La política de privacidad de Turnstile carece de transparencia.
Cloudflare no especifica claramente qué señales de datos se recopilan, durante cuánto tiempo se conservan ni cuál es su uso exacto, más allá de la detección de bots.
Los operadores del sitio web asumen la plena responsabilidad del cumplimiento.
El uso de Turnstile no garantiza automáticamente que tu sitio web cumpla con el RGPD y la CCPA; debes realizar evaluaciones de impacto relativas a la protección de datos (EIPD), establecer una base de interés legítimo y asegurarte de que los acuerdos sobre datos sean los adecuados.
El Cookies y las ambigüedades en la transferencia de datos generan un riesgo jurídico.
La norma Turnstile remite a la política general cookie de la norma Cloudflare, en lugar de a una política específica, y la falta de claridad en el encaminamiento de datos entre los servidores de la UE y EE. UU. suscita dudas sobre el cumplimiento de la sentencia Schrems II.
Friendly Captcha cumple con los requisitos de la «privacidad desde el diseño».
La tecnología de prueba de trabajo procesa los datos únicamente en los dispositivos de los usuarios, con políticas claras, uso exclusivo de cookies, eliminación automática a los 30 días y sin transferencias internacionales de datos. Prueba Friendly Captcha y ›
Proteger los sitios web de la actividad maliciosa de los bots se ha vuelto esencial y ha demostrado su importancia. Sin embargo, las herramientas que usamos para combatir los bots a menudo conllevan preocupaciones sobre la privacidad.
Cloudflare Turnstile se presenta como una alternativa fácil de usar y centrada en la privacidad frente a las soluciones tradicionales de CAPTCHA, como Google reCAPTCHA. Pero, ¿cumple realmente sus promesas en materia de privacidad?
Este artículo analiza la realidad que se esconde tras el anexo de privacidad y las prácticas de recopilación de datos de Turnstile, su cumplimiento de la normativa en materia de privacidad, como el Reglamento General de Protección de Datos, y las responsabilidades que recaen sobre los operadores de sitios web.
El guardián silencioso: cómo funciona el Turnstile
Turnstile se ejecuta silenciosamente en segundo plano cuando se activa su «modo invisible». Este método, basado en el script Java, parece a primera vista más intuitivo y respetuoso con la privacidad. El usuario no ve el desafío tradicional de CAPTCHA ni tiene que resolverlo. De hecho, la experiencia de CAPTCHA, que resulta bastante fluida, parece ser una buena opción para quienes buscan reducir las molestias sin sacrificar la seguridad.
Sin embargo, la invisibilidad de Turnstile crea una falsa sensación de privacidad. Lo que ocurre entre bastidores cuenta una historia muy diferente.
Turnstile Aviso de privacidad: prácticas poco claras de recopilación de datos
La política de privacidad de Cloudflare y Turnstile menciona la recopilación de una “variedad” de señales del lado del cliente para garantizar el funcionamiento y proteger contra los bots. Pero, ¿qué significa “variedad” en la práctica?
La política de privacidad de Cloudflare carece de concreción y no cumple con el RGPD principio de transparencia. Cloudflare no ofrece una lista detallada de los datos que se recopilan, durante cuánto tiempo se conservan ni cómo se utilizan exactamente, más allá de la detección de bots.
En lugar de contar con una política de privacidad específica para Turnstile, Cloudflare remite a su política general cookie. Esto genera una experiencia fragmentada para los usuarios preocupados por la privacidad y los operadores de sitios web que intentan comprender sus obligaciones de cumplimiento. Es necesario recopilar información de varios documentos para obtener una visión completa, si es que se consigue encontrarla.
¿Qué señales recoge el Turnstile?
Según la documentación de Cloudflare, esto incluye características del navegador, patrones de interacción del usuario e información sobre el dispositivo. Sin embargo, los parámetros exactos siguen sin estar claros. Los operadores de sitios web señalan que no tienen claro si esto incluye direcciones IP, huellas digitales de dispositivos o datos de seguimiento del comportamiento que podrían identificar a los usuarios de forma indirecta.
Un usuario de Reddit en la comunidad r/GDPR expresó esta preocupación directamente. Este escepticismo refleja un sentimiento generalizado entre los defensores de la privacidad en Europa y pone de relieve una cuestión importante: en lo que respecta a la seguridad de los sitios web, Cloudflare actúa como encargado del tratamiento en nombre del propietario del sitio web (el responsable del tratamiento), con acceso a la información de los visitantes.
Un ejemplo documentado: el Cloudflare Política de privacidad oficial Turnstile listas dirección IP, huella digital TLS, User-Agent y Sitekey, pero no datos del renderizador WebGL, a pesar de análisis independiente y diagnósticos informados por el usuario El código Turnstile comprueba activamente el modelo de la GPU y las cadenas del controlador.
Las cadenas del renderizador WebGL están vinculadas al hardware y son estables durante la sesión. Se trata de un identificador persistente que funciona sin cookies. En el marco de la Guía 2/2023 del Comité Europeo de Protección de Datos De conformidad con el artículo 5, apartado 3, de la Directiva sobre la privacidad y las comunicaciones electrónicas, dichas señales de identificación requieren una base jurídica. La responsabilidad del cumplimiento recae en los operadores, en el caso de las señales que Cloudflare no divulga.
¿Utiliza el Cloudflare y el Turnstile el Cookies?
Turnstile configura cookies para la detección de bots y la gestión de sesiones. Cloudflare afirma que Turnstile solo utiliza “señales” con el único fin de proteger contra los bots. Estas se clasifican como cookies “estrictamente necesarias” en virtud de GDPR y la directiva de ePrivacy, lo que significa que técnicamente no requieren el consentimiento del usuario.
En general, el cookies es un motivo de confusión en cuanto al uso del Turnstile, ya que el servicio Turnstile no cuenta con una política específica para el modelo cookie y enlaces a la política general Cloudflare. La política general cookie de Cloudflare es extensa y compleja, y abarca todos los servicios Cloudflare, y haciendo referencia a la orientación y al rendimiento del modelo cookies. Este cambio entre una política general y un producto específico dentro de la familia Cloudflare es una cuestión que nunca se ha aclarado.
¿Qué significa esto para los operadores de sitios web?
Los operadores de sitios web deben consultar esta documentación para comprender exactamente qué conjuntos de datos cookies y Turnstile existen, cuál es su finalidad y cuáles son sus plazos de conservación. Para muchos operadores, esta tarea resulta abrumadora.
En Estados Unidos, donde las regulaciones de privacidad son menos estrictas que en Europa, esta falta de claridad podría parecer menos apremiante. Sin embargo, las empresas estadounidenses atienden cada vez más a usuarios europeos y deben cumplir con el RGPD de la Unión Europea. sin importar su ubicación. Adicionalmente, leyes de privacidad a nivel estatal como la Ley de Privacidad del Consumidor de California (CCPA) están creando nuevos requisitos de cumplimiento incluso en los EE. UU.
Por último, debemos mencionar una particularidad de las mutaciones Cloudflare y Turnstile. La c-datos el campo permite enviar datos del cliente en la respuesta de verificación al backend. Esta flexibilidad, si bien es útil para los desarrolladores, añade otra capa de potencial exposición de datos si no se maneja con cuidado.
El Operador es responsable de cumplir con el RGPD
Cloudflare Turnstile se basa en el interés legítimo como fundamento jurídico para la protección contra bots, en lugar del consentimiento del usuario. Esta es una diferencia fundamental. Bajo el RGPD, el “interés legítimo” permite a las empresas tratar datos personales sin consentimiento explícito, siempre que dicho tratamiento sea necesario y proporcionado. A continuación, Cloudflare sostiene que la prevención de ataques de bots y la protección de la seguridad del sitio web constituyen un interés legítimo.
En la superficie, esto suena razonable. Protección de los robots es innegablemente importante. Sin embargo, la carga que supone el cumplimiento no se limita a las alegaciones de legitimidad y necesidad técnica de Cloudflare. Los operadores de sitios web siguen siendo plenamente responsables de la marco de cumplimiento integralincluyendo:
Establecer una base de interés legítimo para su caso de uso específico
Realización de una Evaluación de Impacto sobre la Protección de Datos (EIPD)
Actualizar su política de privacidad con información clara sobre los sistemas Turnstile
Garantizar que se disponga de los Acuerdos de Procesamiento de Datos (APD) adecuados
Revisar todos los cookies establecidos por Turnstile y documentar sus finalidades
Seguimiento de las prácticas de cumplimiento de Cloudflare a lo largo del tiempo
En otras palabras, Cloudflare proporciona la herramienta, pero la responsabilidad recae en ti. Este es un aspecto fundamental que suelen pasar por alto los administradores web, que dan por sentado que el mero hecho de utilizar un servicio “conforme al RGPD” hace que su sitio web cumpla automáticamente con la normativa.
Turnstile y la base legal de la CCPA
Para el cumplimiento de la CCPA en los Estados Unidos, se aplican responsabilidades similares. Si bien la CCPA tiene un estándar más bajo que el GDPR, aún requiere transparencia sobre la recopilación de datos y la posibilidad de que los residentes de California puedan excluirse de determinados usos de los datos. Los operadores de sitios web deben asegurarse de que sus políticas de privacidad informen sobre las prácticas de recopilación de datos de Turnstile para cumplir con los requisitos de la CCPA.
Transferencia de Datos y Consideraciones Internacionales
Otra dificultad en materia de cumplimiento normativo surge de las transferencias de datos. Cloudflare cuenta con centros de datos tanto en la UE como en EE. UU. Cuando Turnstile recopila datos de visitantes europeos, ¿dónde se almacenan esos datos? De verdad ¿Cómo se procesan? Aunque Cloudflare afirma que dispone de centros de datos en la UE, la política de privacidad no aclara si los datos se envían automáticamente a servidores europeos o si podrían transferirse a Estados Unidos.
Esto es importante porque la transferencia de datos personales de la UE a EE. UU. requiere mecanismos jurídicos específicos, como las cláusulas contractuales tipo (SCC) o una decisión de adecuación. La situación ha sido incierta desde la sentencia Schrems II, que puso en duda la adecuación de las transferencias de datos a EE. UU. Cloudflare debe contar con los mecanismos adecuados, y los operadores de sitios web deben comprender y documentar estas transferencias.
Para los operadores de sitios web estadounidenses, esto es una preocupación menor a nivel nacional, pero aquellos que sirven a audiencias internacionales deben ser conscientes de estas complejidades.
La pregunta sobre el intercambio de datos
Cloudflare recopila señales técnicas a través de Turnstile y, aunque afirma utilizarlas exclusivamente para la detección de bots, sigue sin estar claro si existe una transparencia total sobre el uso que se da a estos datos.
Uno de los aspectos más preocupantes de Turnstile es la cuestión del intercambio de datos. Aunque Cloudflare afirma que no utiliza los datos de Turnstile con fines publicitarios, sigue sin estar claro si estos datos se conservan para fines distintos de la detección de bots. La política de privacidad de Cloudflare establece que procesa señales “para mejorar las capacidades de detección de bots de Turnstile”, pero el alcance de este proceso de mejora y si implica el entrenamiento de modelos de aprendizaje automático sigue siendo ambiguo.
Limitaciones y Expectativas Realistas
Turnstile presenta ventajas reales frente a soluciones como reCAPTCHA. Recopila menos datos que la solución de Google, no utiliza datos para publicidad y proporciona una mejor experiencia de usuario. Sin embargo, estas ventajas conllevan limitaciones importantes:
Turnstile no es del todo transparente en cuanto a sus prácticas en materia de datos
Los operadores de sitios web asumen toda la responsabilidad por el cumplimiento
La falta de una política de privacidad dedicada crea confusión
Los períodos de retención de datos y los propósitos exactos del procesamiento no están claros
El uso potencial de los datos para el entrenamiento de IA no se divulga explícitamente
Un nivel adecuado para el cumplimiento general requiere esfuerzo activo y experiencia legal
Para los operadores de sitios web con estrictos requisitos de privacidad o audiencias europeas bajo la directiva ePrivacy, estos problemas representan preocupaciones genuinas.
La alternativa Friendly Captcha
El Friendly Captcha ofrece una alternativa muy interesante al Cloudflare y al Turnstile.
Friendly Captcha se ha diseñado específicamente teniendo como prioridades fundamentales la privacidad y el cumplimiento del RGPD. La solución utiliza prueba de trabajo una tecnología que funciona íntegramente en el dispositivo del usuario: no se envía ningún dato a los servidores de Friendly Captcha, salvo lo estrictamente necesario para la verificación de bots.
¿En qué se diferencia el Friendly Captcha del Cloudflare y el Turnstile en cuanto a privacidad?
| Preocupaciones de privacidad | Cloudflare Turnstile | Friendly Captcha |
|---|---|---|
|
Política clara y específica sobre el cookies |
❌ |
✅ |
|
Uso del Cookies |
El documento cookies es el documento operativo, pero se remite a la política general Cloudflare, en la que se mencionan los objetivos y el rendimiento del cookies |
✅ Solo es compatible con cookies (__Host-x-frc-session, frc_sid, frc_sc, frc_rc, frc_sol). Sin HTTP cookies Sin terceros cookies Sin rendimiento cookies Sin publicidad cookies |
|
Procesamiento de datos |
Falta de transparencia |
✅ DPA Clara |
|
Cumplimiento de GDPR y CCPA |
Los operadores del sitio web siguen siendo responsables del cumplimiento total. |
✅ Cumplimiento total por diseño |
|
Transferencia de datos |
Transferencia de datos bajo el Marco de Protección de Datos |
✅ No transferencia internacional de datos |
|
Retención de datos |
Vago “conforme a los fines comerciales”, “el tiempo necesario”. |
Anonimización de datos con hash unidireccional y eliminación automática en 30 días. |
Para los operadores de sitios web estadounidenses, Friendly Captcha ofrece la misma facilidad de integración que Turnstile, pero con la seguridad añadida de que las prácticas de privacidad se ajustan realmente a las expectativas actuales. A medida que se endurecen las normativas de privacidad en EE. UU. (con la CCPA, las leyes estatales y la posible legislación federal), optar por una solución que priorice la privacidad posiciona a su sitio web para cumplir con la normativa en el futuro.
Conclusión: El cumplimiento requiere más que buenas intenciones
Cloudflare Turnstile no incumple de por sí el RGPD ni la CCPA. Sin embargo, tampoco es automáticamente compatible. La solución CAPTCHA se basa en el interés legítimo como fundamento jurídico y reduce al mínimo la recopilación de datos en comparación con alternativas como la reCAPTCHA. Estos son aspectos realmente positivos.
Sin embargo, la opacidad de las prácticas de recopilación de datos de Cloudflare y Turnstile, la ausencia de una política de privacidad específica, la falta de claridad en el uso de cookie y las políticas ambiguas de conservación de datos plantean retos de cumplimiento normativo que los operadores de sitios web deben afrontar por su cuenta. Esto hace que la responsabilidad en materia de privacidad recaiga íntegramente sobre sus hombros.
Para los operadores de sitios web, tanto estadounidenses como europeos, esto significa:
No des por sentado que cumples con la normativa solo por el hecho de utilizar Cloudflare y Turnstile.
Dedica tiempo a comprender tus obligaciones específicas en materia de cumplimiento normativo antes de integrar Cloudflare y Turnstile.
Considerar si un más transparente Cloudflare CAPTCHA (alternativa) por ejemplo, el modelo Friendly Captcha se adapta mejor a tus necesidades
Si este nivel de trabajo de cumplimiento te resulta abrumador, o si priorizas la transparencia genuina y el diseño centrado en la privacidad, Friendly Captcha ofrece el camino más fácil para la protección de bots sin los dolores de cabeza de cumplimiento.
Las políticas claras de Friendly Captcha, su tratamiento mínimo de datos y sus prácticas transparentes te permiten implementar con confianza la protección contra bots, sabiendo que tus obligaciones en materia de privacidad se cumplen por diseño, no por casualidad.
Los administradores de sitios web preocupados por la privacidad merecen herramientas que faciliten el cumplimiento normativo, en lugar de complicarlo. En este sentido, Friendly Captcha destaca como la solución más práctica para quienes buscan una protección contra los bots sin renunciar a nada. Prueba Friendly Captcha ahora!
FAQ
Cloudflare Turnstile no cumple con el RGPD de forma predeterminada. Sin embargo, su modo de funcionamiento le permite recopilar información en el marco del interés legítimo de la protección contra bots, lo que significa que no se requiere el consentimiento explícito del usuario. El servicio aplica el principio de minimización de datos, aunque los tipos de “señales diversas” recopiladas siguen siendo vagos e imprecisos. Los operadores de sitios web son responsables de configurar sitios web que cumplan con el RGPD, lo que incluye actualizar los avisos de privacidad y, si es necesario, firmar un acuerdo de tratamiento de datos (DPA) con Cloudflare.
El modelo CAPTCHA es Conformidad con el GDPR de forma predeterminada y ofrece una alternativa que da prioridad a la privacidad frente a Cloudflare Turnsite. Los administradores de sitios web no tienen que hacer nada para implementar el widget Friendly Captcha.
Cloudflare Turnstile cumple con la CCPA, ya que minimiza el uso de datos y no los utiliza con fines publicitarios, de seguimiento o de retargeting. Sin embargo, al igual que ocurre con el cumplimiento del RGPD para los usuarios y sitios web europeos, el operador del sitio web es responsable de garantizar el cumplimiento al utilizar Cloudflare Turnstile, lo que incluye conocer los compromisos en materia de privacidad.
Friendly Captcha es Cumplimiento de la CCPA por defecto y es una alternativa centrada en la privacidad para usuarios y operadores de sitios web estadounidenses.
Cloudflare Turnstile ofrece mayor privacidad que Google reCAPTCHA al eliminar el seguimiento cookies y reducir considerablemente la recopilación de datos. Mientras que reCAPTCHA utiliza el amplio seguimiento entre sitios web de Google para crear perfiles de usuario, Turnstile solo utiliza señales del navegador no identificativas, lo que garantiza un cumplimiento más sencillo de normativas como el RGPD o la CCPA.
Friendly Captcha es el mejor servicio CAPTCHA para usuarios y operadores que buscan privacidad precisa.
El anexo de privacidad de Cloudflare y Turnstile está disponible públicamente. Sin embargo, la política de privacidad de Turnstile remite al aviso de privacidad general de Cloudflare, especialmente en lo que respecta al uso de cookie. La política de Cloudflare sobre cookie es amplia y compleja, y abarca todos sus servicios. La distinción entre Turnstile como producto y Cloudflare como familia de productos puede resultar difícil de entender y puede complicar el uso de Turnstile.
Sí, Cloudflare y Turnstile transfieren datos. Cloudflare y Turnstile transfieren señales de los clientes, como la dirección IP del visitante, datos del agente de usuario, huellas digitales TLS y entradas del navegador, metadatos del sitio (sitekey y origen de la solicitud), así como solicitudes de verificación. Dado que se tratan datos personales, como las direcciones IP, los operadores de sitios web debe revelar esto en sus políticas de privacidad y garantizar el cumplimiento de normativas como el GDPR o el CCPA.
English 
German 
French 
Spanish 
Italian 
Portuguese