¿Es n8n conforme al RGPD? El alojamiento propio marca la diferencia
n8n puede funcionar de forma conforme al RGPD, pero no lo es automáticamente. Qué distingue la nube del alojamiento propio y dónde los flujos de trabajo pierden datos.
En cuanto por sus flujos de trabajo de n8n circulan datos de clientes, nombres, direcciones de correo electrónico, importes de facturas, a veces candidaturas, la pregunta aterriza sobre su mesa: ¿es n8n conforme al RGPD? La respuesta corta: n8n puede operarse de forma conforme al RGPD, pero no lo es por sí solo. El RGPD evalúa la operación y los flujos de trabajo, no la herramienta, por eso decide su configuración y no el software por sí solo.
Por cierto, debería aclararlo antes de que el primer flujo de trabajo entre en producción, no después. Tres cosas son decisivas: dónde se ejecuta n8n, a qué servicios se conectan sus flujos de trabajo y qué ocurre con los datos de ejecución. El alojamiento propio en un servidor en Alemania es el camino más directo hacia la plena soberanía de los datos, pero no resuelve todas las cuestiones.
Por qué «conforme al RGPD» no es una propiedad de un software
El RGPD regula actividades de tratamiento, no productos, por eso ningún fabricante puede afirmar con seriedad que su software sea conforme al RGPD en general. Como empresa, usted sigue siendo responsable del tratamiento de los datos. Un flujo de trabajo de n8n que envía datos de clientes a un servicio estadounidense sin preguntar infringe el RGPD en el mismo servidor en el que un flujo de trabajo bien construido se ejecuta sin ningún problema. Así pues, la pregunta no es «¿es n8n conforme?», sino «¿es conforme mi configuración de n8n, incluidos los flujos de trabajo?». Esto no es un juego de palabras, sino la razón por la que la decisión de alojamiento y el diseño de los flujos de trabajo deben considerarse por separado.
n8n Cloud: empresa alemana, servidores en la UE, proveedor de nube estadounidense
Según la página de seguridad oficial de n8n (a fecha de julio de 2026), n8n Cloud almacena los datos de los clientes en la infraestructura de Microsoft Azure en la Unión Europea, y la página de precios indica Fráncfort como ubicación. Detrás del producto está n8n GmbH, con sede en Berlín, es decir, una empresa alemana. n8n pone a disposición un contrato de encargo del tratamiento (DPA, en alemán AVV) para su firma, incluidas las cláusulas contractuales tipo de la UE y una lista pública de los subencargados. Es una base sólida para muchas pymes.
El punto que debería conocer: Azure pertenece a Microsoft, un grupo estadounidense. Incluso con almacenamiento en Fráncfort, un proveedor estadounidense permanece así en la cadena. Para la mayoría de los datos empresariales esto es asumible con un DPA y cláusulas contractuales tipo; para datos especialmente sensibles, por ejemplo en profesionales sujetos a secreto o en el ámbito sanitario, se convierte en un punto de debate con el delegado de protección de datos. Ningún software le libra de esa valoración, y este artículo no sustituye al asesoramiento jurídico.
Alojamiento propio: sus datos permanecen en su servidor
Con el alojamiento propio, n8n se ejecuta en un servidor que usted controla, y los datos personales de sus flujos de trabajo no salen de su infraestructura mientras los flujos no se conecten a servicios externos. La Community Edition puede utilizarse sin coste de licencia y ejecutarse mediante Docker en un servidor de un proveedor de alojamiento alemán. Entonces solo necesita un DPA con el proveedor de alojamiento, no con n8n en sí, porque n8n no tiene acceso a su instancia. Exactamente esta configuración es la que construimos por defecto en NordFlux: n8n en un servidor en Alemania, con actualizaciones, copias de seguridad y monitorización, para que la operación no acabe recayendo sobre usted.
Con toda honestidad: el alojamiento propio traslada a usted la responsabilidad de la seguridad. Un servidor de n8n sin parches con un acceso abierto es un riesgo de protección de datos mayor que cualquier nube operada con seriedad. Quien no tenga a nadie internamente para el mantenimiento del servidor debería ceder la operación a un proveedor de servicios o elegir conscientemente la variante en la nube con DPA.
Que n8n funcione de forma conforme al RGPD no lo decide el software, sino su configuración. El alojamiento propio en Alemania resuelve la cuestión del alojamiento. La cuestión de adónde envían datos sus flujos de trabajo solo la resuelve un diseño limpio de los flujos de trabajo.
Tres trampas de protección de datos en el diseño de flujos de trabajo
La mayoría de los problemas de protección de datos con n8n no surgen en el alojamiento, sino en los propios flujos de trabajo. Tres patrones se repiten una y otra vez en la práctica:
- Nodos de IA: en cuanto un flujo de trabajo envía datos de clientes a un modelo de IA como OpenAI o Anthropic, ese proveedor trata los datos. Entonces necesita un DPA con el proveedor de IA, la exclusión del entrenamiento del modelo y, en la medida de lo posible, minimización de datos antes del nodo.
- Nodos de terceros hacia servicios estadounidenses: Google Sheets, Slack o Airtable como destino de un flujo de trabajo significan una transferencia a un tercer país. El servidor autoalojado sirve de poco si el flujo de trabajo copia después los datos a una hoja de cálculo estadounidense.
- Registros de ejecución: por defecto, n8n guarda los datos de entrada y de salida de cada ejecución de flujo de trabajo. Sin un periodo de conservación limitado, allí se acumulan datos personales en los que ya nadie piensa.
En especial la conexión con la IA merece una mirada atenta, porque allí suelen circular conjuntos de datos completos aunque el modelo solo necesite dos campos. Cómo integrar servicios de IA de forma conforme a la protección de datos en general, desde la elección del proveedor hasta el DPA, se describe en detalle en nuestro artículo sobre la IA conforme al RGPD en la empresa.
Operar n8n de forma conforme al RGPD: así es una configuración limpia
Una configuración de n8n sólida para pymes se compone de cuatro elementos: un servidor de un proveedor de alojamiento alemán o europeo con un DPA firmado, control de acceso con cuentas personales y autenticación de dos factores, una regla de eliminación para los datos de ejecución (n8n puede limpiar automáticamente los datos de ejecución antiguos) y minimización de datos en cada flujo de trabajo que se dirija a servicios externos. A ello pertenece incluir los flujos de trabajo en el registro de actividades de tratamiento, para que su delegado de protección de datos sepa qué se ha automatizado. Suena a papeleo, pero está resuelto en uno o dos días laborables y después solo hay que mantenerlo.
El esfuerzo vale doble: una configuración documentada acelera cualquier ampliación posterior, porque las cuestiones de fondo están resueltas y los nuevos flujos de trabajo solo tienen que comprobarse frente a las reglas existentes.
Preguntas frecuentes
¿Se puede usar n8n Cloud de forma conforme al RGPD?
Sí, para muchos casos de uso. n8n ofrece un DPA con cláusulas contractuales tipo de la UE, y según n8n los datos se encuentran en servidores de Azure en la UE. Queda por valorar que, con Microsoft, un proveedor estadounidense aporta la infraestructura. Con datos sensibles debería aclararlo con su delegado de protección de datos.
¿Necesito un DPA con n8n en el alojamiento propio?
No. Con una instancia autoalojada, n8n no trata ningún dato por usted, el software se ejecuta por completo en su servidor. En su lugar, necesita un DPA con el proveedor de alojamiento en cuyo servidor se ejecuta la instancia, salvo que opere su propio servidor internamente.
¿Puedo usar nodos de IA como OpenAI en flujos de trabajo de n8n?
En principio sí, si se cumplen las condiciones marco: un DPA con el proveedor de IA, la exclusión de los datos del entrenamiento del modelo y transmitir solo los campos que el modelo realmente necesita. Quien quiera evitar las transferencias a terceros países puede recurrir a proveedores europeos o a modelos operados localmente.
¿Cuánto cuesta n8n en el alojamiento propio?
La Community Edition no tiene coste de licencia, usted paga el servidor y la operación, es decir, actualizaciones, copias de seguridad y monitorización. Para configuraciones más pequeñas basta con un sencillo servidor en la nube de un proveedor de alojamiento alemán. Sin embargo, el cálculo honesto incluye también el tiempo de trabajo para el mantenimiento, internamente o a través de un proveedor de servicios.
¿El alojamiento propio hace que n8n sea automáticamente conforme al RGPD?
No. El alojamiento propio solo aclara dónde se ejecuta el software y quién tiene acceso a la instancia. Que el tratamiento sea conforme depende además de a qué servicios se conectan sus flujos de trabajo, durante cuánto tiempo se almacenan los datos de ejecución y de si existe una base legal para el tratamiento.
NordFlux UG (haftungsbeschränkt)
NordFlux crea empleados digitales para las organizaciones: automatizaciones y agentes KI que asumen el trabajo repetitivo. Usted mantiene el control.
¿Quiere que n8n funcione de forma limpia en cuanto a protección de datos en su empresa?
En el análisis inicial gratuito revisamos sus procesos y le decimos con honestidad si n8n encaja y cómo es una configuración con soberanía de datos en Alemania.
- n8n en un servidor en Alemania, usted mantiene el control
- Diseño de flujos de trabajo con minimización de datos en lugar de fuga de datos
- Una persona de contacto fija, sin centro de llamadas