¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Fastly es una plataforma edge cloud que ofrece CDN global, optimización de imágenes, analítica en tiempo real y computación en el borde. Como CDN, Fastly intermedia el tráfico entre usuarios y servidores de origen, acelera la entrega y refuerza la seguridad. Por defecto Fastly no instala cookies en el cliente, lo que simplifica su postura RGPD. El registro de direcciones IP y metadatos de petición sigue siendo un tratamiento de datos personales que debe documentarse.
Fastly es una plataforma edge cloud con sede en Estados Unidos, cotizada en la Bolsa de Nueva York bajo el símbolo FSLY. Opera una red mundial de puntos de presencia que actúan como reverse proxies entre los usuarios finales y los servidores de origen. Cuando un visitante solicita un recurso, el nodo Fastly más cercano sirve la respuesta en caché o la recupera del origen, acelerando la entrega y absorbiendo picos de tráfico. Fastly también ofrece optimización de imágenes, analítica en tiempo real, Compute@Edge para ejecutar código serverless y un firewall de aplicaciones de nueva generación.
Por defecto Fastly no instala cookies de primera ni de terceras partes en el navegador del visitante. Funciona como una infraestructura transparente que intermedia las peticiones y respuestas HTTP. Según el artículo 5(3) de la Directiva ePrivacy, el consentimiento solo se exige cuando un servicio almacena o accede a información en el terminal del usuario, algo que Fastly no hace por sí mismo. El tratamiento de IPs y cabeceras necesario para entregar contenido y prevenir abusos se ampara en el interés legítimo del artículo 6(1)(f) del RGPD, aplicándose la exención de cookies estrictamente necesarias a las posibles cookies de afinidad de sesión.
Incluso sin cookies, Fastly trata necesariamente metadatos de conexión para prestar el servicio. Esto incluye direcciones IP, cadenas user agent, URLs solicitadas, cabeceras referer, huellas TLS y códigos de respuesta. Los registros pueden conservarse con fines de seguridad y soporte operativo. Si el origen establece cookies, Fastly las propaga sin crearlas. Los clientes pueden configurar Fastly para enriquecer logs, hashear IPs o eliminar cabeceras sensibles en el edge.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Fastly es un responsable estadounidense con infraestructura en Europa, Asia, América y Oceanía. El tráfico de visitantes europeos puede transitar por nodos europeos, pero los datos del plano de gestión y el soporte alcanzan Estados Unidos. Las transferencias se rigen por las Cláusulas Contractuales Tipo incluidas en el anexo de tratamiento de Fastly y, cuando Fastly se autocertifica, por el Data Privacy Framework UE EE.UU. Los responsables deberían realizar una evaluación de impacto de transferencias y documentar medidas complementarias como TLS y controles de acceso.
Firme el anexo de tratamiento de Fastly, mencione a Fastly en su política de privacidad como encargado para entrega de contenido, documente la evaluación de interés legítimo y limite la conservación de logs al mínimo necesario. Pseudonimice o trunque las direcciones IP en los registros a largo plazo cuando sea posible. Evite combinar Fastly con funciones de analítica o gestión de etiquetas que lo conviertan en tecnología de rastreo. Revise periódicamente la configuración para confirmar que no se introducen cookies inesperadas a través de Compute@Edge.
Si entrega zonas autenticadas, flujos de pago o contenidos de salud a través de Fastly, el volumen y la sensibilidad de los datos crecen. En esos casos realice una EIPD, restrinja el logging del edge, habilite TLS extremo a extremo, configure shielding para mantener el tráfico en PoPs europeos cuando sea factible y documente la cadena de subencargados. Para contenido público, la postura CDN estándar sigue siendo de bajo riesgo.
Websites using Fastly must obtain user consent under GDPR regulations.
DPIA considerations
No suele ser necesaria una EIPD completa para un uso estrictamente CDN de Fastly, ya que el tratamiento se limita a la entrega, el caché y la seguridad. Se recomienda mantener un registro de actividades del artículo 30 y una evaluación de impacto de las transferencias a los puntos de presencia estadounidenses. Si Fastly procesa cargas sensibles, sesiones autenticadas o registros enriquecidos con identificadores de usuario, deberá realizarse una EIPD.
Sample consent text
No se requiere normalmente un banner de consentimiento previo para Fastly porque el servicio actúa como red de entrega de contenido estrictamente necesaria para servir el contenido solicitado y garantizar la seguridad. La base jurídica es el interés legítimo del artículo 6(1)(f) del RGPD. Debe informarse a los usuarios en la política de privacidad de que Fastly trata metadatos de conexión como direcciones IP y cabeceras de petición y de que parte del tráfico puede transitar por nodos estadounidenses bajo garantías adecuadas.
Third-party domains contacted
fastly.comfastly.netfastlylb.netglobal.ssl.fastly.neta.ssl.fastly.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| (none) | Not applicable | Not applicable | Fastly operates as a content delivery network and reverse proxy. By default it does not set first party or third party cookies on the visitor's browser. Any cookies observed in responses are set by the origin server or by application code, not by Fastly itself. |
| Fastly-Debug-* | Debug header, not a cookie | Per request | Fastly may emit response headers such as Fastly-Debug-Path or Fastly-Debug-Digest for diagnostic purposes when explicitly enabled. These are HTTP headers, not browser cookies, and they do not persist between requests. |
| fastly-session | Strictly necessary (optional, configured) | Session | Some implementations configure a session affinity cookie at the edge to keep a visitor pinned to the same backend during a session. Where used, it is strictly necessary for service routing and is exempt from consent under the ePrivacy Directive. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Fastly no suele instalar cookies en el navegador del visitante. Funciona como red de entrega de contenido y reverse proxy, intermediando el tráfico HTTP sin inyectar identificadores en el cliente. Si observa cookies en la respuesta, casi siempre las establece el servidor de origen, su propia aplicación o una lógica Compute@Edge que haya configurado. Una posible excepción es una cookie de afinidad de sesión usada únicamente para enrutar a un backend coherente, que se considera estrictamente necesaria según la Directiva ePrivacy.
Usado estrictamente como CDN, Fastly no requiere consentimiento previo. El artículo 5(3) de la Directiva ePrivacy solo exige consentimiento cuando se almacena información en el dispositivo o se accede a ella, algo que Fastly no hace por defecto. El tratamiento de IPs y cabeceras necesario para la entrega y la seguridad se ampara en el interés legítimo del artículo 6(1)(f) del RGPD. Mencione Fastly en la política de privacidad y documente la evaluación de interés legítimo.
La base más habitual es el interés legítimo del artículo 6(1)(f) del RGPD, justificado por la necesidad de entregar contenido con eficacia, proteger frente a ataques y asegurar la disponibilidad. Cuando Fastly resulta esencial para la ejecución de un contrato, por ejemplo al servir una plataforma de comercio electrónico elegida por el usuario, también puede aplicarse el artículo 6(1)(b) sobre necesidad contractual. Ambas bases deben documentarse en el registro de actividades de tratamiento.
Sí. Fastly tiene su sede en San Francisco y opera puntos de presencia en todo el mundo. El tráfico de visitantes europeos puede servirse desde PoPs europeos, pero el plano de gestión, el soporte y ciertos análisis alcanzan Estados Unidos. Las transferencias se basan en las Cláusulas Contractuales Tipo del anexo de tratamiento de Fastly y, cuando Fastly se autocertifica, en el Data Privacy Framework UE EE.UU. Se recomienda una evaluación de impacto de transferencias.
No suele ser necesaria una EIPD específica cuando Fastly se usa solo para cachear y proteger contenido público. Una EIPD resulta apropiada cuando Fastly trata áreas autenticadas, flujos de pago, datos de salud, registros a gran escala con identificadores de usuario o cuando Compute@Edge procesa cargas más allá de la simple entrega. Aun sin EIPD, documente el tratamiento en su registro del artículo 30 y realice una evaluación de impacto de transferencias.
Firme el anexo de tratamiento de Fastly, indique a Fastly como encargado en su política de privacidad, configure una retención de logs corta, pseudonimice o trunque las IPs cuando sea viable y evite mezclar el CDN con funciones de rastreo. Habilite TLS hacia el origen, utilice shielding para mantener el tráfico europeo en PoPs de la UE cuando sea posible y revise el código Compute@Edge para asegurarse de que no se introducen cookies o llamadas a terceros inesperadas.
Entre las alternativas habituales están Cloudflare, Akamai, Amazon CloudFront, Google Cloud CDN, Microsoft Azure Front Door y proveedores europeos como BunnyCDN, Gcore, OVHcloud o Scaleway Edge Services. La elección depende de las necesidades de rendimiento, la tolerancia a las transferencias a EE.UU., la madurez de las funciones de edge compute y las relaciones cloud existentes. La mayoría de los CDNs comparten un perfil de bajo riesgo cuando se usan estrictamente para entrega.
Aunque Fastly no instale cookies, la transparencia se beneficia de mencionarlo explícitamente. Añada un párrafo en la política de privacidad presentando a Fastly como encargado para entrega y seguridad, explicando que los metadatos de conexión como las direcciones IP se tratan bajo interés legítimo, describiendo el alcance geográfico de los nodos edge y remitiendo a las CCT y al DPF que rigen las transferencias. Si se usa una cookie de enrutamiento de sesión, indíquela en la categoría estrictamente necesaria.