¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Amazon S3

¿Qué hace Amazon S3?

Amazon Simple Storage Service (S3) es el servicio de almacenamiento de objetos de Amazon Web Services. Guarda ficheros (imágenes, vídeos, documentos, copias de seguridad) en buckets y los sirve mediante HTTPS o como origen detrás de Amazon CloudFront. S3 no fija cookies en el navegador, pero transmite la IP del visitante a AWS, lo que plantea cuestiones RGPD sobre la región elegida, el contrato de encargo y el acceso por autoridades estadounidenses.

Qué es Amazon S3

Amazon Simple Storage Service (S3) es el servicio insignia de almacenamiento de objetos de Amazon Web Services. Ofrece buckets capaces de contener un número ilimitado de archivos (imágenes, vídeos, documentos, copias, datos de aplicación, conjuntos ML) y los sirve a través de endpoints HTTPS, URL prefirmadas, API REST o como origen tras Amazon CloudFront. S3 es un componente fundamental del web moderno: bibliotecas multimedia, copias de seguridad, sitios estáticos y subidas de CMS suelen acabar en un bucket S3. Desde el punto de vista de privacidad, S3 es interesante porque almacena o sirve datos personales sin fijar cookies de cliente.

Qué datos trata S3

S3 procesa los objetos almacenados y los metadatos de cada petición: dirección IP, método HTTP, clave de objeto, tamaño de respuesta, latencia y cabeceras personalizadas. Si se activan los Server Access Logs de S3 o AWS CloudTrail, esas trazas se guardan en otro bucket y pueden contener IPs consideradas datos personales. S3 no fija cookies en el navegador. Si el bucket está detrás de CloudFront, AWS conserva además registros de borde para seguridad y rendimiento.

Implicaciones RGPD y ePrivacy

S3 es un encargado en el sentido del artículo 28 RGPD cuando sirve contenido de un responsable. El AWS Data Processing Addendum es el contrato estándar, complementado con las cláusulas tipo UE incluidas en el GDPR DPA de AWS y la certificación de Amazon Web Services Inc. en el Marco de Privacidad de Datos UE EE. UU. La directiva ePrivacy no suele activarse porque S3 no escribe ni lee en el dispositivo más allá del caché HTTP estándar. Los puntos clave son la ubicación del almacenamiento, el régimen de acceso legal de la región y los logs con IPs.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Se requiere consentimiento

No, el simple hecho de servir un archivo desde S3 no exige consentimiento. El almacenamiento se ampara en interés legítimo o ejecución del contrato. El consentimiento entra en juego si el bucket aloja píxeles de rastreo, activos de marketing acoplados a analítica o scripts que requieren consentimiento por sí mismos. La discusión Schrems II pesa más cuando los buckets están en una región estadounidense: en ese caso el destinatario está en EE. UU. aunque no haya uso comercial, y la política debe reflejarlo.

Transferencias y acceso por autoridades de EE. UU.

AWS permite seleccionar la región para cada bucket. Una región de la UE sin replicación ni acceso cross región mantiene el almacenamiento en Europa. Sin embargo, Amazon Web Services Inc. es un responsable estadounidense y ciertas tareas de soporte o seguridad pueden realizarse desde EE. UU. Conforme a las recomendaciones del EDPB tras Schrems II, AWS publica una evaluación de impacto de transferencias para clientes europeos y ofrece el Marco de Privacidad de Datos como mecanismo de transferencia. El cifrado con claves gestionadas por el cliente (SSE C o KMS) añade una capa adicional de protección.

Pasos prácticos de cumplimiento

Elija una región UE para los buckets con datos personales, firme el DPA de AWS, active el cifrado en servidor (KMS para mayor control), restrinja accesos mediante IAM y S3 Block Public Access y reduzca la retención de los Server Access Logs. Documente el papel de Amazon Web Services EMEA SARL como entidad contractual UE. Mencione Amazon S3 y AWS en la política de privacidad con la región y el mecanismo de transferencia. Si necesita un bucket en EE. UU., realice y documente una evaluación de impacto de transferencias y valore cifrado en cliente.

GDPR consent category

Otros

Websites using Amazon S3 must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for delivering static assets to the visitor, contract (Art. 6(1)(b)) where S3 stores user files necessary to provide the service; consent (Art. 6(1)(a)) is only needed when S3 is used to host marketing assets coupled with tracking

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (limited, since S3 itself does not set cookies), DORA for regulated entities, EU US Data Privacy Framework, NIS2 for essential operators

DPIA considerations

Cuando S3 almacena o sirve datos personales (archivos de usuarios, documentos de clientes, fotos de perfil) conviene una EIPD si el volumen es alto, los datos son sensibles o el bucket está en una región no comunitaria. Documente región, configuración de cifrado, uso del DPA de AWS y los logs que capturan IPs.

Sample consent text

Alojamos ciertos archivos en Amazon S3 (Amazon Web Services). Al cargarlos se transmite tu dirección IP a la infraestructura de AWS, que puede incluir servidores ubicados o accesibles desde Estados Unidos. ¿Aceptas?

Technical details

Tracking methodObject storage HTTPS endpoint, accessed via direct URLs (s3.amazonaws.com or region specific endpoints), pre signed URLs, REST API, S3 SDK or as origin behind a CloudFront distribution. Optional S3 server access logs and AWS CloudTrail capture request metadata including IP address.

Server locationRegion selected by the customer; for EU customers the recommended regions are eu-central-1 (Frankfurt), eu-west-1 (Ireland), eu-west-3 (Paris), eu-north-1 (Stockholm) or eu-south-1 (Milan). When using S3 as origin behind CloudFront, edge caching can deliver content from servers worldwide.

Cookieless tracking availableYes

Data transferred outside the EUS3 itself does not transfer data to third countries when configured in an EU region for storage. However, the requesting visitor IP is processed by AWS edge infrastructure that may sit outside the EU, and AWS as a controller has access from the United States for support, security and government request handling. Amazon Web Services Inc. is certified under the EU US Data Privacy Framework and offers the AWS Data Processing Addendum with EU SCCs.

Third-party domains contacted

s3.amazonaws.coms3.eu-central-1.amazonaws.coms3.eu-west-1.amazonaws.coms3.eu-west-3.amazonaws.coms3.eu-north-1.amazonaws.coms3.dualstack.amazonaws.com<bucket>.s3.amazonaws.comcloudfront.net

Cookies placed

Name	Type	Duration	Purpose
No cookies set by S3 itself	none	N/A	Amazon S3 is a pure HTTPS object store and does not set browser cookies. When fronted by CloudFront with signed cookies, CloudFront cookies (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id) may be set; these are documented under the CloudFront service.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Amazon S3 fija cookies en los navegadores?

No. S3 es un servicio puro de almacenamiento de objetos sobre HTTPS y no fija cookies de cliente. Si S3 actúa como origen tras Amazon CloudFront, CloudFront sí puede fijar cookies técnicas si se usan signed cookies, pero el acceso directo a S3 no.

¿Se necesita consentimiento para servir archivos desde S3?

No como tal. Servir activos estáticos desde S3 es necesario para el funcionamiento del sitio y se apoya en interés legítimo o ejecución del contrato. El consentimiento solo aparece cuando los archivos servidos son píxeles de rastreo, contenido de marketing acoplado a medición o scripts que requieren consentimiento por sí mismos.

¿Cuál es la base jurídica para usar Amazon S3?

Interés legítimo (art. 6.1.f RGPD) para la entrega de activos del sitio, ejecución del contrato (art. 6.1.b) cuando S3 almacena archivos del usuario como parte del servicio y obligación legal (art. 6.1.c) para copias de seguridad contables. AWS actúa como encargado bajo el AWS Data Processing Addendum.

¿Existen transferencias a EE. UU. con S3?

Por defecto no si elige una región UE sin replicación cross región. Sin embargo, Amazon Web Services Inc. sigue siendo accesible desde EE. UU. para soporte, seguridad y solicitudes gubernamentales. El Marco de Privacidad de Datos UE EE. UU. y las cláusulas tipo de AWS cubren las transferencias residuales. Para buckets en regiones de EE. UU. la transferencia es directa y debe documentarse.

¿Necesito una EIPD para S3?

Para la entrega habitual de activos, no. Para almacenamiento a gran escala de datos personales (contenido de usuarios, documentos de clientes, datos sanitarios o financieros), realice una EIPD que cubra ubicación, cifrado, controles de acceso y logging, incluyendo el DPA de AWS, la configuración de KMS y las políticas de bucket.

¿Cómo integrar S3 cumpliendo la normativa?

Seleccione una región UE, firme el DPA RGPD de AWS, active el cifrado en servidor con KMS, bloquee los buckets con Block Public Access, restrinja el acceso mediante IAM y políticas de bucket, use S3 Object Lock para retención y reduzca el periodo de los Server Access Logs y CloudTrail a lo estrictamente necesario.

¿Cuáles son las alternativas a Amazon S3?

Servicios europeos de almacenamiento de objetos incluyen OVHcloud Object Storage, Scaleway Object Storage, IONOS S3 y Hetzner Storage Box. Ofrecen API compatible con S3 manteniendo los datos en la UE. Para necesidades de nube soberana en Francia, OVH SecNumCloud o Outscale.

¿Cómo describir a S3 en la política de privacidad?

Indique que utiliza Amazon S3 de Amazon Web Services EMEA SARL (Luxemburgo) como encargado, la región de almacenamiento, las categorías de datos (archivos de usuario, logs IP), el plazo de conservación y el mecanismo de transferencia (Marco de Privacidad de Datos y cláusulas tipo del DPA RGPD de AWS).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note