acceder
Prueba gratuita

¿Cumple hCaptcha el GDPR? Lo que los propietarios de sitios web deben saber

Ilustración que analiza si hCaptcha cumple el GDPR, mostrando un widget de verificación humana, una escala de equilibrio entre privacidad y seguridad, símbolos de protección de datos de la UE y una lista de comprobación del cumplimiento.
captcha.eu

hCaptcha puede formar parte de una configuración que cumpla con el GDPR, pero no llega conforme de fábrica y requiere más trabajo de gobernanza del que muchos propietarios de sitios web esperan.

Intuition Machines, la empresa estadounidense que está detrás de hCaptcha, ofrece un acuerdo de procesamiento de datos, certificación del Marco de Privacidad de Datos UE-EE.UU. y cláusulas contractuales estándar. Son herramientas reales e importantes. Pero no hacen el trabajo de cumplimiento por usted. La base jurídica, las cookies, las transferencias internacionales de datos y la accesibilidad son cuestiones que hay que resolver antes de poner en marcha el sistema, no después de que una autoridad de control llame a la puerta.

Este artículo explica exactamente dónde surgen esas preguntas, qué significan en la práctica y cómo es una configuración defendible.

Nota editorial: Este artículo tiene fines informativos y no constituye asesoramiento jurídico. Si tiene preguntas sobre su aplicación específica o la legislación nacional aplicable, consulte a un profesional cualificado en materia de privacidad o jurídica.

Tabla de contenido

De un vistazo: las cuatro cuestiones que plantea hCaptcha en relación con el GDPR

Antes de entrar en detalles, he aquí un rápido mapa de las cuestiones clave. Cada uno de ellos se explica en detalle a continuación.

Pregunta sobre el GDPR
Posición de hCaptcha
Lo que usted, como operador, debe hacer
Transferencia internacional de datos
Con certificación DPF; SCC disponibles en DPA
Compruebe que el APD está firmado; documente su evaluación de la transferencia
Cookies y privacidad electrónica
Establece cookies incluyendo hmt_id
Evalúe si la exención por necesidad técnica es aplicable en su jurisdicción
Función (procesador o controlador)
Actúa como procesador según sus FAQ
Usted sigue siendo el controlador. La base jurídica, la transparencia y la supervisión del proveedor siguen siendo suyas.
Accesibilidad
Objetivos WCAG 2.2 AA; algunos problemas visuales siguen siendo parcialmente inaccesibles.
Pruebe el flujo de usuarios real. No confíe únicamente en la declaración del proveedor.

Cómo funciona realmente hCaptcha

Cuando alguien envía un formulario en su sitio web, hCaptcha interviene para decidir: ¿se trata de un humano o de un bot? Dependiendo de su plan, muestra un desafío visible (la conocida tarea “elige todos los semáforos”), utiliza señales invisibles de fondo o aplica una mezcla de ambas. Si la comprobación se supera, entrega al formulario un token. A continuación, tu servidor verifica ese token con API de hCaptcha.

Para realizar ese análisis, hCaptcha procesa datos técnicos y de comportamiento. Su sitio política de privacidad enumera metadatos de comunicaciones como la dirección IP de origen, junto con información analítica que incluye el tipo de navegador, ISP, plataforma, tipo de dispositivo, sistema operativo y marcas de tiempo de acceso. También establece cookies, incluyendo htm_id descrito como una cookie de origen utilizado para estadísticas estrictamente necesarias, anónimas, relacionadas con el servicio y las funciones técnicas, incluyendo soporte de accesibilidad.

Ese tratamiento de datos, las direcciones IP, las señales del navegador, las cookies, es donde empiezan las preguntas del GDPR.

Por qué es más importante de lo que parece

¿Es fácil tratar CAPTCHA como un pequeño detalle técnico? No es así. CAPTCHA se sitúa en la puerta de entrada de los flujos de trabajo más sensibles de su sitio web: inicio de sesión, restablecimiento de contraseña, registro, pago y formularios de contacto. Estos son exactamente los flujos que los atacantes atacan primero.

El relleno de credenciales, en el que herramientas automatizadas prueban millones de combinaciones de nombres de usuario y contraseñas robadas, afecta específicamente a los formularios de inicio de sesión. La creación de cuentas falsas, las pruebas de tarjetas y el spam de formularios afectan a los demás. Los informes de ENISA sobre el panorama de las amenazas sitúan sistemáticamente el abuso automatizado de las aplicaciones web entre los tipos de ataque más comunes que afectan a las organizaciones europeas.

Esto hace que la elección de un CAPTCHA sea tanto una decisión de seguridad como de protección de datos. Una herramienta que reduce el riesgo de bots pero crea una exposición legal, a través de un consentimiento de cookies no resuelto, una base de transferencia poco clara o lagunas de accesibilidad, resuelve un problema a la vez que crea silenciosamente otro. Para los responsables de TI, los desarrolladores y los responsables de la protección de datos, merece la pena tratar estos dos aspectos de la cuestión conjuntamente.

Las tres áreas de riesgo del GDPR, explicadas

1. Transferencia internacional de datos

Intuition Machines es una empresa estadounidense. Su política de privacidad establece que puede tratar datos personales de personas cubiertas en Estados Unidos como parte de la prestación del servicio. También está certificada por el Marco de Privacidad de Datos UE-EE.UU.

DPF certification is a legitimate and meaningful transfer tool, but it is not a blank cheque. The EDPB’s guidance makes clear that organisations must verify the mechanism is in place and in scope. It must not simply assume that certification covers every scenario. A useful reference point is the Austrian Data Protection Authority’s 2022 ruling on Google Analytics (GZ: 2021-0.586.257). Which found that transmitting IP addresses and browser identifiers to a US server constitutes a transfer of personal data. While that ruling concerned Google Analytics specifically, it illustrates how strictly EU supervisory authorities may scrutinise transfers of technical metadata to US-based providers and why the analysis cannot be skipped simply because a tool holds DPF certification.

En términos prácticos: firme el APD, confirme que la certificación DPF está actualizada y documente por escrito su evaluación de la transferencia. No dé por sentado que porque un vendedor haya marcado la casilla DPF, el trabajo está hecho por su parte.

2. Cookies y ePrivacy, una cuestión aparte a la que el GDPR no da respuesta

Este es el área de riesgo que se pasa por alto con más frecuencia, y suele pillar desprevenidos a los operadores de sitios web.

El RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas son dos instrumentos diferentes. Apartado 3 del artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas requires consent before placing cookies or accessing information on a user’s device, unless a specific technical necessity exemption applies. The EDPB’s guidelines on cookies make clear that this exemption is narrow. It must be assessed on a use-case-by-use-case basis; it is not a general carve-out for security or anti-bot tools.

hCaptcha sets cookies. Its cookie policy listshtm_id  and describes it as used for technical and service-related purposes. Whether the technical necessity exemption applies to your specific deployment depends on the concrete use case and the position of your national supervisory authority.

Aquí está el punto que atrapa a la gente: incluso si su base legal GDPR es el cumplimiento del contrato o los intereses legítimos, eso no resuelve la cuestión de la cookie ePrivacy. Son obligaciones independientes. Si se cumple una, no se cumple automáticamente la otra. Si no puede demostrar claramente que la exención se aplica en su jurisdicción, las rutas operativamente más limpias son cargar hCaptcha sólo después del consentimiento explícito, o utilizar un CAPTCHA sin cookies que elimine la pregunta por completo.

3. Asignación de funciones: qué significa realmente “procesador” para usted

Las preguntas frecuentes de hCaptcha indican que Intuition Machines actúa como procesador para sus clientes en el contexto pertinente del GDPR. Ese encuadre es útil, y la DPA lo refleja para la prestación de servicios básicos.

Pero esto es lo que no cambia: usted sigue siendo el controlador. Usted decide qué páginas llevan el CAPTCHA, en qué base jurídica se apoya, cómo se informa a los usuarios y cómo gestiona una solicitud de un interesado que afecte a datos procesados con el hCaptcha. El widget está externalizado. La responsabilidad no.

In practice: your privacy notice should disclose hCaptcha’s processing. Your record of processing activities should list Intuition Machines as a sub-processor, and you should be able to explain to a supervisory authority why you made the deployment choices you made.

¿Cambia el nivel del plan el panorama del cumplimiento?

Sí, y este es el detalle que la mayoría de las implantaciones pasan por alto por completo.

En algunos niveles del plan, el uso de los datos y los controles contractuales pueden diferir sustancialmente. Los clientes corporativos pueden negociar condiciones de privacidad más estrictas que las de las implantaciones gratuitas, incluidas restricciones sobre el uso de los datos de interacción más allá de la prestación de servicios básicos.

Si su organización procesa datos de usuarios de sectores regulados, como la sanidad, las finanzas o los servicios públicos, merece la pena examinar detenidamente las condiciones de uso de datos aplicables antes de la implantación, no después. Revisar las condiciones actuales para su plan específico y, en caso necesario, negociar cláusulas DPA que reflejen sus obligaciones forma parte de la selección responsable de proveedores con arreglo al principio de responsabilidad del RGPD.

Accesibilidad: una cuestión de cumplimiento, no una nota a pie de página

La accesibilidad tiende a tratarse como una consideración secundaria en las decisiones sobre CAPTCHA. Para muchos servicios digitales que operan en la UE, ya no es opcional. La Ley Europea de Accesibilidad, que entró en vigor en todos los Estados miembros en junio de 2025, obliga a las empresas y servicios cubiertos a cumplir los requisitos de accesibilidad, con la norma WCAG 2.2 AA como norma técnica pertinente para la mayoría de las implementaciones basadas en la web.

La declaración de accesibilidad de hCaptcha dice que su objetivo es cumplir la norma WCAG 2.2 AA y que ha llevado a cabo auditorías internas y externas. También reconoce, honestamente, que algunos desafíos visuales de imagen no pueden hacerse totalmente accesibles sin dejar de cumplir su función de seguridad.

Esa laguna tiene consecuencias reales. Una declaración de accesibilidad a nivel de proveedor no hace que su implantación específica sea accesible. Las siguientes áreas requieren pruebas genuinas en el flujo real del usuario, no una comprobación con un PDF del proveedor:

  • Navegación con el teclado. ¿Se puede activar y completar el widget sin ratón? Tiene que funcionar para todos los usuarios.
  • Compatibilidad con lectores de pantalla y desafíos auditivos. El desafío de audio y la experiencia fallback deben ser probados a través de lectores de pantalla y combinaciones de navegadores antes de confiar en ellos como una ruta de accesibilidad. El comportamiento puede variar significativamente entre NVDA, JAWS y VoiceOver, así como entre distintos navegadores.
  • Gestión del estado de error. Cuando un reto falla o se agota el tiempo de espera, ¿se anuncian los mensajes de error a la tecnología de asistencia o sólo aparecen visualmente?
  • Comportamiento móvil. ¿Funciona correctamente el widget en un navegador móvil con las funciones de accesibilidad del sistema activadas?

Para las organizaciones y servicios del sector público con una amplia base de usuarios, estas pruebas no son extras opcionales. Forman parte de lo que realmente exige el cumplimiento de la normativa.

Cómo reducir el riesgo de GDPR si sigue utilizando hCaptcha

Si ha estudiado todo lo anterior y ha decidido que hCaptcha es la herramienta adecuada para su contexto, los siguientes pasos le situarán en una posición materialmente más fuerte.

  • Firme y conserve el APD.

    Las políticas generales de privacidad no son suficientes. El APD rige su relación con el procesador y debe estar en su archivo de documentación de proveedores, firmado, fechado y recuperable si un APD lo solicita.

  • Verifique su base de transferencia.

    Confirme que la certificación DPF está actualizada en el momento de la implantación, no sólo en el momento en que leyó sobre ella por primera vez. Documente por escrito su evaluación de la transferencia.

  • Trabaje la cuestión de las cookies de ePrivacy por separado.

    Indique exactamente cuándo se instalan las cookies. Si no puede argumentar claramente que la exención por necesidad técnica se aplica en su jurisdicción, cargue hCaptcha post-consentimiento o utilice una alternativa sin cookies. Saltarse esta evaluación no hace que desaparezca la obligación.

  • Revisa el nivel de tu plan y las condiciones de uso de datos.

    Compruebe si las condiciones aplicables son compatibles con sus obligaciones, especialmente si está tratando datos de usuarios en contextos regulados o sensibles.

  • Pruebe la accesibilidad de verdad.

    Ejecute las pruebas de navegación por teclado, audio fallback, estado de error y móvil descritas anteriormente. No considere una declaración de conformidad del proveedor como sustituto de una prueba en vivo.

  • Superponga sus defensas.

    Esto es más importante de lo que podría parecer a primera vista. Cuanto más pueda reducir la frecuencia con la que se activa un CAPTCHA, mediante la limitación de la tasa, la validación en el servidor, los campos honeypot y la supervisión de los intentos de inicio de sesión, menos datos procesará una herramienta CAPTCHA de terceros. Menos disparos significan menos puntos de datos enviados a un procesador externo. Esto es bueno tanto para la privacidad como para la experiencia del usuario. La CNIL destaca explícitamente que CAPTCHA es una herramienta dentro de un conjunto más amplio de medidas, no una solución independiente. La estratificación también significa que si hCaptcha no está disponible o está bloqueado por la herramienta de privacidad de un usuario, como ocurre, su protección principal no se derrumba por completo.

  • Actualice su aviso de privacidad.

    Confirme que se divulga el procesamiento de hCaptcha, que se informa a los usuarios de la base de transferencia de EE.UU. y que su registro de actividades de procesamiento refleja a Intuition Machines como subprocesador.

Conclusión

hCaptcha is not automatically unlawful in Europe. For organisations prepared to do the governance work, signed DPA, transfer documentation, ePrivacy cookie assessment, plan-tier review and real accessibility testing, it can be part of a compliant deployment.

La respuesta honesta, si hCaptcha cumple el GDPR, es: depende de cómo lo despliegue, en qué nivel del plan se encuentre, en qué sector opere y con qué detalle haya documentado sus decisiones. La certificación de proveedores es un punto de partida, no de llegada.

Para algunas organizaciones, esta solución puede seguir siendo aceptable. Sin embargo, otras pueden preferir una solución CAPTCHA europea que reduzca la fricción de la privacidad y evite las barreras visuales del desafío. En este contexto, captcha.eu puede ser una alternativa relevante. Está alojada en Austria, diseñada para cumplir con la GDPR, no utiliza cookies ni rastreo, y cuenta con la certificación WACA Silver / WCAG 2.2 AA.

FAQ – Preguntas frecuentes

¿Es hCaptcha compatible con GDPR por defecto?

No. hCaptcha proporciona una DPA, una certificación DPF y SCC, pero se trata de herramientas que los operadores pueden utilizar, no de una garantía de cumplimiento. La base jurídica, la cuestión de las cookies de ePrivacy, la documentación de transferencia y la accesibilidad siguen siendo responsabilidad del operador del sitio web.

¿Transfiere hCaptcha datos personales a Estados Unidos?

Sí. Intuition Machines declara que puede procesar datos personales en Estados Unidos como parte de la prestación del servicio, y que cuenta con la certificación del Marco de Privacidad de Datos UE-EEUU. La certificación DPF es un mecanismo de transferencia válido, pero debe verificarse su vigencia y documentarse como parte de sus registros de transferencia.

¿HCaptcha utiliza cookies?

Sí. Su política de cookies enumera las cookies, incluyendo htm_id, descritas como utilizadas para fines técnicos y relacionados con el servicio. Si se requiere el consentimiento de ePrivacy antes de instalar esas cookies depende de si se aplica la exención por necesidad técnica en su jurisdicción y caso de uso específicos. Esto no puede darse por supuesto, sino que requiere una evaluación deliberada.

¿Afecta el plan de precios de hCaptcha al cumplimiento de la normativa?

Es posible. El uso de los datos y los controles contractuales pueden diferir entre los distintos niveles del plan, y los clientes empresariales pueden negociar condiciones de privacidad más estrictas que otras implantaciones. Si procesas datos de usuarios de sectores regulados, merece la pena revisar los términos aplicables a tu plan específico antes de la implantación.

¿Es hCaptcha accesible?

hCaptcha tiene como objetivo el cumplimiento de la norma WCAG 2.2 AA y proporciona un desafío de audio como alternativa a las tareas visuales. Sin embargo, reconoce que algunos desafíos visuales no pueden hacerse totalmente accesibles sin dejar de cumplir su función de seguridad. La accesibilidad debe verificarse mediante pruebas reales, la navegación con el teclado, la experiencia del audio fallback en diferentes lectores de pantalla y navegadores, y los anuncios de estados de error, y no asumirse únicamente a partir de la declaración del proveedor.

¿Puedo omitir la evaluación del consentimiento de cookies si mi base jurídica GDPR son los intereses legítimos?

No. Los requisitos sobre cookies de la Directiva sobre la privacidad y las comunicaciones electrónicas son independientes del GDPR. Incluso con una base jurídica GDPR válida, el artículo 5 (3) de la Directiva ePrivacy todavía se aplica por separado. Una laguna en el cumplimiento de uno de ellos no se soluciona con el cumplimiento del otro.

¿Qué es una alternativa a hCaptcha que cumpla el GDPR?

Para las organizaciones en las que el alojamiento de datos en la UE, la ausencia de cookies y la accesibilidad certificada son requisitos más que preferencias, captcha.eu se ha creado teniendo en cuenta exactamente esas limitaciones. Alojamiento austriaco, sin cookies, sin rastreo, integración invisible e independiente. verificada la conformidad con WCAG 2.2 AA mediante la certificación WACA Silver de TÜV Austria.

100 solicitudes gratuitas

Tiene la oportunidad de probar y testar nuestro producto con 100 solicitudes gratuitas.

Iniciar prueba

Si tiene alguna pregunta

Póngase en contacto con nosotros

Nuestro equipo de asistencia está a su disposición para ayudarle.

Póngase en contacto con nosotros

Entradas recientes

es_ESSpanish
en_USEnglish de_DEGerman fr_FRFrench nl_NLDutch it_ITItalian es_ESSpanish