Guia d'integració del consentiment de galetes per a mapes de calor i enregistrament de sessions de Hotjar: Manual 2026 per a editors

Hotjar ocupa un lloc únic en el conjunt d'eines. No és una plataforma d'anàlisi web com Google Analytics, ni una plataforma d'anàlisi de productes com Amplitude o Mixpanel, ni tampoc un gestor d'etiquetes. És una eina de recerca d'experiència d'usuari que existeix específicament per registrar el que fan els usuaris individuals en una pàgina — on mouen el ratolí, on fan clic, on fan scroll, on vacil·len i, en el cas de l'enregistrament de sessions, exactament el que han escrit i vist renderitzat a la pantalla. Aquesta granularitat és el producte. Per aquest motiu els reguladors han identificat la reproducció de sessions com una de les categories de processament de comportament amb més risc, i per això un desplegament descuidat de Hotjar és una de les formes més senzilles que té un lloc web que d'altra manera compleix la normativa de deixar de complir-la. El CNIL, el Garante i el EDPB han publicat guies dirigides específicament al comportament de reproducció de sessions, i el grup de treball del EDPB sobre banners de galetes de 2026 el tracta com una categoria prioritària. La bona notícia és que Hotjar és una de les eines millor dissenyades d'aquesta categoria per a un desplegament amb el consentiment com a prioritat — sempre que l'editor faci servir realment els controls que existeixen.

Per què Hotjar requereix un consentiment explícit

El perfil de recollida de Hotjar és el que activa les obligacions de consentiment en tots els marcs legals rellevants. En una inicialització per defecte, l'script de seguiment de Hotjar escriu almenys tres galetes de primera part — _hjSessionUser_{siteId}, _hjSession_{siteId} i una sèrie de galetes de supressió i de font d'entrada — al navegador en qüestió de mil·lisegons des de la càrrega de la pàgina. L'script comença llavors a transmetre en continu un registre de coordenades del cursor, coordenades de clic, posició de desplaçament, mida de la finestra gràfica i, quan l'enregistrament de sessions està activat, el DOM complet renderitzat diferit respecte a una línia de base.

En virtut de l'article 5(3) de la Directiva ePrivacy, cadascuna d'aquestes galetes és una operació d'emmagatzematge i accés que requereix un consentiment previ, lliurement atorgat, específic, informat i inequívoc a l'EEE, el Regne Unit, Suïssa i qualsevol jurisdicció que hagi adoptat el mateix estàndard. Sota el GDPR, el flux de comportament constitueix un tractament de dades personals perquè la combinació del rastre del cursor, l'adreça IP, l'empremta digital del dispositiu i l'identificador de sessió és suficient per identificar un individu. Sota el CCPA i el CPRA, la mateixa recollida es considera una venda o compartició tret que l'editor tingui el contracte de proveïdor de serveis pertinent amb Hotjar — que Hotjar ofereix a través del seu DPA conforme al CCPA, però que només entra en vigor quan la integració està configurada correctament. Sota la guia del EDPB sobre reproducció de sessions, el llistó és encara més alt: la reproducció ha d'estar vinculada a un objectiu d'investigació UX específic i legítim, el període de conservació ha de ser el mínim necessari, i al titular de les dades se l'ha d'informar no sols que existeixen enregistraments sinó que la seva pròpia sessió pot ser reproduïda per un analista.

Què recull Hotjar abans del consentiment — i el que s'ha de suprimir

L'error d'implementació més comú és el que s'inclou amb el propi inici ràpid de Hotjar: enganxar l'script de seguiment directament al <head> de la pàgina. Això funciona, però carrega Hotjar abans que el banner de galetes s'hagi renderitzat, la qual cosa significa que les galetes es defineixen i l'enregistrament del comportament comença en la primera visualització de la pàgina — independentment del que l'usuari decideixi després. Tots els reguladors de la UE que s'han pronunciat sobre aquest patró ho han fet de la mateixa manera: les galetes definides abans del consentiment són il·legals i l'editor n'és responsable.

Una integració conforme ha d'impedir, per tant, que l'script de Hotjar es carregui en absolut fins que s'hagi atorgat la categoria de consentiment pertinent. La manera més neta de fer-ho és embolcallar el fragment de Hotjar dins d'una etiqueta <script> condicionada pel consentiment que el CMP injecti només després que l'usuari hagi acceptat la categoria d'anàlisi o de recerca de productes. Si l'script es carrega a través d'un gestor d'etiquetes, l'equivalent és configurar el disparador per a un esdeveniment de consentiment atorgat en lloc de All Pages. La pròpia documentació de Hotjar ara recomana explícitament aquest patró, i la plataforma exposa una API hj('consent', 'grant') per als casos en què l'script ha d'estar present però romandre inactiu fins que es registri el consentiment.

Galetes i emmagatzematge que escriu Hotjar

Hotjar Tracking Code 6.x escriu els identificadors següents, tots els quals no són essencials i requereixen consentiment: _hjSessionUser_{siteId} amb una caducitat de 365 dies que conté l'identificador de l'usuari, _hjSession_{siteId} amb una caducitat de 30 minuts que conté l'identificador de sessió, _hjFirstSeen, _hjIncludedInSessionSample_{siteId}, _hjAbsoluteSessionInProgress i diverses galetes d'atribució de campanyes quan les enquestes o els widgets de comentaris estan actius. Els propis enregistraments de sessions s'emmagatzemen als servidors de Hotjar i s'associen a l'identificador de sessió — per tant, revocar el consentiment també ha de donar senyal d'una sol·licitud d'eliminació a través de l'API de Hotjar o del flux d'eliminació d'usuaris dins del producte.

Mapatge de Hotjar als marcs de consentiment

Hotjar no s'integra de manera nativa amb IAB TCF ni amb la IAB Global Privacy Platform. No és un proveïdor de tecnologia publicitària i mai no va estar pensat per ser-ho. Tanmateix, s'integra amb Google Consent Mode v2 a través del senyal analytics_storage, i exposa la seva pròpia API de consentiment nativa a la qual qualsevol CMP es pot vincular. El patró que supera la revisió d'un regulador tracta cada capacitat de Hotjar com una porta de consentiment separada.

El patró d'integració que funciona

El desplegament de referència té quatre parts: un CMP que exposa un esdeveniment de canvi de consentiment en temps real, un carregador d'scripts diferit que només injecta el fragment de Hotjar després que s'activi el consentiment d'anàlisi, una capa de supressió d'enregistrament de sessions que estableix l'enregistrament per defecte en apagat fins que s'obri una porta separada, i una configuració d'ocultació d'entrada que suprimeix de manera estricta qualsevol camp que un regulador consideraria sensible fins i tot quan s'ha atorgat el consentiment. El quart punt sovint es passa per alt: l'ocultació d'entrada no és un substitut del consentiment, però sí un substitut de la catàstrofe quan el consentiment s'atorga per a una recerca legítima i un usuari pega dades sensibles en un camp de text lliure.

Implementació web

A la web, el patró més net és subscriure's a l'esdeveniment de canvi de consentiment del CMP i, a continuació, injectar condicionalment el fragment de Hotjar quan la finalitat d'anàlisi canvia de fals a cert. Feu servir document.createElement('script') per injectar el codi de seguiment amb l'atribut async establert, i adjunteu un controlador onload que cridi hj('identify', userId, properties) només si existeix un identificador d'usuari validat pel servidor. Quan es revoca el consentiment, crideu hj('consent', 'revoke'), feu caducar totes les galetes _hj via document.cookie, i envieu una sol·licitud d'eliminació a través de l'API de Hotjar Data per als enregistraments de sessions anteriors de l'usuari. No inicialitzeu Hotjar de manera mandrosa en el mateix pas de renderització que el banner — l'script ha d'esperar un atorgament explícit, i l'atorgament s'ha de registrar amb una marca de temps i una cadena de consentiment abans que l'script s'activi.

Ocultació d'entrada i supressió de dades sensibles

L'enregistrador de sessions de Hotjar s'inclou amb tres modes d'ocultació: Suppress mode, que és el valor per defecte per als camps de contrasenya i qualsevol element marcat amb l'atribut data-hj-suppress; Whitelist mode, on només es registren les entrades explícitament acceptades; i Mask mode, on les pulsacions de tecles es registren com a asteriscs. Sota les regles de categories especials del GDPR i la definició d'informació personal sensible del CCPA, qualsevol camp que pugui capturar informació sanitària, detalls financers, identificadors governamentals, dades biomètriques, geolocalització precisa o contingut de comunicacions privades ha d'usar Suppress mode independentment de l'estat de consentiment de l'usuari. Establir data-hj-suppress a nivell de formulari en lloc de a nivell de camp és el patró més segur — suprimeix tot el formulari fins i tot si un desenvolupador afegeix posteriorment un nou camp que oblida marcar individualment.

Aplicacions d'una sola pàgina i canvis de ruta

Per a les SPA (React, Vue, Angular, Svelte), el fragment de Hotjar es vincula per defecte només a la càrrega inicial de la pàgina. Per fer un seguiment de les transicions de pàgines virtuals, el bootstrap ha de cridar hj('stateChange', newPath) en cada canvi de ruta. Aquesta crida respecta l'estat de consentiment que Hotjar mantingui en aquell moment, de manera que la lògica de control del CMP no s'ha de duplicar — però el canvi de ruta no ha d'activar per si mateix una nova càrrega d'script si el consentiment s'ha revocat entre visualitzacions de pàgina.

Validació de la integració

El pas de validació és el que comproven els reguladors i el que els editors passen per alt amb més freqüència. Un desplegament de Hotjar correctament integrat ha de superar quatre proves en ordre. En primer lloc, una sessió de navegador nova amb el banner mostrat però sense cap opció triada ha de produir zero sol·licituds a static.hotjar.com, script.hotjar.com o vars.hotjar.com, i zero galetes _hj a document.cookie. En segon lloc, refusar l'anàlisi ha de mantenir aquest estat — sense càrrega d'script, sense enregistrament, sense galetes. En tercer lloc, acceptar l'anàlisi ha de produir una càrrega d'script i les galetes _hjSessionUser i _hjSession esperades amb atributs SameSite correctes, i un enregistrament de mapa de calor ha d'aparèixer al tauler de Hotjar en cinc minuts. En quart lloc, revocar el consentiment a posteriori ha d'aturar immediatament l'enregistrament addicional, fer caducar les galetes i activar una sol·licitud d'eliminació — un neteja tardà és una infracció.

El rastre d'auditoria és important per separat. Els reguladors esperen que l'editor pugui demostrar, per a qualsevol enregistrament del compte de Hotjar, que l'usuari que el va generar havia donat un consentiment vàlid en el moment de la captura. El patró estàndard és incrustar la versió del consentiment i la marca de temps com a atribut personalitzat al registre d'usuari de Hotjar via hj('identify', userId, { consent_version: 'v3', consent_ts: ts }). Això fa que qualsevol enregistrament específic sigui traçable fins a una entrada específica del registre de consentiment, que és l'estàndard que ha establert el EDPB i l'estàndard que els editors haurien d'adoptar independentment d'on operin. Un desplegament correctament controlat, combinat amb una ocultació d'entrada que suprimeix per defecte i un camí d'eliminació que s'activa en la revocació, és el que fa de Hotjar una part defensable d'una pila de recerca en lloc d'una responsabilitat de compliment.

← Blog Llegir tot →