map describes the reality. And they often do not match.
The real map of a typical Spanish website
To understand where the data of website users goes, you have to follow the trail of each interaction from the moment the user arrives until the moment they leave. Here is the map of a corporate website with a contact form, Google Analytics, and a Meta pixel — a very common setup in medium-sized Spanish companies.
Point 1: the hosting server
This is the system most owners are aware of. The CMS database (WordPress, in most cases), uploaded files, user registration data if any, and contact forms if managed by the CMS itself. Depending on the hosting provider, servers may be in the EU (OVH, Arsys, many European providers) or outside (some Bluehost, HostGator, and other North American providers use servers in the USA).
Server logs — records of each HTTP request, including the visitor’s IP address, the page visited, the browser, and the operating system — are also stored here and contain personal data under the GDPR. Most default server configurations retain these logs for months without anyone having explicitly decided so.
Point 2: Google Analytics
When Google Analytics is installed on a website, each visit sends data to Google’s servers. This data includes the visitor’s IP address (which Google partially anonymizes, but is still personal data at its origin), browsing behavior, device, approximate location, and configured events.
Google Analytics processes this data on servers that may be in the USA, which involves an international data transfer. Google has documented GDPR compliance mechanisms (Standard Contractual Clauses), but these mechanisms must be reflected in the company’s privacy policy and record of processing activities. Many websites have Google Analytics installed without having documented this international transfer.
Since 2023, the Spanish Data Protection Agency has issued resolutions against companies using Google Analytics without having correctly implemented GDPR compliance mechanisms for international transfers.
Point 3: the Meta pixel (Facebook/Instagram)
The Meta pixel is a piece of code that, when installed on a website, sends Meta information about visitor behavior: which pages they visit, what actions they take, whether they complete a purchase or a form. Meta uses this information to optimize the company’s ads and for its own advertising system.
Meta’s servers are mostly in the USA, with the same international transfer implications as Google Analytics. Additionally, the Meta pixel can cross-reference visitor data with their Facebook or Instagram profile if the visitor is logged into those platforms, adding a layer of data processing that goes beyond analytics.
Point 4: the email marketing service
When a user subscribes to the newsletter or leaves their email in a form, that data is usually automatically sent to the integrated email marketing platform: Mailchimp, Brevo (formerly Sendinblue), ActiveCampaign, HubSpot. Each of these platforms has servers in different locations, with different implications for international data transfer.
Mailchimp, for example, has its main servers in the USA and operates under Standard Contractual Clauses to comply with the GDPR for transfers from the EU. Brevo has servers in the EU and is an option some data protection officers prefer precisely for that reason. The choice of email marketing platform has GDPR compliance implications that are rarely considered when making the decision.
Point 5: the CDN
A CDN (Content Delivery Network) is a system of geographically distributed servers that serves the website’s static files (images, CSS, JavaScript) from the server closest to the visitor. Cloudflare, the world’s most used CDN, has nodes in over 300 cities worldwide.
The CDN logs visitors’ IPs to optimize routing. Depending on the configuration, it may also log information about requests for performance and security analysis. These are personal data under the GDPR that travel through a globally distributed infrastructure.
Point 6: third-party forms
Many websites use third-party tools for contact forms, live chats, or booking systems: Typeform, Calendly, Tally, Intercom. Each of these tools receives the data the user enters and stores it in their own systems, which are generally outside the EU.
The specific problem with third-party forms is that user data goes directly to the external platform — it does not pass through the client’s server — making the client potentially less aware of that transfer and its implications.
The problem of servers outside the EU
Having servers outside the EU is not automatically a legal problem, but it does imply additional requirements under the GDPR. Since the invalidation of the Privacy Shield in 2020 (Schrems II ruling by the Court of Justice of the EU), personal data transfers to countries outside the European Economic Area require specific safeguards.
The most common mechanism is the Standard Contractual Clauses approved by the European Commission, which most major American tech providers have adopted. But adopting them is not enough: the company transferring the data must have conducted a transfer impact assessment and documented that the safeguards are adequate.
The solution is not necessarily to change providers. It is to properly document the existing transfers, verify that providers have adequate compliance mechanisms, and reflect this in the privacy policy and record of processing activities.
What you can demand from your web provider
Your web provider — the agency or freelancer managing your digital presence — should be able to answer these questions accurately:
- Where are the hosting servers located? Are they within the EU?
- What third-party services are integrated into the website and what data does each receive?
- What data is logged in the server logs and for how long?
- How is Google Analytics configured regarding IP anonymization and international transfers?
- Are there third-party forms or tools that receive user data directly?
A provider that cannot answer these questions does not have the necessary level of criteria to properly manage the privacy of your customers’ data.
Non-technical audit checklist
This checklist allows you to identify the systems receiving user data from your website without technical knowledge:
- Do you know in which country your hosting provider’s servers are located?
- Do you have Google Analytics installed? Is it configured with IP anonymization and with the data processing agreement signed with Google?
- Do you have the Meta pixel installed? Is it documented in your privacy policy and record of processing activities?
- Do you use an email marketing platform? Do you know where its servers are located?
- Do you use a CDN? Do you know what data it logs and for how long?
- Are there third-party forms, chats, or booking tools on your website? Where does the data they collect go?
- Does your privacy policy mention all third-party services receiving your users’ data?
- Do you have a record of processing activities that includes all these transfers?
If you cannot confidently answer three or more of these questions, it’s time to audit the systems processing data on your website.
FAQ
Does using Google Analytics with consent mode activated solve all problems?
Google Analytics’ consent mode significantly reduces the processing of data from users who have not given consent, but it does not eliminate all implications of international data transfers. It is an important improvement, but it is still necessary to document the transfer and have the data processing agreement with Google correctly configured.
Are there alternatives to Google Analytics with servers in the EU?
Yes. Matomo (self-hosted or on European servers), Plausible (servers in the EU, open source), Fathom Analytics (option for servers in the EU), and Pirsch are alternatives that process data in the EU and are preferred by some data protection officers precisely to avoid the complexities of international transfers.
Who is responsible for complying with these obligations — the company or its web provider?
The company is the data controller under the GDPR: it decides what data is processed, for what purpose, and what tools are used. The web provider is the data processor: it acts following the controller’s instructions. The legal responsibility before the AEPD falls on the company, not the provider, although the provider may be jointly responsible if it has acted without the controller’s instructions.
⚠️ This article is informational and does not constitute legal advice. For a complete audit of the systems processing data on your website, consult a data protection specialist.
At Baqueiro, we document all third-party services integrated into the projects we develop and include them in the data map we deliver to the client. If you are unsure which systems are receiving data from your website users, we can help you create that map.
