¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Drupal es un sistema de gestión de contenidos de código abierto que utilizan administraciones públicas, grandes empresas y medios de comunicación europeos. Coloca cookies de sesión y seguridad de origen propio, además de las cookies que añadan los módulos contribuidos como Google Analytics, reCAPTCHA o las integraciones sociales.
Drupal es un sistema de gestión de contenidos de código abierto escrito en PHP, mantenido por la Drupal Association y una comunidad mundial. Impulsa cientos de miles de sitios europeos: administraciones nacionales, universidades, radiotelevisiones públicas y organizaciones sin ánimo de lucro. Drupal se autoaloja: el operador controla el servidor, la base de datos y las cookies que la plataforma coloca en el navegador del visitante.
Una instalación limpia de Drupal 9 o 10 coloca pocas cookies de origen propio: una cookie de sesión PHP llamada SESS o SSESS con un hash, la cookie de detección has_js y cookies Drupal.visitor.* que recuerdan preferencias como los borradores de formulario. Los editores autenticados reciben además Drupal.toolbar.collapsed y Drupal.tableDrag.showWeight para la interfaz administrativa. Todas son de origen propio y estrictamente necesarias.
Las cookies nativas de Drupal entran en la exención de estrictamente necesarias del artículo 5(3) de la directiva ePrivacy, por lo que no requieren consentimiento. Drupal sí trata datos personales como direcciones IP en los registros del servidor y los formularios enviados, que el operador debe documentar en el registro de actividades de tratamiento del artículo 30 RGPD. El perfil de riesgo cambia drásticamente cuando se activan módulos contribuidos como Google Analytics, Matomo, Facebook Pixel, reCAPTCHA o manejadores de Webform externos.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Drupal por sí solo no necesita banner de cookies porque por defecto no coloca cookies de perfilado ni de marketing. En cuanto se activan módulos de analítica, vídeo o redes sociales, el operador debe obtener un consentimiento previo, libre, específico, informado e inequívoco antes de que se ejecuten los scripts de terceros, conforme a las directrices de la AEPD, la CNIL, la DSK y el Garante. Una plataforma de gestión del consentimiento debe bloquear las etiquetas hasta que el visitante acepte.
Drupal autoalojado no transfiere por sí mismo datos de visitantes fuera del EEE. No obstante, el gestor de actualizaciones y el repositorio Composer contactan con la infraestructura de drupal.org (Estados Unidos y Europa) para comprobar versiones. Elegir un proveedor de hosting con sede en la UE y desactivar las comprobaciones automáticas basta para mantener los datos de los visitantes dentro del EEE. Cualquier módulo contribuido que cargue scripts desde proveedores estadounidenses debe revisarse a la luz de Schrems II.
Aloje en la UE, documente las cookies nativas de Drupal como estrictamente necesarias en la política de cookies y audite cada módulo contribuido antes del lanzamiento. Combine Drupal con una plataforma de gestión del consentimiento que bloquee Google Tag Manager, los embeds de YouTube y reCAPTCHA hasta que se conceda el consentimiento. Aplique las actualizaciones de seguridad con prontitud, restrinja el acceso administrador por IP y conserve la base de datos, las copias de seguridad y los registros dentro del EEE para respetar la minimización y la limitación del plazo de conservación.
Websites using Drupal must obtain user consent under GDPR regulations.
DPIA considerations
No se requiere una EIPD para una instalación Drupal vainilla porque solo se colocan cookies estrictamente necesarias. Resulta recomendable en cuanto los módulos contribuidos activan elaboración de perfiles, analíticas conductuales, seguimiento mediante Google Analytics o transferencias a terceros países.
Sample consent text
Nuestro sitio funciona con Drupal y utiliza cookies estrictamente necesarias para mantenerle conectado y proteger los formularios frente a abusos. Los módulos opcionales de analítica, vídeo y redes sociales solo se activan con su consentimiento.
Third-party domains contacted
updates.drupal.orgwww.drupal.orgpackages.drupal.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| SESS{hash} / SSESS{hash} | first_party | 23 days (configurable) | PHP session identifier used by Drupal to maintain authenticated user sessions and CSRF protection. Set as Secure HttpOnly on HTTPS sites. |
| has_js | first_party | Session | Lightweight cookie set by Drupal to record that the visitor browser supports JavaScript and to serve a JS enhanced UI accordingly. |
| Drupal.visitor.* | first_party | 1 year | Stores visitor preferences such as form drafts, language or theme. Set only when contributed modules or custom code use the Drupal visitor cookie API. |
| Drupal.toolbar.collapsed | first_party | 1 year | Editor only cookie that remembers whether the administration toolbar is collapsed or expanded for authenticated users. |
| Drupal.tableDrag.showWeight | first_party | 1 year | Editor only cookie that remembers whether the row weight column is shown in draggable admin tables. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Una instalación nueva de Drupal coloca una cookie de sesión PHP (SESS o SSESS), la cookie de detección has_js y cookies de preferencia Drupal.visitor.*. Los editores autenticados reciben además Drupal.toolbar.collapsed y Drupal.tableDrag.showWeight. Todas son de origen propio y estrictamente necesarias; sin módulos contribuidos no se colocan cookies de marketing.
No. Drupal Core solo coloca cookies estrictamente necesarias cubiertas por la exención del artículo 5(3) ePrivacy, por lo que no se necesita consentimiento para una instalación vainilla. El consentimiento pasa a ser obligatorio en cuanto se activan módulos de analítica, publicidad o redes sociales.
Las cookies de sesión y seguridad estrictamente necesarias se basan en el interés legítimo del artículo 6(1)(f) RGPD. Los datos personales tratados por formularios o cuentas de usuario suelen basarse en el consentimiento o el contrato. Los módulos de analítica contribuidos requieren un consentimiento explícito conforme a ePrivacy.
No por defecto. Drupal se autoaloja, así que usted elige la ubicación del servidor. El gestor de actualizaciones y el repositorio de módulos contactan con la infraestructura de drupal.org (Estados Unidos y UE) para comprobar versiones, lo cual puede desactivarse. Cualquier transferencia a terceros países depende de los módulos y embeds que instale.
No se requiere una EIPD para una instalación Drupal simple limitada a cookies estrictamente necesarias. Resulta recomendable en cuanto los módulos contribuidos introducen elaboración de perfiles, analíticas conductuales, portales públicos a gran escala o categorías especiales como datos de salud o biométricos.
Aloje dentro del EEE, documente las cookies estrictamente necesarias en su política de cookies, desactive los módulos innecesarios y audite cada módulo contribuido que cargue scripts de terceros. Utilice una plataforma de gestión del consentimiento para condicionar Google Analytics, reCAPTCHA, los embeds de YouTube y los widgets sociales hasta obtener el consentimiento.
Para CMS autoalojados existen WordPress con módulos de endurecimiento, Statamic, Craft CMS, ProcessWire o Strapi. Todos exigen la misma diligencia con las extensiones contribuidas, por lo que la elección depende más del ecosistema que de un nivel de privacidad de base.
Realice un nuevo escaneo de cookies después de cada cambio de módulo, enumere cada cookie colocada por Drupal y sus módulos contribuidos con su nombre, finalidad, duración y proveedor, y enlace con los avisos de privacidad de los servicios de terceros como Google Analytics o los embeds de YouTube integrados a través de Drupal.