¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Contentful es un sistema de gestión de contenidos headless fundado en Berlín y utilizado por empresas de todo el mundo para distribuir contenido estructurado a sitios web, aplicaciones móviles y dispositivos conectados. Los redactores trabajan en la aplicación web de Contentful mientras que los desarrolladores consumen el contenido mediante APIs GraphQL o REST. Contentful actúa principalmente como un servicio backend, por lo que su huella de consentimiento en el navegador del visitante es mínima, pero la plataforma sigue tratando datos de los redactores y metadatos de contenido en su infraestructura europea o estadounidense.
Contentful es un sistema de gestión de contenidos headless con sede en Berlín que se ha convertido en una referencia de la categoría API first. Los redactores definen modelos de contenido, escriben entradas y referencian assets enriquecidos en la aplicación web de Contentful en app.contentful.com. Los desarrolladores consumen después los contenidos mediante la API GraphQL Content, la API REST Content Delivery o la API Preview y los renderizan en un frontend Next.js, Nuxt, Astro o nativo móvil. La capa CMS queda así detrás del sitio público y los visitantes solo interactúan con Contentful de forma indirecta.
Contentful almacena tres categorías de datos: información de cuenta del redactor (nombre, correo, organización, asignaciones de rol, claves de API), entradas de contenido y assets subidos por los redactores (incluidos datos personales incorporados deliberadamente, como fotos de autor o citas de testimonios) y telemetría operativa generada por las APIs de contenido. El frontend público no suele recibir cookies de Contentful, pero la aplicación de administración de app.contentful.com instala cookies de sesión, tokens anti CSRF y cookies analíticas limitadas (basadas en Segment) para la autenticación de redactores y la analítica de producto.
Contentful GmbH actúa como encargado del tratamiento para las entradas de contenido y las cuentas de redactor de sus clientes, y como responsable para fines limitados de cuenta, facturación y analítica de producto. Dado que el sitio público no carga scripts de Contentful en el navegador, en general no se activa la regla de consentimiento de ePrivacy para los usuarios finales. El interés legítimo del artículo 6.1.f) del RGPD constituye la base jurídica natural para la distribución backend de contenido. Los datos de redactor en app.contentful.com se tratan al amparo del Anexo de Tratamiento de Contentful y de la relación cliente.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los espacios de producción de Contentful pueden alojarse en AWS en eu-central-1 (Frankfurt), us-east-1 (Northern Virginia) o ap-southeast-1 (Singapur), con la CDN repartida por otras regiones. Incluso en espacios europeos, el personal de soporte y la infraestructura de monitorización en Estados Unidos pueden acceder a metadatos. Las transferencias se apoyan en el Anexo de Tratamiento de Contentful, las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD y el Marco de Privacidad de Datos UE EE. UU., complementados con TLS 1.3 en tránsito, cifrado en reposo, ISO 27001, SOC 2 Tipo II y controles HIPAA para clientes del sector sanitario.
Firme el Anexo de Tratamiento de Contentful, elija un espacio de producción en la UE cuando la residencia europea sea importante, configure el control de accesos y el Single Sign On para redactores y defina reglas de retención para versiones de contenido y assets subidos. Documente Contentful en su registro de actividades de tratamiento, mencione a Contentful GmbH y la región de alojamiento AWS en la política de privacidad y audite qué integraciones (Algolia, Segment, Salesforce, OpenAI) pueden reenviar datos de visitantes a través de los webhooks o app actions de Contentful.
Websites using Contentful must obtain user consent under GDPR regulations.
DPIA considerations
Por regla general no se requiere una EIPD para un sitio público que utilice Contentful para distribuir contenidos de marketing o de producto. Se recomienda una EIPD cuando Contentful se usa para gestionar contenidos personalizados vinculados a visitantes identificados, cuando da servicio a sectores regulados (servicios financieros, salud, sector público) o cuando integraciones con Adobe Real Time CDP, Segment o Salesforce inyectan datos personales en la capa de contenido.
Sample consent text
Este sitio está construido con Contentful, un CMS headless operado por Contentful GmbH (Alemania) sobre infraestructura AWS. Contentful trata los contenidos que aparecen en estas páginas. Contentful en sí no instala cookies de marketing ni de analítica. Las funcionalidades editoriales ligadas a su cuenta de administrador se rigen por un Anexo de Tratamiento independiente.
Third-party domains contacted
contentful.comapp.contentful.comcdn.contentful.compreview.contentful.comimages.ctfassets.netassets.ctfassets.netvideos.ctfassets.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _contentful_session | Strictly necessary (admin only) | Session | Set inside app.contentful.com for authenticated editors. Maintains the admin login session and is not present on public websites built with Contentful. |
| ajs_anonymous_id | Analytics (admin only, after consent) | 12 months | Set inside app.contentful.com when the Segment based product analytics is loaded. Used to attribute editor actions to a pseudonymous user. Not present on the public website. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. En un sitio público construido con Contentful, los contenidos se renderizan en servidor o en el momento del build y el navegador del visitante no carga scripts de Contentful. Contentful solo instala cookies dentro de app.contentful.com (la administración de redacción) para autenticación, protección anti CSRF y analítica de producto limitada.
Para un uso headless estándar (renderizado en servidor, generación estática o llamadas a la API en backend) no se requiere consentimiento del visitante porque no se almacena ni se lee información en el terminal. El consentimiento es necesario cuando Contentful se combina con experimentos, personalización o scripts analíticos que almacenan identificadores en el navegador.
Para la distribución de contenido desde el backend, la base jurídica es el interés legítimo del artículo 6.1.f) del RGPD. Para las cuentas de redactor y el soporte al cliente, el tratamiento se ampara en la ejecución del contrato cliente conforme al artículo 6.1.b) del RGPD y en el Anexo de Tratamiento de Contentful. Los datos personales incorporados deliberadamente en las entradas heredan la base jurídica elegida por el cliente editor.
Contentful firma las Cláusulas Contractuales Tipo de la UE conforme al artículo 46.2.c) del RGPD mediante su Anexo de Tratamiento, confirma su adhesión al Marco de Privacidad de Datos UE EE. UU. y ofrece espacios de producción alojados en AWS eu-central-1. Como medidas adicionales se aplican TLS 1.3, cifrado en reposo, ISO 27001, SOC 2 Tipo II, controles HIPAA y acceso muy restringido a los datos de cliente.
No es necesaria una EIPD para un sitio informativo o de marketing típico. Se recomienda una EIPD cuando Contentful se usa para distribuir contenidos personalizados a visitantes identificados, cuando el cliente pertenece a un sector regulado (servicios financieros, salud, sector público) o cuando las integraciones propagan datos personales a sistemas de terceros mediante webhooks o app actions.
Firme el Anexo de Tratamiento de Contentful, elija un espacio de producción en la UE cuando se exija residencia europea, habilite Single Sign On para redactores, configure roles granulares y registros de auditoría, defina reglas de retención para versiones de contenido y assets, documente Contentful como encargado del tratamiento en su registro de actividades y revise cada integración que salga de la UE.
Las alternativas europeas o autoalojadas incluyen Storyblok (Austria), Hygraph (Berlín), Sanity (Noruega, entrega en EE. UU.), Strapi (Francia, autoalojado o Strapi Cloud), Payload CMS (open source, autoalojado), Directus (open source, autoalojado) y Magnolia (Suiza). La elección depende de las necesidades de modelado de contenido, los requisitos de residencia en la UE y la experiencia de desarrollo.
Indique a Contentful GmbH como encargado del tratamiento de la infraestructura de distribución de contenido, señale que el sitio público no carga cookies de Contentful en el navegador del visitante, mencione que la administración (app.contentful.com) instala sus propias cookies para administradores autenticados y enlace a la declaración de privacidad de Contentful. Normalmente no es necesaria una entrada de cookies para los usuarios finales.