¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Payload CMS es un CMS headless de código abierto y autoalojado que solo instala una cookie de autenticación por defecto. Con autoalojamiento, todos los datos permanecen en los propios servidores.
Payload CMS es un CMS headless de código abierto basado en TypeScript que se autoaloja o se ejecuta en la propia infraestructura en la nube. Está diseñado para desarrolladores y ofrece una API flexible, un panel de administración integrado y amplias opciones de personalización de estructuras de contenido. Al no imponer ningún servicio en la nube propio, el operador tiene el control total sobre el almacenamiento de datos y la infraestructura.
En la configuración predeterminada, Payload CMS instala exactamente una cookie: payload-token, una cookie HTTP-only que almacena un JWT para la autenticación en el panel de administración. Esta cookie solo se establece para administradores y editores que hayan iniciado sesión, no para los visitantes habituales del sitio web. Es técnicamente necesaria para el funcionamiento del CMS y, por tanto, no está sujeta a la obligación de consentimiento según la Directiva ePrivacy.
Para la instalación base de Payload CMS no se requiere consentimiento de cookies de los visitantes del sitio web, ya que solo se instalan cookies de autenticación técnicamente necesarias. La obligación de consentimiento surge cuando se integran complementos de terceros como plugins de analítica, etiquetas publicitarias o incrustaciones de redes sociales. En ese caso debe configurarse una CMP que controle dichos scripts.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Con un despliegue autoalojado en servidores de la UE, todos los datos de contenido, datos de usuarios y registros permanecen en la infraestructura propia del operador sin ninguna transferencia a terceros países. Los informes de telemetría opcionales hacia los servidores de Payload pueden desactivarse en la configuración. En caso de alojamiento en servicios de nube estadounidenses como AWS US o Vercel, se aplican los requisitos de transferencia del RGPD correspondientes.
Aloje Payload CMS en infraestructura de la UE (por ejemplo, Hetzner, OVH, centros de datos AWS EU). Desactive los informes de telemetría opcionales en el archivo de configuración. Configure controles de acceso a nivel de campo para restringir el acceso a datos personales. Implemente eliminación suave o anonimización para solicitudes de borrado del RGPD. Documente el CMS en el registro de actividades de tratamiento con finalidad, categorías de datos y plazos de conservación.
Websites using Payload CMS must obtain user consent under GDPR regulations.
DPIA considerations
No se requiere EIPD para implementaciones estándar de Payload CMS, ya que no realiza seguimiento de visitantes. Solo necesaria con módulos adicionales de seguimiento.
Sample consent text
Payload CMS solo instala cookies técnicamente necesarias. No se requiere consentimiento de cookies para la instalación base del CMS.
Third-party domains contacted
payloadcms.comcloud.payloadcms.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| payload-token | first-party | Configurable (default: session-based, typically 1-2 hours) | HTTP-only authentication cookie storing a JWT. Used for admin panel access and application-level user authentication. Classified as strictly necessary. Protected against XSS attacks. Cookie name prefix is customisable via Payload configuration. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Payload CMS instala por defecto una única cookie: payload-token, una cookie HTTP-only que almacena un JWT para autenticación en el panel de administración. Esta cookie solo se establece para administradores y editores que hayan iniciado sesión, no para los visitantes habituales del sitio web, y es técnicamente necesaria.
No, para la instalación base. La cookie payload-token es técnicamente necesaria para el funcionamiento del CMS y está exenta de la obligación de consentimiento según ePrivacy. La obligación de consentimiento surge únicamente cuando se integran plugins de terceros con funciones de seguimiento.
Para la cookie de autenticación se aplica el interés legítimo o la necesidad contractual, ya que es esencial para el funcionamiento seguro del CMS. Para el tratamiento de datos de contenido, el operador es responsable del tratamiento y elige la base jurídica según la finalidad del tratamiento.
No por defecto. En un despliegue autoalojado, todos los datos permanecen en los servidores del propio operador y no se transmiten datos a EE.UU. Los informes de telemetría opcionales pueden desactivarse en la configuración. Con alojamiento en servicios de nube de EE.UU. se aplican los requisitos de transferencia del RGPD.
Generalmente no para despliegues estándar de Payload CMS, ya que no realiza seguimiento de visitantes ni perfilado. Solo es necesaria si se añaden módulos con funciones de seguimiento o si se procesan categorías especiales de datos personales.
Aloje en infraestructura de la UE y desactive la telemetría opcional en el archivo de configuración. Configure controles de acceso a nivel de campo, implemente eliminación suave para solicitudes de borrado del RGPD y documente el CMS en el registro de actividades con finalidad, categorías de datos y plazos de conservación.
Otras opciones de CMS headless autoalojables y respetuosas con la privacidad son: Strapi (código abierto, Node.js), Directus (código abierto, API-first), Contentful (con almacenamiento en la UE en planes Enterprise) y Ghost (autoalojable, orientado a publicación de contenidos).
Su política de cookies debe incluir payload-token como técnicamente necesaria, con finalidad de autenticación y duración de sesión o configurable. Para los visitantes externos del sitio web no se necesita entrada en el banner de cookies, ya que la cookie solo se establece para administradores.