¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Cloudflare Stream es una plataforma gestionada de alojamiento, codificación y entrega de vídeo operada por Cloudflare Inc. Los editores suben sus vídeos, Cloudflare los transcodifica automáticamente a HLS/DASH adaptativo y los entrega mediante un iframe first-party desde su CDN global. Por defecto no incorpora rastreadores publicitarios entre sitios, pero procesa la dirección IP del visitante para el enrutamiento y estadísticas básicas de reproducción, y deposita algunas cookies operativas en el dominio del reproductor.
Cloudflare Stream es un servicio SaaS de vídeo operado por Cloudflare Inc. desde San Francisco. Los editores suben sus fuentes mediante el panel o la API, Cloudflare las transcodifica a múltiples calidades HLS y DASH, y los espectadores reciben los flujos desde el centro de datos más cercano de la red Cloudflare (más de 300 PoPs). La integración de referencia es un iframe first-party que apunta a iframe.cloudflarestream.com o customer-<accountId>.cloudflarestream.com; los usuarios avanzados pueden emplear el Stream Player de código abierto o cualquier reproductor compatible con HLS. Cada reproducción abre numerosas peticiones HTTPS que transportan la IP del espectador, la URL del segmento y el user-agent, todos ellos datos personales según el artículo 4(1) del RGPD.
Aunque Cloudflare Stream no embebe rastreadores publicitarios por defecto, cargar el iframe activa las cookies CDN estándar de Cloudflare en cloudflarestream.com: __cf_bm para gestión de bots, cf_clearance tras un CAPTCHA y, ocasionalmente, _cfuvid para estadísticas de visitantes. El artículo 5(3) de la directiva ePrivacy exige consentimiento previo e informado para cualquier almacenamiento o acceso a información del terminal que no sea estrictamente necesario para el servicio solicitado expresamente. Como el iframe se carga por iniciativa del editor y no del visitante, los reguladores de la UE (AEPD, CNIL, garante) consideran que la incrustación y sus cookies requieren opt-in, salvo si se aplica un patrón click-to-load.
La Data Localisation Suite de Cloudflare (Regional Services, Customer Metadata Boundary, Geo Key Manager) permite confinar la entrega de segmentos de vídeo, el material criptográfico y los metadatos de cliente a la UE, reduciendo significativamente las transferencias a Estados Unidos. Para Stream, la localización se ofrece como complemento Regional Services y debe activarse por zona. Sin ella, los segmentos y logs pueden servirse desde edges de EE. UU., Reino Unido o APAC según la posición del visitante. Los editores con preocupación Schrems II deben combinar la Data Localisation Suite con el DPA artículo 28 y las CCT ya incorporadas por Cloudflare.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare Inc. actúa como encargado del tratamiento por cuenta del editor. El Data Processing Addendum público se incorpora automáticamente para los clientes de pago y remite a las nuevas CCT europeas (2021/914) módulo 2, al addendum UK IDTA y a las adaptaciones suizas. Cloudflare está además autocertificado bajo el EU-US Data Privacy Framework, que funciona como instrumento complementario de transferencia. Aun así, los editores deben realizar un Transfer Impact Assessment (TIA) que cubra la sección 702 de FISA y la EO 12333, pues Cloudflare Inc. encaja en la categoría de ''electronic communication service provider'' bajo la legislación estadounidense.
La API de Stream expone analíticas por vídeo: minutos vistos, audiencia única, distribución por país y errores de reproducción, derivadas de logs de servidor y la cookie de reproducción. Las URLs firmadas permiten inyectar un userId, que se convierte en identificador seudónimo y aumenta el perfil de riesgo de la integración. El editor debe documentarlo en el registro de actividades de tratamiento, mencionar a Cloudflare en su banner de cookies y política de privacidad y respetar los derechos de los interesados (acceso, supresión); Cloudflare facilita un contacto de privacidad y un representante para la UE.
Para minimizar la exposición a EE. UU. conviene evaluar Vimeo OTT (EE. UU., modo respetuoso con la privacidad), Bunny Stream (Eslovenia, UE por diseño), Mux Video (EE. UU., orientado a desarrolladores), MediaCMS o PeerTube para autoalojamiento federado, o almacenamiento objeto en OVH/Scaleway combinado con un reproductor Video.js o Plyr autoalojado. La elección depende del volumen de audiencia, la criticidad de la residencia en la UE y las funcionalidades necesarias (directo, DRM, analíticas en tiempo real).
Websites using Cloudflare Stream must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda una EIPD cuando Cloudflare Stream se incrusta en páginas dirigidas a menores, sobre contenidos sensibles (salud, opiniones políticas) o cuando las estadísticas de vídeo se enriquecen con identificadores firmados. Documentar: datos tratados (IP, ubicación aproximada, user-agent, eventos de reproducción, userId firmado opcional), base legal (consentimiento para cargar el iframe y la cookie de reproducción), subencargados (centros de datos Cloudflare en todo el mundo), instrumento de transferencia (CCT + EU-US DPF, opcionalmente Data Localisation Suite), conservación (logs brutos típicamente <30 días, métricas agregadas más tiempo), derechos de los interesados, así como los riesgos residuales derivados de Schrems II y la FISA 702.
Sample consent text
Esta página contiene un vídeo alojado por Cloudflare Stream (Cloudflare Inc., Estados Unidos). Al iniciar la reproducción, su dirección IP, su user-agent y los eventos de reproducción se transmiten a Cloudflare para la entrega y métricas agregadas, y puede almacenarse una pequeña cookie de reproducción en su dispositivo. Haga clic en «Aceptar» para cargar el vídeo y consentir este tratamiento, o en «Rechazar» para mantenerlo bloqueado.
Third-party domains contacted
cloudflarestream.comcustomer-<accountid>.cloudflarestream.comvideodelivery.netiframe.cloudflarestream.comupload.cloudflarestream.comcloudflareinsights.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | http | 1 year | Set by Cloudflare after a successful CAPTCHA / Managed Challenge to indicate that the visitor has cleared the bot check and may continue to access the protected resource (including the Stream player). Persistent HttpOnly cookie scoped to the Cloudflare-protected domain. |
| __cf_bm | http | 30 minutes | Cloudflare bot management cookie used to distinguish between humans and automated traffic on requests to the Stream player domain. Strictly operational in Cloudflare's view; EU regulators may still require consent when set by a third-party iframe. |
| _cfuvid | http | Session | Cloudflare visitor cookie used for rate limiting and aggregated visitor analytics. Set on a per-session basis when Stream is delivered through certain Cloudflare features. Not set on every deployment. |
Cloudflare Stream utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
En la mayoría de despliegues en la UE, sí. El reproductor iframe por defecto en cloudflarestream.com se carga automáticamente, deposita al menos una cookie CDN de Cloudflare (__cf_bm y, en su caso, _cfuvid) y transmite la dirección IP del espectador a Cloudflare Inc. El artículo 5(3) de la directiva ePrivacy exige consentimiento previo para cualquier almacenamiento no estrictamente necesario en el terminal, y las autoridades europeas consideran que un iframe de terceros cargado automáticamente requiere consentimiento. El patrón click-to-load con un aviso claro es la opción por defecto recomendada; no existe un modo totalmente sin cookies de fábrica.
Sin la Data Localisation Suite, los originales se almacenan y los segmentos se cachean en la red anycast global de Cloudflare (más de 300 centros de datos en más de 100 países, incluidos Estados Unidos). La entrega se realiza desde el edge más próximo al espectador. Con el complemento Regional Services para Stream, el procesamiento y el almacenamiento pueden limitarse a la UE; el Customer Metadata Boundary mantiene logs y metadatos en Europa. Es la configuración que deben preferir los editores europeos preocupados por los transferencias a EE. UU.
Las cookies más frecuentes en el dominio del reproductor son __cf_bm (gestión de bots, ~30 minutos), cf_clearance (clearance CAPTCHA, hasta un año, depositada sólo tras un challenge) y ocasionalmente _cfuvid (estadísticas de visitantes, sesión). Cloudflare considera __cf_bm estrictamente necesaria; numerosas autoridades europeas lo cuestionan cuando la cookie procede de un iframe de tercero y no del dominio first-party. Por defecto, considere que requieren consentimiento salvo análisis contrario formalizado por su DPO.
Sí. Cloudflare publica un Data Processing Addendum (DPA) conforme al artículo 28 del RGPD, integrado automáticamente en los contratos de clientes de pago. Incorpora las Cláusulas Contractuales Tipo europeas (módulo 2, responsable a encargado) para transferencias fuera del EEE, el UK IDTA y la LPD suiza. Cloudflare Inc. está además autocertificada bajo el EU-US Data Privacy Framework, que actúa como instrumento de transferencia complementario. Los editores deben aun así realizar un Transfer Impact Assessment, dado que Cloudflare encaja en la categoría de 'electronic communication service provider' bajo la FISA 702.
Por defecto Stream expone métricas por vídeo: minutos vistos, audiencia única, porcentaje visto, país y errores de reproducción, calculados a partir de logs de servidor (IP, user-agent, URL de segmento) y de la cookie de reproducción. Cuando el editor usa URLs firmadas con un userId, este identificador seudónimo se asocia a los eventos de reproducción y queda accesible vía la API de Stream. No hay perfil publicitario first-party, ni identificador entre sitios, ni conexión por defecto con ecosistemas publicitarios.
En gran medida sí, pero requiere activar la Data Localisation Suite (Regional Services para Stream, Customer Metadata Boundary, Geo Key Manager) en las zonas correspondientes, un complemento de pago. Con esa configuración, el procesamiento de vídeo, el material criptográfico y los metadatos permanecen en la UE. Cloudflare Inc. sigue siendo una empresa estadounidense sujeta al derecho estadounidense, por lo que persiste un riesgo Schrems II residual; debe documentarse en el Transfer Impact Assessment y ponderarse frente a las salvaguardas técnicas y contractuales aplicadas.
Vimeo OTT ofrece un modo do-not-track pero está en EE. UU. Bunny Stream se opera desde Eslovenia y almacena por defecto en regiones europeas, lo que facilita el cumplimiento de Schrems II. Mux Video es estadounidense y orientado a desarrolladores, con preocupaciones de transferencia similares a Cloudflare. PeerTube y MediaCMS son opciones de código abierto autoalojadas que dan al editor el control total a cambio de esfuerzo operativo (codificación, escalado, monitorización). Cloudflare Stream se sitúa entre ambos: comodidad gestionada y CDN global, con riesgos de transferencia serios pero configurables.
Realizar una EIPD que cubra categorías de datos, finalidades, plazos de conservación y riesgos. Actualizar el registro de actividades del tratamiento y la política de privacidad para mencionar a Cloudflare Inc. como encargado, el instrumento de transferencia internacional empleado (CCT + DPF, opcionalmente residencia UE) y las cookies depositadas por el reproductor. Configurar el banner de cookies para que Cloudflare Stream quede bloqueado hasta el consentimiento, idealmente con un placeholder click-to-load. Documentar el TIA, activar la Data Localisation Suite cuando sea posible y conservar la prueba de aceptación del DPA de Cloudflare.