¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Amazon CloudFront

¿Qué hace Amazon CloudFront?

Amazon CloudFront es la red de distribución de contenido (CDN) de Amazon Web Services. Distribuye contenido web desde el origen del operador a través de más de 450 puntos de presencia (POP) en todo el mundo, con amplia cobertura europea (Fráncfort, París, Dublín, Estocolmo, Milán). CloudFront no instala cookies de tracking por defecto y solo procesa los datos necesarios para la entrega (IP del visitante, User Agent, URL solicitada), pero es operado por Amazon Web Services Inc en EE. UU., sujeto al CLOUD Act, lo que obliga a recurrir a Cláusulas Contractuales Tipo, al Marco UE EE. UU. de Privacidad de Datos y a una evaluación de impacto de la transferencia documentada.

Qué es Amazon CloudFront y cómo funciona

Amazon CloudFront es la red de distribución de contenido (CDN) operada por Amazon Web Services Inc. Cachea y entrega contenido web (HTML, JavaScript, CSS, imágenes, vídeos, respuestas API) desde más de 450 puntos de presencia en todo el mundo. Cuando un visitante abre una web con CloudFront, la solicitud se enruta al POP más cercano, se sirve desde caché cuando es posible o se reenvía al origen del operador. CloudFront soporta terminación HTTPS, firma de solicitudes, restricciones geográficas, Lambda@Edge y una integración estrecha con otros servicios de AWS (S3, EC2, ALB, API Gateway, Shield, WAF).

Qué datos procesa CloudFront

CloudFront no instala cookies de tracking por defecto. Para atender una solicitud, procesa la IP del visitante, el User Agent, la URL solicitada, las cabeceras definidas por el operador, la región geográfica detectada por el POP y metadatos de tiempo. Los access logs de CloudFront pueden incluir la IP del visitante y la URL consultada. El operador puede almacenarlos en un bucket S3 de su elección (en región AWS UE si es necesario) y configurar CloudFront para anonimizar o truncar identificadores. Signed Cookies y Signed URLs se usan solo para contenido con acceso controlado y responden a una relación contractual entre el operador y el visitante.

RGPD, ePrivacy y CLOUD Act

Desde la perspectiva del visitante, CloudFront es infraestructura técnica que entrega el contenido solicitado: la base legal dominante es el artículo 6(1)(b) del RGPD (ejecución de un contrato) y el artículo 6(1)(f) (interés legítimo) para seguridad y rendimiento. No se requiere consentimiento para la función CDN según el artículo 5(3) de la Directiva ePrivacy, al ser estrictamente necesaria para el servicio. Sin embargo, CloudFront es operado por Amazon Web Services Inc, sociedad estadounidense sujeta a FISA 702 y al CLOUD Act, por lo que el uso debe tratarse como una transferencia conforme al capítulo V del RGPD con garantías documentadas.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias internacionales y residencia de datos en la UE

AWS facilita las Cláusulas Contractuales Tipo mediante el AWS GDPR Data Processing Addendum, está autocertificada en el Marco UE EE. UU. de Privacidad de Datos y ofrece el AWS Data Residency Add On (compromiso contractual de procesar los datos en regiones AWS seleccionadas). En CloudFront, los operadores europeos pueden restringir el origen y los buckets de logs a regiones AWS UE, pero los POP edge están en todos los continentes y el control plane se opera desde regiones AWS estadounidenses. EDPB y CNIL siguen considerando significativo el riesgo residual y exigen una evaluación de impacto de la transferencia.

Pasos prácticos de cumplimiento

Firme el AWS GDPR Data Processing Addendum, contrate el AWS Data Residency Add On si procede, restrinja el origen y los buckets de logs a regiones AWS UE y desactive las restricciones geográficas que fuercen tráfico hacia POPs estadounidenses. Documente el uso de CloudFront en el registro de actividades de tratamiento, declárelo en la política de privacidad como encargado y como destinatario de transferencia internacional y realice una evaluación de impacto de la transferencia. Para sectores de alto riesgo que requieran infraestructura estrictamente UE, evalúe CDNs alternativos como Bunny CDN, Fastly solo POPs UE, OVHcloud CDN, Scaleway Edge Services o nginx auto alojado en servidores UE.

GDPR consent category

Otros

Websites using Amazon CloudFront must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(b) GDPR (performance of a contract) when CloudFront serves the operator content that the visitor requests. Article 6(1)(f) GDPR (legitimate interest) for security, fraud prevention and performance optimisation. Consent is only required for any non essential cookies that the operator chooses to set through CloudFront.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, French CNIL guidance on CDN and third country transfers, German TTDSG, Spanish LSSI, Schrems II case law, US CLOUD Act, EU US Data Privacy Framework, AWS Data Residency Add On, AWS GDPR Data Processing Addendum

DPIA considerations

Una EIPD es recomendable cuando CloudFront entrega un sitio que trata volúmenes significativos de datos de visitantes del EEE, en particular en salud, finanzas o sector público. Debe documentar el AWS Data Processing Addendum, las Cláusulas Contractuales Tipo, el estado del Marco UE EE. UU. de Privacidad de Datos, el riesgo residual derivado del CLOUD Act y de FISA 702, el uso del AWS Data Residency Add On y las alternativas evaluadas (Bunny CDN, Fastly solo POPs UE, OVHcloud CDN, Scaleway Edge Services).

Sample consent text

Nuestro sitio se entrega a través de Amazon CloudFront, el CDN de Amazon Web Services. CloudFront cachea nuestro contenido público en servidores edge en todo el mundo y procesa su dirección IP y los metadatos de la solicitud para entregar las páginas con eficacia. CloudFront es operado por Amazon Web Services Inc en Estados Unidos bajo Cláusulas Contractuales Tipo y el Marco UE EE. UU. de Privacidad de Datos, con un anexo contractual de tratamiento de datos.

Technical details

Tracking methodAWS edge network distributing web content (HTML, JavaScript, CSS, images, videos) and proxying requests to the operator origin. No cookies are injected by default. The operator can use CloudFront Signed Cookies or Signed URLs for access controlled content and configure Lambda@Edge or CloudFront Functions to enrich or filter requests.

Server locationAmazon Web Services Inc operates CloudFront with more than 450 edge Points of Presence worldwide, including extensive EU coverage (Frankfurt, Paris, Dublin, Stockholm, Milan). Amazon Web Services EMEA SARL in Luxembourg acts as the contracting entity for EEA customers. The control plane and logs are operated from US AWS regions.

Cookieless tracking availableYes

Data transferred outside the EUCloudFront is operated by Amazon Web Services Inc (US) and Amazon Web Services EMEA SARL (Luxembourg). When a visitor accesses a CloudFront distribution, the request reaches the nearest edge Point of Presence, but logs, configuration and the control plane are processed on US infrastructure. AWS provides Standard Contractual Clauses, is self certified under the EU US Data Privacy Framework, and offers the AWS Data Residency Add On for additional contractual commitments. EDPB and CNIL still classify AWS access by US authorities (FISA 702, CLOUD Act) as a residual risk that must be documented in a transfer impact assessment.

Third-party domains contacted

cloudfront.netamazonaws.comawsstatic.com

Cookies placed

Name	Type	Duration	Purpose
CloudFront-Policy	http	Configurable	CloudFront Signed Cookie carrying the access policy for protected content. Strictly necessary to deliver the operator gated resource.
CloudFront-Signature	http	Configurable	CloudFront Signed Cookie carrying the policy signature used to authenticate the request to protected content.
CloudFront-Key-Pair-Id	http	Configurable	CloudFront Signed Cookie containing the AWS key pair identifier used to verify the Signed Cookie policy.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies instala CloudFront?

Ninguna por defecto. CloudFront es un CDN y no inyecta cookies de tracking. El operador puede configurar CloudFront Signed Cookies para contenido con acceso controlado (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id), estrictamente necesarias para el recurso protegido. Cualquier cookie instalada por el origen del operador se reenvía por CloudFront según el cache behaviour configurado.

¿Requiere consentimiento CloudFront?

No. La función CDN es estrictamente necesaria para entregar el contenido solicitado por el visitante, lo que entra en la exención del artículo 5(3) de la Directiva ePrivacy. El consentimiento solo es necesario para las cookies que el operador decide instalar a través de CloudFront y que sean en sí mismas no esenciales (analítica, publicidad, etc.).

¿Cuál es la base legal del uso de CloudFront?

La base legal es el artículo 6(1)(b) del RGPD (ejecución de un contrato) cuando CloudFront entrega el contenido del operador. El artículo 6(1)(f) (interés legítimo) cubre la seguridad, la prevención de fraude y la optimización del rendimiento. El uso de CloudFront como encargado debe figurar en el registro de actividades y en un contrato de encargo.

¿Transfiere CloudFront datos a Estados Unidos?

Sí en la práctica. Aun cuando el origen y los buckets de logs estén en regiones AWS UE, el control plane de CloudFront se opera desde regiones AWS estadounidenses y los POP edge cubren todos los continentes. AWS proporciona Cláusulas Contractuales Tipo mediante el AWS GDPR Data Processing Addendum, está autocertificada en el Marco UE EE. UU. de Privacidad de Datos y ofrece el AWS Data Residency Add On para compromisos contractuales reforzados.

¿Necesito una EIPD para CloudFront?

Es recomendable cuando CloudFront entrega un sitio con volúmenes significativos de datos del EEE y obligatoria en sectores regulados. La EIPD debe cubrir el AWS Data Processing Addendum, el estado del Marco UE EE. UU. de Privacidad de Datos, el riesgo residual derivado del CLOUD Act, el uso del AWS Data Residency Add On y las alternativas evaluadas (CDNs exclusivamente UE).

¿Cómo implemento CloudFront de forma conforme?

Firme el AWS GDPR Data Processing Addendum, restrinja el origen y los buckets de logs a regiones AWS UE, desactive las restricciones geográficas que fuercen tráfico hacia POPs estadounidenses y configure los access logs para anonimizar o truncar identificadores. Documente la relación de encargado en la política de privacidad y en el registro de actividades y realice una evaluación de impacto de la transferencia.

¿Qué alternativas más seguras hay a CloudFront?

Los CDNs basados en la UE incluyen Bunny CDN (Eslovenia), Fastly configurado solo con POPs UE, OVHcloud CDN (Francia), Scaleway Edge Services (Francia), Hetzner CDN, KeyCDN (Suiza) y nginx auto alojado en servidores UE. Los operadores europeos con requisitos de residencia estricta combinan a menudo un CDN UE con origen y almacenamiento exclusivamente en regiones UE.

¿Cómo actualizo mi política de cookies para CloudFront?

Documente CloudFront y Amazon Web Services como encargado para la entrega del sitio, mencione a Amazon Web Services Inc en Estados Unidos como destinatario bajo Cláusulas Contractuales Tipo y el Marco UE EE. UU. de Privacidad de Datos, aclare que CloudFront en sí mismo no instala cookies de tracking y enlace al AWS GDPR Data Processing Addendum y a la política de privacidad de AWS.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note