DSGVO iFrame para TYPO3

Incrustar vídeos de YouTube y Google Maps sin consentimiento es una infracción del RGPD con riesgo de sanción

Cada iFrame incrustado de un servicio externo transmite la dirección IP del visitante al proveedor del servicio incluso antes de que el visitante interactúe. Un vídeo de YouTube en la página de inicio envía la IP a Google al cargar la página, un mapa de Google Maps a Google, un widget de Facebook a Meta. Sin el consentimiento previo del visitante, eso constituye una infracción del RGPD (art. 6.1.a). Desde la sentencia del TJUE en el caso Planet49 (2019) y las resoluciones posteriores de la AEPD sobre banners de cookies, la situación jurídica es clara: las transmisiones de datos a terceros que no son técnicamente necesarias exigen consentimiento informado. udg_gdpr_iframe implementa la solución de dos clics para TYPO3: los iFrames solo se cargan tras un clic explícito del visitante. Un placeholder indica qué servicio se va a cargar y qué datos se transmitirán.

Los escenarios típicos afectan a YouTube, Google Maps e incrustaciones de redes sociales

El escenario más frecuente son los vídeos de YouTube en sitios corporativos. Una empresa muestra en su página de empleo un vídeo de captación. Sin solución de consentimiento, la página envía en cada visita la IP del visitante a Google. Con udg_gdpr_iframe, el visitante ve en lugar del vídeo un placeholder con imagen de previsualización, el aviso “Este vídeo está suministrado por YouTube. Al reproducirlo se transmitirán datos a Google” y un botón “Cargar vídeo”. Solo tras el clic se carga el iFrame y se reproduce el vídeo.

Un segundo escenario es el mapa de Google Maps en la página de contacto. El mapa de llegada es un elemento estándar, pero también un riesgo en materia de protección de datos. udg_gdpr_iframe muestra en su lugar una imagen estática del mapa (captura) como placeholder. Los visitantes que necesitan el mapa interactivo pulsan “Cargar mapa” y aceptan con ello la transmisión de datos a Google.

Tercer escenario: incrustaciones de redes sociales. Un artículo de blog cita un tuit o una publicación de Instagram. Esas incrustaciones también cargan recursos externos y transmiten datos del usuario. udg_gdpr_iframe bloquea la incrustación y muestra un placeholder que identifica el servicio y ofrece un texto de previsualización.

La arquitectura técnica sustituye los iFrames por placeholders con cargador JavaScript

La extensión registra un elemento de contenido o modifica los elementos existentes de TYPO3 que contienen iFrames. En el HTML, el atributo src del iFrame se sustituye por un atributo data-src. El navegador no carga el iFrame porque falta el atributo src. En su lugar, un div placeholder muestra el nombre del servicio, el aviso de protección de datos y un botón de activación.

Al pulsar el botón, un snippet JavaScript copia el data-src al atributo src y el navegador carga el iFrame. Opcionalmente, el visitante puede activar una casilla “Cargar siempre” que guarda su decisión en LocalStorage. En visitas posteriores, el iFrame se carga sin nueva interacción.

La presentación del placeholder es configurable mediante plantillas Fluid: imagen de previsualización (por ejemplo, el thumbnail de YouTube), texto, etiqueta del botón, enlace a la política de privacidad. Para vídeos de YouTube, la extensión puede obtener el thumbnail automáticamente desde la API de YouTube (sin iFrame, solo una petición de imagen).

La integración con plataformas de gestión de consentimiento existentes (CookieBot, OneTrust, Borlabs Cookie) es posible mediante la API JavaScript: si el visitante ha consentido en el banner la categoría “Marketing”, todos los iFrames de marketing se cargan automáticamente sin doble clic.

Los problemas habituales afectan a la detección de todos los iFrames y a la integración con el CMP

El mayor problema es detectar todos los iFrames del sitio de forma completa. Los redactores no solo incrustan iFrames en elementos de contenido, sino también directamente en el editor enriquecido (RTE), en plantillas Fluid y en TypoScript. La extensión debe cubrir todas las fuentes. Un error frecuente: los elementos de contenido están protegidos, pero un iFrame de YouTube en la plantilla del pie se sigue cargando sin consentimiento. La solución: tras la instalación, realizar un rastreo completo del sitio e identificar todas las fuentes de iFrame.

Segundo problema: la integración con el sistema de gestión de consentimiento. Si el sitio ya utiliza Borlabs Cookie o CookieBot, pueden aparecer conflictos: el CMP bloquea el iFrame con su propio mecanismo y udg_gdpr_iframe lo bloquea de nuevo. El resultado: placeholders dobles o un iFrame que no se carga ni siquiera tras el consentimiento del CMP. La solución: usar udg_gdpr_iframe o el CMP para el bloqueo de iFrames, pero no ambos.

Tercer tema: accesibilidad. El placeholder debe ser accesible por lectores de pantalla: el botón necesita un aria-label, el aviso de privacidad debe estar como texto (no como imagen) y la navegación por teclado debe funcionar.

TYPO3 v12 está soportado, la extensión sigue siendo relevante mientras existan los iFrames

udg_gdpr_iframe resuelve un problema que cobra más relevancia con cada nueva interpretación del RGPD. La extensión funciona de forma estable bajo TYPO3 v12. Para v13 hace falta actualizar el registro de elementos de contenido y el cargador JavaScript. Como la funcionalidad central (sustituir el src del iFrame por data-src) es técnicamente trivial, la extensión puede portarse a cualquier versión de TYPO3 con poco esfuerzo. En las auditorías de protección de datos, Gosign verifica la cobertura completa de iFrames y recomienda la solución que encaje con el sistema de gestión de consentimiento existente en el sitio.