Skip to main content
Blog
Blog

Cómo monitorear la transferencia internacional de datos en tu sitio web | GDPR, CCPA

Tu sitio web probablemente está enviando datos personales a otros países. Aprende a rastrear las transferencias internacionales de datos para cumplir con los requisitos del GDPR y la CCPA.

Feb 12, 2026 11 min read
Cómo monitorear la transferencia internacional de datos - Portada del blog

Resumen

  • La transferencia internacional de datos ocurre cuando los datos personales recopilados en tu sitio web se envían a servidores en otro país. El Artículo 30 del GDPR (ROPAs) y el Artículo 28 (obligaciones del procesador), junto con los requisitos de divulgación de la CCPA, exigen que los propietarios de sitios web documenten a dónde se envían los datos.
  • Comienza por inventariar quién recopila datos (todos los recopiladores de datos de terceros en tu sitio). Asocia cada recopilador de datos con una base legal.
  • Monitorea a dónde se envían realmente los datos. Observa los dominios externos, las regiones de alojamiento y los subprocesadores. Puedes obtener una vista rápida mediante inspección manual en las herramientas de desarrollo del navegador. O usa una herramienta automatizada como cside Privacy Watch para un monitoreo continuo.
  • Esta información alimenta tu documentación de cumplimiento de privacidad a través de ROPAs, DPAs, divulgaciones de privacidad y auditorías de incidentes. Además, los cambios repentinos en los destinos de los datos (como hacia Rusia o China) son señales tempranas de una brecha de datos en el sitio web.

4 pasos para rastrear transferencias de datos transfronterizas e internacionales en tu sitio web

1. Inventaría quién transfiere datos en tu sitio

Ejemplo de un inventario de recopiladores de datos de terceros para la transferencia internacional de datos
Ejemplo de inventario de recopiladores de datos de terceros para el seguimiento de transferencias internacionales de datos (imagen del panel de cside)

Para rastrear las transferencias internacionales de datos, es necesario entender dónde comienza realmente la recopilación de datos. Esto incluye tanto los elementos de primera parte que controlas directamente como los servicios de terceros integrados en tu sitio.

Recopilación de datos de primera parte (tu propio equipo):

Los componentes de primera parte, como formularios de contacto, integraciones de CRM y herramientas de analítica desarrolladas internamente, pueden desencadenar flujos de datos salientes. Es fácil pasar por alto puntos de recopilación en tu sitio o no tener claro quién es el responsable (marketing, soporte o desarrolladores).

Recopilación de datos de terceros (proveedores y herramientas):

Los scripts de terceros merecen especial atención. La mayoría de los equipos no saben cómo funcionan los scripts de terceros en segundo plano, y hay decenas de ellos en un sitio web típico según la investigación de Web Almanac. Herramientas como plataformas de analítica, píxeles publicitarios, widgets de chat, scripts de pruebas A/B o bibliotecas de desarrollo se cargan desde dominios externos y pueden enviar datos personales a través de fronteras sin autorización.

Esos scripts de terceros cargan scripts de cuarta parte, que pueden cargar scripts de quinta parte, y así sucesivamente. Puede que hayas aprobado el script de terceros, pero eres invisible a todos los subprocesadores que hay más abajo en la cadena de suministro.


Los 'inventarios de proveedores' que viven en herramientas generales de cumplimiento son un buen punto de partida. Pero no monitorean la ejecución de código en el navegador. Hemos hablado con empresas que se dieron cuenta de que todavía tenían código activo procesando datos en su sitio web de proveedores que habían sido dados de baja meses atrás.


Crear un inventario manual de toda la recopilación de datos de terceros en tu sitio web implica:

  • Inspeccionar el código fuente de tu sitio en busca de fragmentos de código de terceros
  • Inspeccionar los gestores de etiquetas (como Google Tag Manager) en busca de rastreadores de datos ocultos
  • Repetir este proceso de forma continua a medida que se agregan, eliminan o actualizan nuevos scripts.

Las herramientas de seguridad web como cside automatizan este proceso con monitoreo continuo. Puedes comenzar con un escaneo gratuito de scripts de terceros en tu sitio web.

2. Entiende qué datos se transfieren en tu sitio

Identificación de qué datos recopilan los terceros (panel de cside)
Identificación de qué datos recopilan los terceros (panel de cside)

Una vez que conoces los puntos de recopilación de primera y tercera parte en tu sitio, el siguiente objetivo es entender qué datos recopilan y envían fuera del sitio.

  • Hay entradas obvias como nombres, direcciones de correo electrónico y números de teléfono.
  • Los scripts de terceros capturan silenciosamente identificadores como direcciones IP, cookies, IDs de sesión, detalles del dispositivo o metadatos de ubicación.
  • Los datos sensibles se introducen a través de flujos KYC (licencias de conducir, pasaportes) y los chatbots de soporte reciben imágenes de datos de cuentas de los clientes.

Algunos puntos de datos individuales son respetuosos con la privacidad, pero al combinarlos pueden calificar como datos personales bajo el GDPR y pueden considerarse una "compartición" bajo la CCPA (incluso si la intención era simplemente medir el sitio).

Por eso, cada flujo de datos debe vincularse a su categoría de base legal para cada marco normativo con el que estés cumpliendo.

Mapear los tipos de datos a la justificación legal es la forma en que las organizaciones demuestran responsabilidad durante las auditorías para las divulgaciones de "compartición" de la CCPA y responden a las preguntas regulatorias sobre los derechos de los interesados.

Tu inventario debería tener columnas con algo como esto:

Rastreador → Tipo de dato → Base legal

Con los datos sensibles debes extremar las precauciones. La información de salud, los datos de ubicación precisa, los identificadores biométricos o las opiniones políticas suelen requerir consentimiento explícito y salvaguardas más sólidas. Incluso la recopilación accidental puede generar obligaciones de cumplimiento, especialmente en sectores regulados como el sanitario.

3. Monitorea a dónde se envían los datos

Mapa visualizado de flujos de datos transfronterizos (panel de cside)
Mapa visualizado de flujos de datos transfronterizos (panel de cside)

Ahora necesitas visibilidad sobre a dónde van los datos una vez que salen del navegador del usuario. El código de primera y tercera parte enviará datos a dominios externos para su almacenamiento o procesamiento. Esos servidores externos pueden estar alojados en diferentes estados o países.

  • Tu formulario de pago captura el correo electrónico de un cliente en California, pero los servidores de tu proveedor de correo electrónico están en Frankfurt.
  • Un visitante en Londres carga tu página de inicio. Un script de analítica envía datos a servidores en EE. UU. o APAC. Acabas de desencadenar un flujo de datos internacional.

Estos destinos determinan si un flujo de datos se convierte en una transferencia transfronteriza con implicaciones regulatorias.

El Departamento de Justicia de EE. UU. restringe las grandes transferencias de datos personales sensibles a países de preocupación, que incluyen China, Rusia, Irán, Corea del Norte, Cuba y Venezuela.

Esto no es un ejercicio de revisión puntual. Los proveedores de terceros y los SDKs cambian su código con frecuencia o añaden nuevos subprocesadores. Una sola actualización puede redirigir los flujos de datos a un nuevo país sin previo aviso. Las obligaciones del Artículo 44 del GDPR y de la CCPA §1798.100 en materia de compartición y divulgación implican una responsabilidad continua de seguimiento del movimiento de datos.

Las comprobaciones manuales mediante las DevTools del navegador o herramientas de monitoreo de red como la pestaña "Network" de Chrome permiten ver al instante a dónde se enviaron las solicitudes. Sin embargo, esto se vuelve inmanejable debido a los cambios en scripts y dominios. Además, estas revisiones manuales solo muestran una instantánea rápida, lo que las hace insuficientes para la documentación de cumplimiento.

4. Documenta las transferencias transfronterizas para los requisitos regulatorios (GDPR y CCPA)

Cuando los reguladores preguntan cómo salen los datos personales de tu sitio web, esperan una respuesta documentada, no reconstruida a posteriori.

Bajo el GDPR, las transferencias transfronterizas están cubiertas explícitamente en los Artículos 44 al 50. Estos artículos obligan a las organizaciones a registrar a dónde se envían los datos, qué salvaguardas se aplican a esos datos y el mecanismo legal que respalda cada transferencia.

El Artículo 30 del GDPR (ROPAs) exige documentación sobre el movimiento de datos a terceros países u organizaciones internacionales.

El Artículo 28 del GDPR (obligaciones del procesador) requiere que los DPAs muestren:

  • Qué subprocesadores se utilizan
  • Dónde se procesan los datos
  • Cómo se gestionan las transferencias posteriores

Los DPAs reflejan lo que un proveedor afirma que es cierto. Sin el monitoreo de scripts de terceros, es imposible verificar que dichos scripts se comporten realmente de esa manera en tu sitio. Si un proveedor de terceros se ve comprometido en un ataque a la cadena de suministro, los DPAs serán ignorados y se producirá una recopilación excesiva de datos sin que tu equipo lo note.

La CCPA se centra en la transparencia; las empresas deben mostrar**:**

  • Qué terceros reciben datos personales
  • Si esos datos se consideran una venta o una compartición
  • Cómo se aplican los derechos del consumidor en esas divulgaciones

Cómo ayuda cside con el seguimiento de transferencias internacionales de datos

Panel de cside Privacy Watch - Cumplimiento de sitios web con GDPR, CCPA, HIPAA
Panel de cside Privacy Watch - Cumplimiento de sitios web con GDPR, CCPA, HIPAA

cside Privacy Watch monitorea cada script de terceros en tu sitio web en busca de riesgos de seguridad y violaciones de privacidad ocultas. Los ingenieros de seguridad web de cside se especializan en monitorear la ejecución de código en el navegador y desarrollaron Privacy Watch al darse cuenta de que el software de cumplimiento tradicional no detectaba los eventos de exfiltración de datos.

Como capa en el stack GRC empresarial, la plataforma de monitoreo de sitios web de cside te ayuda a:

  • Rastrear todos los puntos de recopilación de datos en tu sitio web (desde código de primera parte y proveedores de terceros)
  • Alertar cuando se cambian los destinos de los datos o cuando los proveedores recopilan nuevos datos
  • Detectar código malicioso inyectado en tu sitio que roba datos de usuarios (web skimming)
  • Identificar código de terceros mal configurado en tu sitio web que viola el cumplimiento de privacidad
  • Comparar el código activo del sitio web con los inventarios de proveedores en tus herramientas GRC para garantizar que los proveedores dados de baja no tengan código todavía presente en tu sitio

Otras buenas prácticas para la transferencia internacional de datos

Revisa las políticas de tus proveedores

Comienza con la política de privacidad y el DPA del proveedor. Busca:

  • Dónde se procesan los datos
  • Qué subprocesadores están involucrados
  • Qué salvaguardas tienen implementadas los procesadores

Asegúrate de verificar las políticas declaradas con lo que muestra el monitoreo técnico. Los scripts de terceros pueden comportarse de manera diferente a lo que indican los DPAs si hay configuraciones incorrectas o inyecciones de código malicioso. Puedes ver ejemplos de seguimiento de DPAs en nuestro blog cómo hacer que tu sitio web cumpla con el GDPR

Cifra los datos en tránsito y en almacenamiento

El cifrado es una salvaguarda importante cuando los datos personales se mueven a través de fronteras y entre herramientas como CRMs, almacenes de datos y APIs. Reduce la exposición si los datos son interceptados o accedidos por partes no autorizadas.

Un punto a tener en cuenta: el cifrado generalmente entra en acción después de que los datos enviados por un usuario (como un formulario) entran en el perímetro de la seguridad de tu red/API. Los datos pueden ser robados antes de entrar en este perímetro a través del web skimming.

Qué leyes exigen la documentación de transferencias internacionales de datos:

Marco normativo de privacidad Requisito / Artículo Qué exige
GDPR Artículos 44 al 50 (Transferencias a terceros países) Las transferencias fuera de la UE/EEE requieren salvaguardas aprobadas
GDPR Artículo 30 (ROPAs) Los responsables del tratamiento deben documentar los destinatarios en terceros países y las salvaguardas utilizadas
GDPR Artículo 28 (DPAs) Los DPAs deben definir los lugares de tratamiento y las transferencias posteriores a subprocesadores
CCPA / CPRA §1798.100 (Transparencia) Las empresas deben divulgar las categorías de información personal recopilada y compartida
Departamento de Justicia de EE. UU. Programa de Seguridad de Datos Restricciones a la transferencia internacional de datos a China, Rusia, Irán, Corea del Norte, Cuba y Venezuela
Juan Combariza
Growth Marketer

Researching & writing about client side security.

FAQ

Frequently Asked Questions

La transferencia internacional de datos ocurre cuando los datos de usuario recopilados en tu sitio web se envían a servidores en otro país. Esto suele involucrar scripts de terceros que pueden reenviar datos a subprocesadores adicionales, a veces denominados scripts de cuarta parte, creando una cadena de suministro de movimiento de datos que puede ser invisible para tu organización.

Comienza por identificar qué herramientas recopilan datos personales y a dónde los envían. Muchos sitios web dependen de scripts de terceros que transmiten información sin autorización explícita. Dado que los proveedores actualizan frecuentemente el código de sus scripts, el alcance de la recopilación de datos y el destino de las transferencias pueden cambiar de forma inesperada sin que tu equipo lo sepa.

Sí. Los scripts de terceros suelen enviar datos a servidores ubicados en otros países. Ejemplos comunes incluyen herramientas de analítica, píxeles publicitarios, widgets de chat y scripts de pruebas A/B, todos los cuales pueden iniciar flujos de datos transfronterizos.

Sí, pero el GDPR impone salvaguardas estrictas. Los artículos 44 al 50 establecen los requisitos para las transferencias internacionales de datos lícitas, incluyendo evaluaciones de riesgo de transferencia, salvaguardas adecuadas y documentación. Las empresas también deben mantener ROPAs y DPAs que especifiquen a dónde se envían los datos y qué procesadores o subprocesadores los gestionan.

Plataformas como cside Privacy Watch pueden rastrear la recopilación de datos de terceros, visualizar los flujos de datos transfronterizos y organizar los hallazgos en informes específicos por regulación. Las herramientas de mapeo de datos más amplias pueden proporcionar visibilidad adicional sobre las transferencias que ocurren en sistemas fuera de tu sitio web, como CRMs o almacenes de datos.

Puedes hacerlo manualmente usando las DevTools del navegador para inspeccionar las solicitudes salientes y luego realizando búsquedas de IP o de alojamiento para identificar el país del servidor. Alternativamente, puedes automatizar el proceso con una plataforma de monitoreo como cside Privacy Watch, que rastrea continuamente a dónde se envían los datos del sitio web y visualiza las transferencias transfronterizas en tiempo real.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo