تكنولوجيا15 يونيو 2026 | FlexyConsent

دليل تكامل موافقة ملفات تعريف الارتباط في HubSpot: تتبع متوافق مع GDPR للمسوقين في 2026

HubSpot هي واحدة من أكثر منصات التسويق تجذراً في الويب الحديث. يعمل نص التتبع الخاص بها على ملايين مواقع B2B، إذ يلتقط مشاهدات الصفحات وعمليات ملء النماذج وجلسات الدردشة والسلوك على مستوى المعرف الذي يتدفق مباشرةً إلى HubSpot CRM. المشكلة أن هذا النص البرمجي يبدأ افتراضياً في جمع البيانات الشخصية فور تحميل الصفحة — قبل أن تتاح للزائر فرصة لاتخاذ قرار. بالنسبة لأي مؤسسة تتعامل مع حركة مرور من EU أو UK أو البرازيل أو كاليفورنيا، لم يعد هذا السلوك الافتراضي متوافقاً، وهو بالضبط النوع من المشكلات التي تشير إليها الجهات التنظيمية في الشكاوى الفعلية. يستعرض هذا الدليل ما يتتبعه HubSpot فعلياً، وأين يقع حد الموافقة، وكيفية ربط HubSpot بمنصة إدارة الموافقة CMP من جهة خارجية حتى تستمر تحليلات التسويق في العمل دون التعرض لغرامة.

لماذا يحتاج تتبع HubSpot إلى إشارة موافقة حقيقية

يضع HubSpot عدداً من ملفات تعريف الارتباط الخاصة بالنطاق الأول على جهاز الزائر فور تنفيذ نص التتبع (مقتطف JavaScript الخاص بـ HubSpot، وعادةً hs-scripts.com/{hub_id}.js). أبرزها __hstc وhubspotutk و__hssc، التي تعرف الزائر عبر الجلسات، وتربط إرسال النماذج بسجل التصفح المجهول، وتغذي نماذج تسجيل العملاء في CRM. بموجب GDPR وتوجيه ePrivacy، تعد هذه الملفات الثلاثة ملفات تعريف ارتباط غير أساسية تستوجب موافقة مسبقة حرة ومحددة ومستنيرة وغير غامضة. تحميل المقتطف في رأس المستند — وهو نمط التكامل الافتراضي لـ HubSpot — يضع تلك الملفات قبل أن يُسأل الزائر عن أي شيء على الإطلاق.

العواقب ليست نظرية. أصدرت هيئات حماية البيانات في فرنسا وإيطاليا وإسبانيا إجراءات تنفيذية خلال العامين الماضيين ضد مؤسسات ضبطت فيها أكوام التسويق ملفات تعريف ارتباط للتتبع قبل الموافقة. تراوحت الغرامات بين عقوبات ذات خمسة أرقام للناشرين الصغار وغرامات بملايين اليوروهات للمؤسسات الكبيرة. شعار الموافقة على ملفات تعريف الارتباط المدمج في HubSpot موجود، لكنه خفيف عمداً ولا يمنع المقتطف من الاشتغال من تلقاء نفسه. يعامله معظم المراجعين الامتثاليين باعتباره طبقة إشعار لا طبقة تحكم.

ما الذي يتتبعه HubSpot فعلاً

قبل تحديد كيفية تقييد HubSpot، من المفيد أن نكون دقيقين بشأن فئات المعالجة المعنية. تنقسم واجهة التتبع في HubSpot إلى أربع مجموعات متداخلة، لكل منها تداعيات موافقة خاصة بها.

التحليلات السلوكية

تجمع أحداث مشاهدة الصفحات والنقرات والتمرير ومدة الجلسة تلقائياً فور تحميل كود التتبع. تشكل هذه الأحداث الجدول الزمني للزائر الذي تراه داخل سجلات جهات الاتصال في HubSpot، وهي أساس كل قاعدة لتسجيل العملاء المحتملين أو سير العمل. من منظور المنظمين، هذا تتبع تحليلي واضح يستلزم موافقة صريحة في EU وEEA. في UK، يعامله توجيه هيئة ICO لعام 2023 معاملة مماثلة.

النماذج والدردشة

يمكن تهيئة نماذج HubSpot وودجت الدردشة الخاص به (المعروف سابقاً بتكامل Drift) للتحميل بشكل مستقل عن نص التتبع الرئيسي. تعد إرسالات النماذج في معظم التحليلات القانونية نشاطاً معالجة منفصلاً بأساسه القانوني الخاص — وعادةً أداء العقد أو المصلحة المشروعة. أما الدردشة التي تسجل المحادثات على خادم طرف ثالث فتستلزم عموماً موافقة على التسجيل ذاته.

ربط الهوية عبر النطاقات

إذا كنت تستخدم بوابة HubSpot ذاتها عبر نطاقات متعددة، فسيحاول المقتطف ضبط ملفات تعريف الارتباط وقراءتها بطريقة تربط الزوار عبر تلك الخصائص. هذا يدخل في نطاق ما يسميه EDPB بالتتبع بمعناه الدقيق وهو الفئة الأعلى خطورة. كما أنه الأكثر احتمالاً للإشارة إليه أثناء DPIA.

تكاملات التسويق

يستطيع HubSpot دفع الأحداث إلى Google Ads وMeta وLinkedIn وشبكات إعلانية أخرى عبر تكاملاته. كل عملية نقل لاحقة تحمل متطلبات موافقة خاصة بها، وفي EU، تقييم نقل بيانات خاصاً بها.

شعار HubSpot المدمج مقابل CMP الخارجي

يأتي HubSpot مزوداً بشعار موافقة على ملفات تعريف الارتباط يمكن تفعيله من الإعدادات > الخصوصية وإدارة الموافقة. سيعرض إشعاراً قابلاً للتخصيص، ويسجل سجل موافقة مقابل جهة الاتصال، ويحترم إلغاء الاشتراك لمرة واحدة للتحليلات. قد يكفي ذلك للمؤسسات الصغيرة جداً العاملة في اختصاصات منخفضة المخاطر. أما لمن يأخذ الامتثال بجدية — أو لمن يشغل إعلانات تستلزم وضع الموافقة — فهو غير كافٍ.

الأسباب العملية للانتقال إلى CMP خارجي هي:

التكامل خطوة بخطوة مع CMP خارجي

نمط التكامل الذي يعمل بموثوقية هو إبقاء مقتطف HubSpot في الصفحة مع منعه من التنفيذ حتى يسجل قرار الموافقة. فيما يلي المقاربة الأساسية، مكتوبة بشكل عام لتنطبق على أي CMP حديث بما في ذلك FlexyConsent.

1. إزالة المقتطف الافتراضي من رأس المستند

في قالب موقعك، احذف وسم <script> المضمن الذي يحمل hs-scripts.com/{hub_id}.js. استبدله بعنصر نائب يستطيع CMP تفعيله لاحقاً، عادةً بضبط خاصية type على text/plain وإضافة خاصية بيانات فئة مثل data-category="marketing".

2. ربط HubSpot بفئة الموافقة الصحيحة

تستخدم معظم منصات CMP نموذج IAB TCF أو نموذج الأربع مجموعات: ضرورية، وظيفية، تحليلية، تسويقية. يلمس نص تتبع HubSpot فئتي التحليلات والتسويق بسبب تكامل CRM. التعيين المحافظ هو تقييد المقتطف بأكمله خلف فئة التسويق، وهي المجموعة الأكثر تقييداً. إذا كانت منصة CMP تتيح تعييناً دقيقاً، يمكنك التقسيم: تحميل النماذج ضمن الوظيفية، وتحميل أحداث التحليلات ضمن التحليلية، وتحميل ربط هوية CRM ضمن التسويقية.

3. تهيئة رد الاتصال للتفعيل

تتيح منصة CMP حدثاً أو رد اتصال يطلق عندما يمنح المستخدم موافقته على فئة ما. في رد الاتصال هذا، أعد كتابة خاصية type لوسم النص البرمجي النائب إلى text/javascript وألحقه بالمستند. سيحمل النص البرمجي حينها وينفذ بشكل طبيعي. بالنسبة للـ SPA، سجل رد الاتصال عند كل تغيير في المسار حتى تتلقى الصفحات المركبة حديثاً التفعيل أيضاً.

4. ربط وضع الموافقة الإصدار 2

إذا كنت تستخدم Google Ads أو GA4 جنباً إلى جنب مع HubSpot، فيجب على CMP دفع إشارات الموافقة الإصدار 2 — ad_storage وanalytics_storage وad_user_data وad_personalization — إلى dataLayer قبل إطلاق أي وسم Google. لا يستهلك HubSpot هذه الإشارات بنفسه، لكن بقية مكدسك تفعل ذلك، وسيظهر التناقض بين HubSpot وGoogle في تقاريرك كفجوة إيرادية قابلة للقياس.

5. مزامنة حالة الموافقة مع HubSpot CRM

عندما تحدث جهة اتصال معروفة موافقتها (مثلاً بإعادة زيارة الشعار وسحب موافقة التسويق)، ينبغي أن تعكس ذلك في سجل HubSpot حتى تتوقف منطق سير العمل عن إرسال رسائل البريد الإلكتروني التسويقية. تتيح واجهة برمجة تطبيقات HubSpot API نقطة نهاية communication-preferences تقبل تحديثات على مستوى الاشتراك. يمكن تهيئة معظم منصات CMP لاستدعاء هذه النقطة من خطاف من جانب الخادم.

الأخطاء الشائعة وكيفية تجنبها

ثلاثة أخطاء في التكامل تفسر معظم نتائج التدقيق التي نراها في الأكوام التي تعتمد على HubSpot بشكل كبير.

تحميل المقتطف مبكراً جداً

يضع بعض الفرق وسم HubSpot داخل مدير وسوم ويفترضون أن مدير الوسوم يتعامل مع الموافقة. يكرم Google Tag Manager وضع الموافقة، لكن فقط للوسوم التي تتطلب صراحةً حالة موافقة ممنوحة. إذا تم تهيئة وسم HubSpot دون هذا الاشتراط، سيطلقه GTM بصرف النظر. اضبط دائماً حقل موافقة إضافية على الوسم لاشتراط موافقة التسويق قبل الإطلاق.

نسيان نصوص النماذج البرمجية

تخدم نماذج HubSpot من نطاق منفصل (forms.hsforms.com) ويمكن تضمينها بنصها البرمجي الخاص. إذا قيدت مقتطف التتبع الرئيسي لكنك تركت نص النموذج البرمجي يحمل عند التصيير الأولي، فلم تحل المشكلة فعلياً — إذ تضع مكتبة النماذج ملفات تعريف ارتباط تعريفية خاصة بها. قيد الاثنين، ودع CMP يحملهما معاً.

التعامل مع إلغاء الاشتراك كاشتراك

تتضمن إعدادات HubSpot الأصلية خيار عدم التتبع وإلغاء اشتراك بنقرة واحدة. يفسر بعض الفرق هذه الخيارات باعتبارها آلية كافية للامتثال لـ GDPR. لكنها ليست كذلك — يشترط GDPR موافقة صريحة على ملفات تعريف الارتباط غير الأساسية، ومربع إلغاء الاشتراك المدفون في صفحة الخصوصية لا يلبي هذا الشرط. اجعل CMP المصدر الموثوق لحالة الموافقة، وهيئ HubSpot للتبعية له.

توثيق جاهز للتدقيق

بعد وضع التكامل التقني في مكانه، الخطوة الأخيرة هي التأكد من أن مسار الأدلة لديك يستطيع تحمل طلب الجهة التنظيمية. احتفظ كحد أدنى بسجل لما يلي: الفئات التي تعين إليها CMP HubSpot، وإصدار شعار الموافقة السائد في أي تاريخ معين، وعينات من سلاسل TC التي تظهر موافقة صالحة، وسجلات API التي تثبت أن HubSpot لم يطلق أي استدعاء تتبع قبل الموافقة. لا تتعثر معظم إجراءات التنفيذ على التقنية بل على التوثيق — إذ تتمكن المؤسسات التي تستطيع تقديم مسار ورقي واضح عادةً من حل التحقيقات بشكل أسرع بكثير من تلك التي لا تستطيع. منصة إدارة الموافقة التي تصدر هذه القطع عند الطلب تحول التدقيق من ضجة أسابيع إلى استجابة في ظرف بعد الظهر.

← المدونة قراءة الكل →