¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Netlify

¿Qué hace Netlify?

Netlify es una plataforma en la nube que aloja sitios JAMstack, aplicaciones estáticas y serverless y las ejecuta en una red Edge global, con despliegue continuo integrado, funciones edge y gestión de formularios. Netlify está operada por Netlify Inc. en Estados Unidos. Desde la óptica del RGPD, Netlify actúa principalmente como encargado del tratamiento de alojamiento que trata las direcciones IP de los visitantes y los metadatos de la solicitud, y por defecto no instala cookies de marketing en el navegador.

Qué es Netlify y dónde encaja en una arquitectura web

Netlify es uno de los pioneros del alojamiento JAMstack. Construye un sitio desde un repositorio Git, distribuye los activos estáticos a través de su red Edge global, aloja funciones serverless y edge (Netlify Functions, Netlify Edge Functions) y ofrece servicios integrados para formularios, identidad y optimización de imágenes. Netlify se utiliza ampliamente para sitios Next.js, Gatsby, Hugo, Astro, Eleventy y Nuxt, tanto para páginas de marketing como para aplicaciones SaaS completas.

Qué datos trata Netlify

Netlify trata la dirección IP del visitante, la URL de la solicitud, el método HTTP, las cabeceras (User Agent, Referer, cookies reenviadas), los parámetros del handshake TLS, la geolocalización derivada y metadatos de ejecución cuando las Functions atienden la solicitud. Los registros de acceso y de funciones se conservan durante un plazo definido. Netlify Analytics, cuando se activa, lee datos de solicitudes agregados desde los servidores Edge sin instalar cookies en el navegador. Netlify Forms guarda las envíos en el panel para que el cliente los revise.

Implicaciones RGPD y ePrivacy

Las direcciones IP tratadas por Netlify son datos personales conforme al RGPD. Netlify actúa como encargado del tratamiento por cuenta del cliente y como responsable con fines limitados de explotación. El alojamiento puro y la distribución por CDN no escriben información en el dispositivo, por lo que no se activa la regla de consentimiento de ePrivacy y no se requiere consentimiento explícito para el propio alojamiento. Netlify Analytics es del lado del servidor y sin cookies, por lo que resulta compatible con el interés legítimo, aunque debe mencionarse en la política de privacidad. Netlify Identity, Netlify Forms y cualquier JavaScript personalizado cargado a través de Netlify pueden requerir su propia base jurídica.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias internacionales de datos

Netlify opera una red Edge global con puntos de presencia en Europa, pero el plano de control, el soporte al cliente y los datos de cuenta permanecen en Estados Unidos. Las transferencias se apoyan en el Anexo de Tratamiento de Netlify, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., con TLS 1.3, cifrado en reposo, SOC 2 Tipo II, ISO 27001 y controles HIPAA para clientes empresariales. Netlify Functions puede desplegarse en regiones de la UE para limitar el flujo de datos personales.

Pasos prácticos de cumplimiento

Firme el Anexo de Tratamiento de Netlify, documente Netlify como encargado del tratamiento en su registro de actividades, mencione a Netlify Inc., el destino estadounidense y las garantías CCT y DPF en la política de privacidad y configure una retención corta de los registros de acceso y de funciones. Despliegue Netlify Functions en regiones de la UE cuando sea posible, condicione cualquier script no esencial cargado a través de Netlify a una plataforma de gestión del consentimiento y revise las envíos de Netlify Forms para el tratamiento y la retención de datos personales.

GDPR consent category

Otros

Websites using Netlify must obtain user consent under GDPR regulations.

Legal basisLegitimate Interest (Art. 6(1)(f) GDPR) for hosting and content delivery; consent (Art. 6(1)(a) GDPR) only if Netlify Identity or third party trackers loaded through Netlify expose visitor personal data

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law), CCPA

DPIA considerations

No se requiere EIPD para un sitio de marketing o informativo típico en Netlify. Se recomienda una EIPD cuando la aplicación realiza perfilado sistemático, cuando Netlify Identity almacena datos de usuario autenticado, cuando los formularios recogen datos sensibles o cuando el sitio se dirige a sectores regulados como salud o servicios financieros.

Sample consent text

Este sitio se aloja en Netlify, una plataforma en la nube operada por Netlify Inc. (EE. UU.). Netlify enruta sus solicitudes a través de una red Edge global y trata su dirección IP y los metadatos de la solicitud. Al aceptar, autoriza esta transferencia a servidores de Netlify, incluido en Estados Unidos, amparada por las Cláusulas Contractuales Tipo de la UE y el Marco de Privacidad de Datos UE EE. UU.

Technical details

Tracking methodHosting platform: HTTP request routing through Netlify Edge Network; optional Netlify Analytics (server side, cookieless) and Netlify Functions (AWS Lambda based)

Server locationGlobal Edge Network operated by Netlify Inc. (San Francisco, USA) on top of AWS, with EU points of presence

Cookieless tracking availableYes

Data transferred outside the EUNetlify Inc. is established in the United States. Static assets are cached at edge locations worldwide and Netlify Functions execute on AWS Lambda in selected regions. Control plane, support and account data are operated from the United States. Transfers rely on the Netlify Data Processing Addendum, the EU Standard Contractual Clauses under Article 46(2)(c) GDPR and the EU US Data Privacy Framework.

Third-party domains contacted

netlify.comnetlify.appnetlifyusercontent.comnetlifycontent.com

Cookies placed

Name	Type	Duration	Purpose
_nf_uuid	Strictly necessary	1 year	Set on password protected Netlify previews. Stores a unique identifier so that the access check is not repeated on every navigation.
nf_jwt	Strictly necessary	Session or until logout	Stores the JSON Web Token issued by Netlify Identity or by Netlify access control for password protected previews.
_nf_identity_id	Functional (Netlify Identity)	1 year	Set when Netlify Identity is configured on the site. Stores a pseudonymous identifier for the authenticated user.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Netlify instala cookies en los dispositivos de los visitantes?

En un sitio público alojado en Netlify no se instalan cookies de marketing ni de analítica por defecto. Netlify puede instalar cookies estrictamente necesarias en previsualizaciones protegidas por contraseña (_nf_uuid, nf_jwt) y en el dominio de administración de Netlify. Netlify Identity, cuando se activa, instala una cookie de sesión (_nf_jwt) para usuarios autenticados.

¿Hace falta consentimiento para Netlify según RGPD y ePrivacy?

No se requiere consentimiento para el alojamiento y la distribución de contenido mediante Netlify, porque no se almacena ni se lee información en el dispositivo del visitante. El consentimiento es necesario cuando la aplicación alojada instala por sí misma cookies no esenciales, carga rastreadores de terceros o usa Netlify Identity para autenticación en un flujo de marketing público.

¿Cuál es la base jurídica del tratamiento mediante Netlify?

Para el alojamiento y la distribución por CDN, la base jurídica es el interés legítimo del artículo 6.1.f) del RGPD. Para Netlify Identity, la base jurídica es la ejecución del contrato con el usuario autenticado conforme al artículo 6.1.b) del RGPD. Netlify Analytics, al ser del lado del servidor y sin cookies, también se basa en el interés legítimo.

¿Cómo se protegen las transferencias a Estados Unidos?

Netlify firma las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD mediante su Anexo de Tratamiento y confirma su adhesión al Marco de Privacidad de Datos UE EE. UU. Como medidas adicionales se aplican TLS 1.3, cifrado en reposo, SOC 2 Tipo II, ISO 27001 y controles HIPAA para clientes empresariales, además de la opción de fijar Netlify Functions a regiones de la UE.

¿Hace falta una EIPD para Netlify?

No se requiere EIPD para un sitio de marketing estándar. Se recomienda una EIPD cuando Netlify aloja una aplicación con perfilado sistemático, cuando Netlify Identity gestiona grandes volúmenes de usuarios autenticados, cuando Netlify Forms recoge datos sensibles o cuando el sitio se dirige a sectores regulados.

¿Cómo desplegar Netlify conforme al RGPD?

Firme el Anexo de Tratamiento de Netlify, fije las funciones a regiones de la UE cuando sea posible, limite la retención de los registros de acceso y de funciones, documente Netlify como encargado del tratamiento en su registro de actividades, mencione a Netlify Inc. y el destino estadounidense en la política de privacidad y condicione todo script no esencial a una plataforma de gestión del consentimiento.

¿Cuáles son las alternativas europeas a Netlify?

Las alternativas europeas o autoalojables incluyen Cloudflare Pages con residencia de datos en la UE, Coolify (autoalojado, open source), Dokku (autoalojado), Scaleway Serverless (Francia), Clever Cloud (Francia), Web PaaS de OVHcloud (Francia) y Render con regiones de la UE. También es posible autoalojar un sitio estático en un clúster Kubernetes regional.

¿Cómo actualizar la política de cookies para Netlify?

Indique a Netlify Inc. como encargado del tratamiento para alojamiento, señale que el sitio público no carga cookies de Netlify, describa Netlify Analytics si está activado (lado servidor, sin cookies), advierta de que pueden transferirse datos, incluidas direcciones IP, a Estados Unidos al amparo de CCT y del Marco de Privacidad de Datos UE EE. UU. y enlace a la Política de Privacidad de Netlify.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note