¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
CFML (ColdFusion Markup Language) es un lenguaje de scripting en servidor y una plataforma de aplicaciones que se utiliza para construir aplicaciones web, intranets y APIs. Las dos implementaciones principales son Adobe ColdFusion y el motor de código abierto Lucee. CFML no es un rastreador: se ejecuta íntegramente en la infraestructura del operador y solo instala cookies de sesión técnicas (CFID, CFTOKEN, JSESSIONID) que la Directiva ePrivacy clasifica como estrictamente necesarias, por lo que esas cookies concretas no requieren consentimiento previo. Las obligaciones de privacidad recaen sobre los datos que la aplicación construida sobre CFML decida recoger.
CFML (ColdFusion Markup Language) es un lenguaje basado en etiquetas y script que se ejecuta sobre una máquina virtual Java. Las dos implementaciones principales son Adobe ColdFusion (comercial) y Lucee (código abierto). El motor recibe la petición HTTP, ejecuta la página o el componente CFML, consulta bases de datos mediante ORM o cfquery y devuelve HTML, JSON o XML al navegador. Como toda la ejecución es del lado del operador, por defecto no se contacta a ningún endpoint de terceros y no salen datos de comportamiento de la red del operador.
Por defecto, una aplicación CFML instala dos cookies de origen, CFID y CFTOKEN, que identifican la sesión en servidor, además de la cookie estándar JSESSIONID del contenedor de servlets cuando están activas las sesiones J2EE. Estas cookies guardan identificadores opacos, son HttpOnly y resultan necesarias para mantener la sesión autenticada y proteger formularios frente a CSRF. Encajan en la exención de estrictamente necesarias del artículo 5.3 de ePrivacy. Cualquier cookie adicional que el código de la aplicación instale (ID analítico, segmento A/B, indicador de marketing) es responsabilidad del operador y debe clasificarse aparte.
La AEPD, la CNIL, la ICO y el CEPD consideran que las cookies de autenticación y de gestión de sesión son estrictamente necesarias y pueden instalarse sin consentimiento previo siempre que su duración se limite a la sesión y no se reutilicen con fines conductuales. La base legal del tratamiento subyacente es la ejecución del contrato (artículo 6.1.b del RGPD) cuando el usuario está autenticado, y el interés legítimo (artículo 6.1.f) para la robustez técnica en páginas públicas. La aplicación debe ser transparente sobre estas cookies en su política de privacidad y en el inventario de cookies.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
CFML se ejecuta donde el operador despliegue el motor: un centro de datos propio, una región cloud en la UE o una región cloud en EE. UU. Las obligaciones sobre transferencias internacionales dependen, por tanto, de la topología elegida. Los operadores que necesiten mantener los datos personales europeos dentro del EEE deben elegir una región UE para servidor de aplicaciones y base de datos, y desactivar la telemetría Adobe Server Auto Lockdown o las estadísticas de uso de Lucee si están activadas por defecto en su perfil de instalación.
Para respetar los principios del RGPD de integridad, confidencialidad y minimización, las aplicaciones CFML deben establecer HttpOnly, Secure y SameSite=Lax (o Strict) en todas las cookies de sesión, rotar CFID y CFTOKEN al iniciar y cerrar sesión, limitar el alcance de las cookies al dominio de la aplicación, desactivar el listado de directorios, restringir CFADMIN a redes internas, aplicar los últimos boletines de seguridad de Adobe o parches de Lucee y habilitar registros de aplicación con los datos personales depurados.
Documente CFID, CFTOKEN y JSESSIONID en su política de cookies como cookies técnicas estrictamente necesarias. Verifique que la página CFML no carga ninguna etiqueta de terceros antes del consentimiento. Inventaríe cada integración cfhttp, cfldap, cfmail o REST para mapear los flujos de datos salientes y añadirlos al registro de actividades de tratamiento. Mantenga el servidor CFML y la JVM parcheados, separe la base de datos de producción usando credenciales de mínimo privilegio y seudonimice los datos personales que se conserven en el ámbito de aplicación o de sesión.
Websites using CFML must obtain user consent under GDPR regulations.
DPIA considerations
No se requiere una EIPD específica sobre CFML porque el motor no realiza decisiones automatizadas ni elaboración de perfiles a gran escala. Sí puede ser necesaria una EIPD para la aplicación construida sobre CFML cuando esta trate categorías especiales de datos, puntúe a personas, supervise a empleados o visitantes o se combine con rastreadores externos. La evaluación debe centrarse en la lógica de la aplicación, los almacenes de datos accesibles desde CFML (cfquery, ORM, subidas), la región de hospedaje del servidor CFML y los controles de acceso que protegen CFADMIN y el contenedor de servlets.
Sample consent text
Nuestro sitio está desarrollado en CFML y utiliza cookies técnicas estrictamente necesarias (CFID, CFTOKEN, JSESSIONID) para mantener su sesión, identificarle y proteger los formularios contra la falsificación de peticiones entre sitios. Estas cookies no requieren consentimiento conforme a las normas europeas sobre cookies. Cualquier cookie opcional de analítica, marketing o personalización se enumera por separado en el banner de cookies y solo se carga tras su elección explícita.
Third-party domains contacted
www.adobe.comhelpx.adobe.comlucee.orgcfunited.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| CFID | first_party | Session (or up to 30 days when persistence is enabled) | Identifies the server side ColdFusion or Lucee session that holds variables, login state and shopping cart. Strictly necessary for the application to function. |
| CFTOKEN | first_party | Session (or up to 30 days when persistence is enabled) | Companion of CFID, validates the session integrity to prevent session hijacking. Strictly necessary technical cookie. |
| JSESSIONID | first_party | Session | Java servlet container session identifier issued when J2EE sessions are enabled in CFML. Strictly necessary for keeping authenticated users logged in. |
Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.
Por defecto, una aplicación CFML instala dos cookies de origen, CFID y CFTOKEN, y la cookie estándar de Java JSESSIONID cuando se activan las sesiones J2EE. Almacenan identificadores opacos que se utilizan para asociar una solicitud HTTP con una sesión en servidor. Las instalaciones de Lucee con LuceeSession siguen el mismo modelo bajo los nombres cfid y cftoken. El código de la aplicación puede añadir otras cookies que deben clasificarse aparte.
No. Son cookies de sesión y autenticación consideradas estrictamente necesarias en virtud del artículo 5.3 de la Directiva ePrivacy y de las Directrices 2/2023 del CEPD sobre cookies técnicas. Pueden instalarse sin consentimiento previo siempre que su duración se limite a la sesión o a la persistencia legítima de la autenticación y no se reutilicen con fines analíticos o publicitarios.
La base legal depende del caso de uso: artículo 6.1.b del RGPD (ejecución del contrato) cuando el usuario está autenticado, artículo 6.1.f (interés legítimo) para seguridad e integridad, artículo 6.1.c (obligación legal) para registros contables o de auditoría. Las categorías especiales de datos requieren una condición del artículo 9, como el consentimiento explícito o el interés público esencial.
No por sí mismo. CFML se ejecuta sobre la infraestructura del operador, por lo que solo hay transferencias si el operador elige una región cloud en EE. UU. o integra servicios externos. Adobe ColdFusion puede contactar con servidores de Adobe para licencia y actualizaciones; esa telemetría debe revisarse y formalizarse con CCT cuando proceda. Lucee es completamente autónomo y solo envía datos si se activan explícitamente las estadísticas de uso.
No es obligatoria una EIPD sobre el lenguaje. Sí puede ser necesaria sobre la aplicación construida con CFML cuando esta realice supervisión sistemática a gran escala, trate categorías especiales de datos, puntúe automáticamente a personas o combine seguimiento de varias fuentes, conforme al artículo 35 del RGPD y a la lista local de supuestos de EIPD obligatoria.
Establezca HttpOnly, Secure y SameSite en las cookies de sesión, rote los identificadores de sesión al iniciar sesión, hospede el servidor CFML en una región UE cuando trate datos personales europeos, aplique con rapidez los parches de Adobe ColdFusion o Lucee, restrinja CFADMIN a redes internas, documente CFID y CFTOKEN como estrictamente necesarias y canalice cualquier etiqueta opcional de analítica o marketing a través de una CMP.
Algunas pilas equivalentes de servidor son Java con Spring Boot, .NET (C#) con ASP.NET Core, Python con Django o FastAPI, PHP con Laravel o Node.js con NestJS. Desde la óptica del cumplimiento, todos los lenguajes de servidor se comportan de forma similar: la postura de privacidad depende sobre todo del diseño de la aplicación, la región de hospedaje y la estrategia de cookies, no del lenguaje.
Liste CFID, CFTOKEN y JSESSIONID como cookies técnicas estrictamente necesarias en la política de cookies, con su finalidad (gestión de sesión, autenticación), duración (sesión o vida del navegador) y alcance de origen. Añada por separado cualquier cookie de la aplicación. Explique con transparencia que estas cookies estrictamente necesarias no requieren consentimiento y actualice la política cada vez que se actualice la aplicación.