¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Directus es un CMS headless de código abierto y una plataforma de datos que se apoya en cualquier base de datos SQL. Expone el contenido mediante API REST y GraphQL e incluye una interfaz de administración moderna. Directus puede auto alojarse en tu propia infraestructura (en la UE o donde elijas) o utilizarse a través de Directus Cloud, la oferta gestionada en Google Cloud Platform con elección de región. La versión auto alojada no coloca rastreadores de terceros y es una de las opciones de CMS más respetuosas con la privacidad para organizaciones que necesitan un control total sobre la residencia de los datos bajo el RGPD.
Directus es un CMS headless de código abierto y una plataforma de datos creada en 2004, hoy desarrollada por Monospace Inc. con equipos en Brooklyn (Estados Unidos) y Burdeos (Francia). Se conecta a cualquier base de datos SQL (PostgreSQL, MySQL, MariaDB, SQLite, MS SQL) y transforma las tablas existentes en una interfaz de administración completa con API REST y GraphQL. Directus se publica bajo una licencia Business Source que pasa a ser código abierto tras un plazo, y la mayoría de los equipos lo utilizan auto alojado en contenedores sobre su propia infraestructura. También existe una oferta gestionada llamada Directus Cloud en Google Cloud Platform, con elección de región de alojamiento incluida europe west.
Por defecto Directus sólo coloca cookies técnicas estrictamente necesarias para operar la interfaz de administración. Las principales cookies son directus_session_token (JWT de corta duración utilizado para autenticar al editor), directus_refresh_token (utilizado para emitir nuevos tokens de acceso, con una duración típica de 7 días) y directus_session_id (utilizado por la aplicación de administración para hacer seguimiento de la sesión). No hay cookies de analítica, publicidad ni rastreo de terceros incrustadas en el producto. Los visitantes públicos de un sitio construido sobre Directus no reciben ninguna cookie de Directus, ya que sólo consumen la API pública, que no requiere sesión de navegador.
Cuando auto alojas Directus, eres el único responsable y el único operador de los datos, lo que simplifica considerablemente el análisis RGPD: los datos permanecen en la base que tú elegiste, en la región que tú elegiste, con los proveedores que tú contrataste. Con Directus Cloud, Monospace Inc. actúa como encargado del tratamiento y Google Cloud como subencargado. Puedes seleccionar una región europea para mantener los datos en el EEE y apoyarte en las CCT de la UE para cualquier transferencia ulterior. Esta flexibilidad explica por qué Directus suele elegirse como alternativa amigable con el RGPD frente a los CMS SaaS estadounidenses.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Para despliegues auto alojados, la residencia depende por completo del lugar donde se ejecutan los contenedores y la base de datos. Muchos equipos despliegan Directus en proveedores europeos como Scaleway, OVHcloud, Clever Cloud, Hetzner o en las regiones europeas de AWS, Azure y Google Cloud. Para Directus Cloud, el cliente elige una región de Google Cloud al crear el proyecto, incluyendo europe west, adecuada para los compromisos de residencia de datos europeos. El almacenamiento de los archivos cargados puede redirigirse a cualquier bucket compatible con S3, lo que permite a los clientes europeos conservar los medios en almacenamiento de objetos sólo europeo incluso con Directus Cloud.
Directus suele combinarse con frontends modernos como Next.js, Nuxt, SvelteKit, Astro o Remix, que obtienen el contenido a través de la API REST o GraphQL en el momento del build o bajo demanda. Como el frontend no necesita sesión de Directus, los visitantes del sitio público nunca reciben cookies de Directus y no necesitan un banner de consentimiento para el CMS en sí. El banner sólo necesita cubrir las herramientas de analítica, publicidad o chat que el frontend pueda añadir encima.
Para mantener un Directus auto alojado conforme, documenta el proveedor de alojamiento y la región en tu registro de actividades de tratamiento, restringe el acceso de administrador mediante SSO o contraseñas fuertes más autenticación multifactor, habilita el control de acceso basado en roles para limitar quién puede leer datos personales, configura copias de seguridad con un período de retención adecuado y rota regularmente las claves secretas de administrador. Añade Directus y sus subencargados (alojamiento, almacenamiento de objetos, proveedor de correo) a tu política de privacidad y recuerda que las cookies de Directus son estrictamente necesarias: no requieren consentimiento previo, sólo una mención clara en la política de cookies.
Websites using Directus must obtain user consent under GDPR regulations.
DPIA considerations
Un Directus auto alojado rara vez requiere una EIPD por sí solo, ya que sólo gestiona la autenticación del back office y el contenido. No obstante, puede ser necesaria una EIPD cuando Directus almacena contenidos sensibles (art. 9 RGPD), alimenta un servicio público a gran escala o se combina con analítica, IA o módulos de marketing. Para Directus Cloud, documenta la región de alojamiento, el subencargado Google Cloud y el mecanismo de transferencia internacional (CCT y TIA) cuando se selecciona una región fuera del EEE.
Sample consent text
Directus se utiliza como back office para gestionar el contenido de este sitio. Sólo coloca cookies técnicas estrictamente necesarias para mantener la sesión de los editores y operar la interfaz de administración. Directus no coloca cookies de analítica ni de publicidad.
Third-party domains contacted
*.directus.appmarketing.directus.iodirectus.cloudCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| directus_session_token | HTTP cookie (first party) | Session (short lived JWT, typically 15 minutes) | Strictly necessary access token (JWT) used by the Directus admin interface to authenticate the signed in editor on each API request. |
| directus_refresh_token | HTTP cookie (first party) | 7 days (configurable) | Strictly necessary refresh token used by the Directus admin interface to obtain a new access token without forcing the editor to sign in again. |
| directus_session_id | HTTP cookie (first party) | Session | Strictly necessary identifier used by the Directus admin app to bind UI state and CSRF protection to the current authenticated session. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Directus sólo coloca cookies técnicas de sesión en la interfaz de administración: directus_session_token (JWT de corta duración utilizado para autenticar a los editores), directus_refresh_token (utilizado para emitir nuevos tokens de acceso, duración típica 7 días) y directus_session_id (utilizado por la aplicación de administración). Directus no coloca ninguna cookie de analítica, publicidad ni de terceros. Los usuarios finales de un sitio público que consume la API de Directus no reciben ninguna cookie de Directus.
No se requiere consentimiento previo para un Directus auto alojado porque las cookies que coloca son estrictamente necesarias para operar el back office según el art. 5(3) de la Directiva ePrivacy. Para Directus Cloud aplica el mismo razonamiento para las cookies, pero debes informar a los usuarios sobre el encargado (Monospace Inc.) y el subencargado (Google Cloud) en tu política de privacidad. Los visitantes del sitio público no se ven afectados porque nunca ven las cookies de Directus.
La base legal es la ejecución del contrato según el art. 6(1)(b) RGPD para la autenticación de los editores y la gestión de contenido, combinada con el interés legítimo según el art. 6(1)(f) RGPD para la seguridad, la supervisión y la operación. Cuando Directus almacena datos personales enviados por usuarios finales (formularios, comentarios, perfiles), el responsable debe identificar una base legal independiente para ese tratamiento, además de la utilizada para Directus en sí.
Un Directus auto alojado no transfiere datos por sí mismo; el responsable decide dónde se ejecutan la aplicación y la base de datos. Directus Cloud se ejecuta en Google Cloud Platform y permite al cliente elegir una región; seleccionar una región europea (por ejemplo europe west) mantiene los datos en el EEE. Si se selecciona una región estadounidense, las transferencias se rigen por las Cláusulas Contractuales Tipo según el art. 46(2)(c) RGPD y se requiere una Evaluación de Impacto de Transferencias.
Rara vez se requiere una EIPD por Directus en sí cuando sólo gestiona la autenticación del back office y contenidos editoriales ordinarios. Se vuelve necesaria cuando Directus almacena datos sensibles según el art. 9 RGPD, cuando alimenta un servicio público a gran escala o cuando se combina con módulos de analítica, IA o marketing que modifican el perfil de riesgo. Para Directus Cloud en una región estadounidense, la TIA sobre las transferencias internacionales debe documentarse en la EIPD.
Elige una región de alojamiento dentro del EEE (tu propio centro de datos, un proveedor europeo o europe west en Directus Cloud), habilita SSO o contraseñas fuertes con autenticación multifactor, restringe los roles al mínimo necesario, configura copias de seguridad de la base de datos con un período de retención adecuado, registra las acciones de administración, rota las claves secretas y añade Directus y todos sus subencargados a tu registro de actividades de tratamiento y a tu política de privacidad.
Otras opciones de CMS headless de código abierto que pueden auto alojarse en la UE son Strapi, Payload CMS y Keystone. Entre las alternativas gestionadas con opciones de alojamiento en la UE están Storyblok (CDN en la UE) e Hygraph (región UE). Sanity y Contentful están basados en Estados Unidos y requieren un análisis cuidadoso de las transferencias, mientras que WordPress sigue siendo la opción monolítica más común. Directus suele elegirse cuando los equipos desean un modelo headless sobre una base de datos SQL existente.
Sí, si Directus está expuesto a cualquier persona que acceda a la interfaz de administración. Lista las tres cookies de sesión (directus_session_token, directus_refresh_token, directus_session_id) en la categoría estrictamente necesarias, con su finalidad y duración aproximada, y explica que no están sujetas al consentimiento previo. Si el sitio público no utiliza la interfaz de administración y sólo consume la API del lado del servidor, no necesitas mencionarlas porque nunca se colocan en el navegador de los visitantes.