¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

AWS

¿Qué hace Amazon Web Services (AWS)?

Amazon Web Services es la principal plataforma de infraestructura cloud del mundo y ofrece computo, almacenamiento, distribucion de contenido (CloudFront), bases de datos, machine learning y cientos de servicios adicionales. Muchas webs europeas usan AWS a traves de CloudFront para los assets estaticos, S3 para almacenar medios, EC2 o Lambda para el hospedaje de la aplicacion, y CloudWatch o QuickSight para analitica. Como AWS lo opera Amazon Web Services Inc., una empresa bajo control estadounidense, todo despliegue europeo debe abordar las transferencias internacionales y documentar una base legal clara conforme al RGPD.

Que hace Amazon Web Services y como aparece AWS en una web

Amazon Web Services (AWS) es la principal plataforma cloud del mundo, operada por Amazon Web Services Inc., filial de Amazon.com Inc. registrada en Seattle, Washington. En una web europea AWS suele aparecer de tres formas: Amazon CloudFront entregando imagenes, scripts y HTML desde nodos perimetrales cercanos al visitante, Amazon S3 almacenando assets estaticos y medios subidos, y Amazon EC2 o AWS Lambda ejecutando el backend. Otras piezas como Amazon Cognito (autenticacion), Amazon Pinpoint (push, email), AWS WAF (filtrado de seguridad) o Amazon Rekognition (analisis de imagen) tambien pueden tratar datos personales.

Aun seleccionando una region europea, AWS sigue sujeto a la jurisdiccion estadounidense. El soporte ubicado en EE. UU. puede acceder a la infraestructura para resolver incidencias, IAM y la facturacion atraviesan endpoints globales, y algunos servicios gestionados replican metadatos entre regiones. Esta doble huella UE/EE. UU. es la pregunta central del RGPD para cualquier despliegue AWS.

Cookies y datos recopilados por AWS

AWS no instala cookies de marketing por si mismo. La capa de infraestructura coloca un numero reducido de cookies tecnicas, principalmente AWSALB y AWSALBCORS utilizadas por el Application Load Balancer para mantener una sesion en el mismo backend, AWSELB del antiguo Classic Load Balancer e identificadores similares cuando se habilitan sesiones persistentes. CloudFront no fija cookies por defecto pero procesa la direccion IP del visitante, la cabecera User-Agent, la URL solicitada y los metadatos TLS. Los registros pueden conservarse en buckets de Amazon S3 configurados por el editor.

Cuando se montan servicios superiores sobre AWS, como Amazon Pinpoint, AWS Personalize o Amazon Connect, se procesan identificadores y datos de perfil adicionales. El editor del sitio sigue siendo responsable del tratamiento y debe documentar cada cookie o entrada de almacenamiento local activada por componentes AWS.

Implicaciones RGPD y ePrivacy

Amazon Web Services Inc. actua como encargado del tratamiento cuando aloja una web europea, y el editor mantiene la responsabilidad. Es obligatorio firmar el DPA de AWS, disponible en el portal AWS Artifact. El DPA incorpora las clausulas contractuales tipo de la Comision Europea y el anexo del Reino Unido, lista los subencargados y describe medidas de seguridad alineadas con ISO 27001, ISO 27018, SOC 2 y el codigo de conducta cloud europeo.

Conforme a la Directiva ePrivacy traspuesta en cada Estado miembro (LSSI-CE en Espana, TTDSG en Alemania, LCEN en Francia), toda cookie o identificador no estrictamente necesario depositado a traves de un componente AWS requiere un consentimiento informado y libre antes del almacenamiento en el terminal del visitante. Las cookies de balanceo suelen considerarse estrictamente necesarias y quedan exentas, pero no las cookies analiticas, de personalizacion o publicitarias construidas sobre AWS.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias internacionales y EU-US Data Privacy Framework

Amazon Web Services Inc. esta certificada bajo el EU-US Data Privacy Framework, reconocido por la Comision Europea en la decision de adecuacion 2023/1795. Las transferencias desde la UE a AWS en EE. UU. cuentan asi con base de adecuacion, complementada con clausulas contractuales tipo para paises fuera del marco. Tras la sentencia Schrems II, se recomiendan medidas adicionales como claves de cifrado gestionadas por el cliente (AWS KMS con claves importadas), politicas IAM estrictas y evaluaciones de impacto de las transferencias.

Para cargas sensibles, los editores pueden fijar los servicios a regiones de la UE, activar AWS Nitro Enclaves y excluir contractualmente el acceso del soporte estadounidense mediante la futura AWS European Sovereign Cloud anunciada para la region de Brandeburgo.

Consentimiento y base legal

Para uso puramente infraestructural (hosting, cache CDN, filtrado de seguridad), el articulo 6.1.f del RGPD (interes legitimo) es la base habitual, apoyada en una evaluacion de interes legitimo documentada. Para cualquier funcionalidad AWS que perfile usuarios, ejecute analitica o alimente publicidad, es obligatorio un consentimiento previo recogido por una CMP conforme antes de toda llamada al SDK o pixel de AWS.

Pasos practicos de cumplimiento

Firmar el DPA de AWS, restringir las cargas a regiones UE siempre que el negocio lo permita, activar cifrado en reposo y en transito con claves del cliente, limitar los accesos IAM a roles nombrados, configurar la retencion de logs al minimo necesario, mencionar AWS y sus subencargados relevantes en la politica de privacidad, documentar la evaluacion de impacto de las transferencias e integrar cada cookie o pixel disparado por AWS en la CMP para que solo cargue tras un opt-in explicito cuando se requiera consentimiento.

GDPR consent category

Otros

Websites using Amazon Web Services (AWS) must obtain user consent under GDPR regulations.

Legal basisLegitimate interest under Article 6(1)(f) GDPR for core hosting and security (load balancers, CDN cache) when properly documented. Consent under Article 6(1)(a) is required when AWS components serve tracking, analytics or advertising features and store identifiers on the user device.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, EU-US Data Privacy Framework, Schrems II case law, German TTDSG / TDDDG, French Data Protection Act

DPIA considerations

Se recomienda una Evaluacion de Impacto en Proteccion de Datos (EIPD) cuando AWS aloja datos personales a gran escala, trata categorias especiales o combina CloudFront, AWS WAF y CloudWatch con identificadores de usuario. La EIPD debe abarcar la eleccion de region, el cifrado en reposo y en transito, los controles IAM, la lista de subencargados, los plazos de conservacion y el plan de respuesta ante solicitudes de acceso de autoridades estadounidenses.

Sample consent text

Utilizamos Amazon Web Services para alojar y entregar este sitio, incluida la distribucion mediante Amazon CloudFront. AWS puede instalar cookies tecnicas para balanceo de carga y procesar su direccion IP. Algunos flujos transitan por infraestructura estadounidense bajo el EU-US Data Privacy Framework y las clausulas contractuales tipo. Al pulsar Aceptar autoriza estos tratamientos para las funciones de analitica y personalizacion basadas en AWS.

Technical details

Tracking methodCloud infrastructure with session cookies for load balancing and content delivery

Server locationGlobal, multi-region, customer configurable. EU regions include Frankfurt, Ireland, Paris, Stockholm, Milan, Madrid and Zurich. US regions remain the default for many features.

Data transferred outside the EUOperated by Amazon Web Services Inc. (United States). Even when an EU region is selected, support access, billing data, IAM and several global services route through US infrastructure. Transfers rely on Standard Contractual Clauses and the EU-US Data Privacy Framework certification.

Third-party domains contacted

amazonaws.comcloudfront.netawsstatic.coms3.amazonaws.com

Cookies placed

Name	Type	Duration	Purpose
AWSALB	HTTP cookie	7 days	Application Load Balancer sticky session: keeps a visitor on the same backend instance during a session.
AWSALBCORS	HTTP cookie	7 days	Same as AWSALB but compatible with cross-origin requests using the SameSite=None attribute.
AWSELB	HTTP cookie	Session	Classic Load Balancer sticky session, legacy equivalent of AWSALB.
AWSELBCORS	HTTP cookie	Session	Classic Load Balancer sticky session in cross-origin context.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

Que cookies instala AWS en una web?

AWS solo coloca unas pocas cookies tecnicas. El Application Load Balancer puede establecer AWSALB y AWSALBCORS (7 dias) para mantener al visitante en el mismo backend, y el antiguo Classic Load Balancer usa AWSELB y AWSELBCORS. CloudFront no instala cookies por defecto, pero al activar signed cookies para contenido protegido puede guardar CloudFront-Key-Pair-Id y CloudFront-Policy. Servicios AWS de mas alto nivel como Pinpoint o Personalize fijan sus propios identificadores.

Se necesita consentimiento para usar AWS en mi web?

Para uso de infraestructura puro, como cache de CloudFront o un Application Load Balancer que mantiene la sesion, las cookies de balanceo suelen considerarse estrictamente necesarias y quedan exentas de consentimiento previo bajo la Directiva ePrivacy. El consentimiento es obligatorio en cuanto los componentes AWS sirven analitica, publicidad, personalizacion o perfilado.

Cual es la base legal para los tratamientos via AWS?

El interes legitimo del articulo 6.1.f del RGPD es la base mas habitual para alojamiento y seguridad, apoyada en una evaluacion de interes legitimo documentada. El consentimiento del articulo 6.1.a es necesario para marketing y perfilado. La necesidad contractual del articulo 6.1.b puede aplicar cuando AWS aloja un servicio al que el visitante se ha suscrito expresamente.

Transfiere AWS datos a Estados Unidos?

Si. Aun seleccionando region UE, el soporte, IAM y algunos servicios globales pueden acceder a los datos desde Estados Unidos. Amazon Web Services Inc. esta certificada bajo el EU-US Data Privacy Framework reconocido por la Comision Europea y AWS facilita clausulas contractuales tipo en su DPA. Tras Schrems II se recomiendan medidas adicionales como claves de cifrado gestionadas por el cliente.

Necesito una EIPD para usar AWS?

Se recomienda una Evaluacion de Impacto en Proteccion de Datos cuando AWS aloja datos personales a gran escala, trata categorias especiales o combina seguridad, distribucion de contenido y analitica vinculadas a identificadores de usuario. La EIPD debe documentar la eleccion de region, el cifrado, los controles IAM, la conservacion, los subencargados y la respuesta a solicitudes de autoridades estadounidenses.

Como desplegar AWS conforme al RGPD en una web europea?

Firmar el DPA de AWS en AWS Artifact, restringir las cargas a regiones UE cuando sea posible, activar cifrado en reposo y en transito con claves del cliente, limitar las politicas IAM a roles nombrados, conservar logs solo el tiempo necesario e integrar cada cookie o pixel disparado por AWS en la CMP para que cargue solo tras opt-in explicito cuando se requiera consentimiento.

Hay alternativas a AWS mas amigables con el RGPD?

Para CDN puro, Bunny CDN, KeyCDN y Scaleway Edge son europeos. Para almacenamiento de objetos, Scaleway, OVHcloud y Hetzner ofrecen servicios compatibles con S3 en regiones UE. Para computo y serverless, OVHcloud, Scaleway, Hetzner y la futura AWS European Sovereign Cloud son opciones. La alternativa adecuada depende de la carga, certificaciones requeridas y SLA.

Como actualizar la politica de cookies tras desplegar AWS?

Listar AWS como encargado en la politica de privacidad, nombrar CloudFront y cualquier otro servicio AWS en uso, describir las cookies tecnicas instaladas (AWSALB, AWSALBCORS, AWSELB), mencionar el EU-US Data Privacy Framework y el uso de clausulas contractuales tipo, enlazar el DPA de AWS y ofrecer un punto de contacto para las solicitudes de los interesados.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note