¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Storyblok es un CMS headless con sede en Linz, Austria. La API pública de entrega de contenido sirve JSON por HTTPS sin establecer cookies en los visitantes, lo que hace que la entrega sea conforme al RGPD sin necesidad de consentimiento. Las cookies solo aparecen en el editor visual usado por redactores autenticados, nunca para visitantes anónimos.
Storyblok es un sistema de gestión de contenido headless fundado en Linz, Austria, en 2017. Los redactores componen páginas en un editor visual y el contenido publicado se expone como JSON a través de una API de entrega de contenido. El frontend, construido con cualquier framework (Next.js, Nuxt, Astro, Hugo y otros), obtiene ese JSON desde el servidor o el cliente y renderiza el HTML. Como la capa pública de entrega es una API REST y GraphQL sin estado, no escribe cookies en el navegador del visitante y se comporta como una solicitud de recurso estándar.
En el sitio público, Storyblok no establece ninguna cookie. La CDN solo almacena los registros estándar de solicitudes (dirección IP, marca de tiempo, user agent) para el almacenamiento en caché y la prevención de abusos. Las cookies aparecen solo en dos contextos específicos. Primero, cuando un redactor está autenticado en app.storyblok.com, una cookie de sesión lo identifica. Segundo, cuando se carga la previsualización del editor visual para edición, el script bridge app.storyblok.com/f/storyblok-v2-latest.js abre un iframe en la previsualización en vivo para permitir el click to edit. Este modo de previsualización es solo para redactores y nunca lo ven los visitantes anónimos.
Como la API pública de Storyblok no coloca identificadores en el terminal del visitante, el Artículo 5(3) de la Directiva ePrivacy (transpuesta a la LSSI en España, la LCEN en Francia, el TTDSG en Alemania) no exige consentimiento previo. El Artículo 6(1)(f) del RGPD (interés legítimo) cubre el tratamiento limitado de la IP del visitante en la CDN para la entrega y la seguridad. Storyblok GmbH actúa como encargado del tratamiento cuando almacena el contenido editorial, y un contrato Artículo 28 está disponible en el panel de Storyblok.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Storyblok ofrece dos regiones de entrega. La región UE se ejecuta en AWS Fráncfort y sirve el contenido desde el Espacio Económico Europeo, lo que libera al proyecto de un análisis Schrems II en la ruta de entrega. La región US se ejecuta en AWS Virginia y requiere Cláusulas Contractuales Tipo y una evaluación de las leyes de vigilancia de EE.UU. (FISA 702, EO 12333). Para proyectos europeos recomendamos seleccionar siempre la región UE al crear el espacio, ya que cambiarla más tarde no es posible sin exportar y reimportar el contenido.
Documente Storyblok como encargado del tratamiento en el registro de actividades (RAT), con finalidad, región UE y CDN de activos (Cloudflare). Firme el DPA de Storyblok desde el panel. Restrinja las cuentas de los redactores con inicio de sesión único o autenticación de dos factores. Si incrusta scripts de terceros (Google Analytics, Meta Pixel, vídeo) a través de componentes Storyblok, esos scripts tienen sus propios requisitos de consentimiento y deben ser gestionados por su plataforma de gestión del consentimiento, la entrega de Storyblok en sí queda fuera del alcance. Asegúrese de que la URL de previsualización del editor esté protegida con autenticación para que las cookies del bridge nunca se establezcan en visitantes anónimos.
Websites using Storyblok must obtain user consent under GDPR regulations.
DPIA considerations
Una evaluación de impacto (EIPD) generalmente no es necesaria para la capa pública de entrega de Storyblok porque no se procesan datos personales de visitantes más allá de los registros estándar del CDN. Una EIPD puede ser útil cuando Storyblok se integra con personalización, pruebas A/B, áreas privadas con usuarios autenticados o cuando se selecciona la región US. Documente la elección de la región UE, la ausencia de cookies en la entrega y el acuerdo de tratamiento Artículo 28 RGPD firmado con Storyblok GmbH.
Sample consent text
Storyblok se utiliza para entregar el contenido editorial de este sitio. La API de entrega no establece cookies y no le rastrea. No se requiere consentimiento para la entrega pública. Si inicia sesión en la previsualización del editor, se crea una cookie de sesión para autenticarle.
Third-party domains contacted
api.storyblok.comgapi.storyblok.coma.storyblok.comimg2.storyblok.comapp.storyblok.commapi.storyblok.comstoryblok.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| storyblok_session | first-party (editor app only) | Session | Authenticates a logged in editor on app.storyblok.com. Never set on the public website. |
| _storyblok_draft | first-party (preview only) | Session | Loaded inside the Visual Editor preview iframe to flag draft mode. Not present for anonymous visitors of the public website. |
| cf_clearance | third-party (Cloudflare asset CDN) | Up to 30 days | Cloudflare bot challenge cookie that may be set when assets are served through Cloudflare and a security challenge is triggered. Strictly necessary for security. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
No. La API pública de entrega de contenido sirve JSON y no escribe cookies en el navegador del visitante. Las cookies solo existen en app.storyblok.com cuando un redactor está autenticado y dentro del iframe de previsualización del editor visual usado para la edición de contenido, que nunca se muestra a los visitantes anónimos.
No se requiere consentimiento para la entrega pública de Storyblok porque no se almacena ningún identificador en el terminal del visitante. El Artículo 5(3) de la Directiva ePrivacy no se aplica. El consentimiento solo es relevante si sus componentes Storyblok inyectan scripts de medición de terceros en la página.
El Artículo 6(1)(f) del RGPD (interés legítimo) cubre el tratamiento limitado de IP y metadatos de solicitud en el CDN para la entrega de contenido y la prevención de abusos. Storyblok GmbH se documenta como encargado del tratamiento según el Artículo 28 del RGPD con un contrato de tratamiento firmado.
No para proyectos europeos que seleccionen la región UE. La API de entrega se ejecuta en AWS Fráncfort y el backend del editor visual en AWS Irlanda. La región US es opcional y desencadena transferencias cubiertas por Cláusulas Contractuales Tipo y el Marco de Privacidad de Datos UE EE.UU. La analítica del editor puede usar Mixpanel en EE.UU.
Una EIPD generalmente no se requiere para la capa pública de entrega porque no se procesan datos personales más allá de los registros estándar del CDN. Una EIPD es recomendable si Storyblok se combina con personalización, profiling, pruebas A/B o áreas privadas con usuarios autenticados, o si se activa la región US.
Seleccione la región UE al crear el espacio, firme el DPA de Storyblok, documente el encargado en su registro de actividades, asegure las cuentas de redactores con SSO o 2FA, y gobierne todo script de terceros incrustado a través de componentes Storyblok mediante su plataforma de gestión del consentimiento.
Alternativas con sede en la UE incluyen Contentful (Alemania), Strapi Cloud (Francia), Hygraph (Alemania), Sanity (Noruega, con región UE) y opciones autoalojadas como Wagtail, Directus o Payload CMS. La postura de cumplimiento es similar cuando la capa de entrega es sin cookies.
No es necesaria una mención específica de Storyblok en la declaración de cookies del sitio público si no se establecen cookies. Liste Storyblok como encargado de contenido en su política de privacidad con finalidad, región UE de alojamiento, identidad del encargado y referencia al DPA. Liste por separado todos los scripts de terceros embebidos a través de componentes Storyblok en su declaración de cookies.