Guia d'Integració del Consentiment de Cookies de HubSpot: Seguiment Conforme amb el GDPR per a Professionals del Màrqueting el 2026
HubSpot és una de les plataformes de màrqueting més profundament integrades a la web moderna. El seu script de seguiment s'executa en milions de llocs B2B, capturant visualitzacions de pàgines, enviaments de formularis, sessions de xat i comportament a nivell d'identificador que flueix directament al HubSpot CRM. El problema és que, per defecte, aquest script comença a recollir dades personals en el moment en què es carrega una pàgina — molt abans que cap visitant hagi tingut l'oportunitat de prendre una decisió. Per a qualsevol organització que gestioni trànsit de la UE, el Regne Unit, el Brasil o Califòrnia, aquest comportament per defecte ja no és conforme, i és precisament el tipus de problema que els reguladors assenyalen en les reclamacions reals. Aquesta guia explica què fa un seguiment real HubSpot, on es troba el límit del consentiment i com connectar HubSpot a una plataforma de gestió del consentiment (CMP) de tercers perquè l'analítica de màrqueting continuï funcionant sense risc de multa.
Per Què el Seguiment de HubSpot Necessita un Senyal de Consentiment Real
HubSpot diposita una sèrie de cookies de primera part al dispositiu del visitant tan aviat com s'executa l'script de seguiment (el fragment de JavaScript de HubSpot, normalment hs-scripts.com/{hub_id}.js). Les més importants són __hstc, hubspotutk i __hssc, que juntes identifiquen el visitant entre sessions, vinculen els enviaments de formularis amb l'historial de navegació anònim i alimenten els models de puntuació de leads al CRM. Sota el GDPR i la Directiva ePrivacy, les tres són cookies no essencials que requereixen consentiment previ lliure, específic, informat i inequívoc. Carregar el fragment al cap del document — que és el patró d'integració per defecte de HubSpot — col·loca aquestes cookies abans que se li hagi preguntat res al visitant.
Les conseqüències no són teòriques. Les autoritats de protecció de dades de França, Itàlia i Espanya han emès accions d'execució durant els últims dos anys contra organitzacions les piles de màrqueting de les quals configuraven cookies de seguiment prèviament al consentiment. Les multes han oscil·lat des de sancions de cinc xifres per a petits editors fins a multes de milions d'euros per a grans empreses. El bàner de consentiment de cookies natiu de HubSpot existeix, però és intencionadament lleuger i no bloqueja per si mateix que el fragment s'activi. La majoria dels revisors de compliment el tracten com una capa de notificació en lloc d'una capa de control.
Què Fa un Seguiment Real HubSpot
Abans de decidir com tancar HubSpot, és útil ser precisos sobre quines categories de processament estan en joc. La superfície de seguiment de HubSpot es divideix en quatre grups que se superposen, cadascun amb les seves pròpies implicacions de consentiment.
Analítica de comportament
Els esdeveniments de visualització de pàgines, clics, desplaçament i durada de sessió es recullen automàticament un cop es carrega el codi de seguiment. Aquests esdeveniments construeixen la línia de temps del visitant que veieu dins dels registres de contactes de HubSpot i són la base de cada regla de puntuació de leads o flux de treball. Des de la perspectiva d'un regulador, es tracta d'un seguiment analític senzill que requereix consentiment opt-in a la UE i l'EEA. Al Regne Unit, les directrius de la ICO de 2023 ho tracten de manera idèntica.
Formularis i xat
Els formularis de HubSpot i el widget de xat de HubSpot (anteriorment la integració de Drift) es poden configurar per carregar-se independentment de l'script de seguiment principal. Els enviaments de formularis, en la majoria dels anàlisis legals, es consideren una activitat de processament separada amb la seva pròpia base legal — normalment el compliment del contracte o l'interès legítim. El xat que registra transcripcions en un servidor de tercers, però, generalment requereix consentiment per a la pròpia gravació.
Vinculació d'identitat entre dominis
Si utilitzeu el mateix portal de HubSpot a múltiples dominis, el fragment intentarà configurar i llegir cookies de manera que vinculin els visitants a través d'aquestes propietats. Això entra en el que l'EDPB anomena "seguiment" en sentit estricte i és la categoria d'alt risc. També és la que és més probable que es marqui durant una DPIA.
Integracions de màrqueting
HubSpot pot enviar esdeveniments a Google Ads, Meta, LinkedIn i altres xarxes publicitàries a través de les seves integracions. Cadascuna d'aquestes transferències posteriors porta el seu propi requisit de consentiment i, a la UE, la seva pròpia avaluació de transferència de dades.
Bàner Natiu de HubSpot vs. CMP de Tercers
HubSpot inclou un bàner de consentiment de cookies integrat que podeu activar des de Configuració > Privadesa i consentiment. Mostrarà un avís configurable, registrarà un registre de consentiment contra el contacte i respectarà una única exclusió voluntària per a l'analítica. Per a organitzacions molt petites que operen en jurisdiccions de baix risc, pot ser suficient. Per a qualsevol persona seriosa quant al compliment — o qualsevol que executi publicitat conscient del mode de consentiment — no ho és.
Les raons pràctiques per passar a un CMP de tercers són:
- Categories granulars. El bàner natiu no separa les cookies estrictament necessàries, funcionals, analítiques i de màrqueting en interruptors separats, que és l'estructura que esperen els reguladors.
- Suport IAB TCF i GPP. Si participeu en publicitat programàtica, necessiteu un CMP certificat per Google que emeti una cadena TC vàlida. El bàner natiu de HubSpot no ho fa.
- Mode de Consentiment v2. Google ara requereix senyals de consentiment en format v2 per al trànsit de l'EEA. Un CMP dedicat conecta això de principi a fi, inclosa la configuració de denegació per defecte.
- Multilingüe i accessibilitat. La majoria de CMP s'envien amb paquets de 30 o més idiomes i valors predeterminats compatibles amb WCAG. El bàner integrat de HubSpot és més limitat.
- Registre d'auditoria. Un CMP dedicat registra cada decisió de consentiment amb marca de temps, versió del bàner i elecció — les proves que els reguladors demanen en les investigacions.
Integració Pas a Pas amb un CMP de Tercers
El patró d'integració que funciona de manera fiable és mantenir el fragment de HubSpot a la pàgina però evitar que s'executi fins que es registri una decisió de consentiment. A continuació es troba l'enfocament canònic, escrit genèricament perquè s'apliqui a qualsevol CMP modern, inclòs FlexyConsent.
1. Elimineu el fragment per defecte del cap del document
Al vostre template del lloc, suprimiu l'etiqueta <script> en línia que carrega hs-scripts.com/{hub_id}.js. Substituïu-la per un marcador de posició que el vostre CMP pugui activar més endavant, normalment configurant l'atribut type a text/plain i afegint un atribut de dades de categoria com data-category="marketing".
2. Assigneu HubSpot a la categoria de consentiment correcta
La majoria de CMP utilitzen l'IAB TCF o un model de quatre grups: necessari, funcional, analítica, màrqueting. L'script de seguiment de HubSpot toca tant les categories d'analítica com les de màrqueting a causa de la integració amb el CRM. L'assignació conservadora és tancar tot el fragment darrere de la categoria de màrqueting, que és el grup més restrictiu. Si el vostre CMP permet una assignació detallada, podeu dividir: carregueu formularis sota funcional, carregueu esdeveniments d'analítica sota analítica i carregueu la vinculació d'identitat del CRM sota màrqueting.
3. Configureu el callback d'activació
El vostre CMP exposa un esdeveniment o callback que s'activa quan un usuari atorga consentiment per a una categoria. En aquest callback, reescriviu l'atribut type de l'etiqueta d'script de marcador de posició de nou a text/javascript i afegiu-la al document. L'script es carregarà i s'executarà normalment. Per a un SPA, registreu el callback a cada canvi de ruta perquè les pàgines muntades recentment també rebin l'activació.
4. Connecteu el Mode de Consentiment v2
Si utilitzeu Google Ads o GA4 juntament amb HubSpot, el vostre CMP ha d'enviar els senyals de consentiment v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — al dataLayer abans que s'activi qualsevol etiqueta de Google. HubSpot en si no consumeix aquests senyals, però la resta de la vostra pila sí, i la inconsistència entre HubSpot i Google apareixerà als vostres informes com una bretxa d'ingressos mesurable.
5. Sincronitzeu l'estat de consentiment al HubSpot CRM
Quan un contacte conegut actualitza el seu consentiment (per exemple, tornant a visitar el bàner i revocant el consentiment de màrqueting), heu de reflectir-ho al registre de HubSpot perquè la lògica del flux de treball deixi d'enviar correus electrònics de màrqueting. L'API de HubSpot exposa un punt final communication-preferences que accepta actualitzacions a nivell de subscripció. La majoria de CMP es poden configurar per cridar aquest punt final des d'un ganxo del costat del servidor.
Errors Comuns i Com Evitar-los
Tres errors d'integració expliquen la majoria de les conclusions d'auditoria que veiem en piles amb molt ús de HubSpot.
Carregar el fragment massa aviat
Alguns equips posen l'etiqueta de HubSpot dins d'un gestor d'etiquetes i assumeixen que el gestor d'etiquetes gestiona el consentiment. Google Tag Manager honora el mode de consentiment, però només per a les etiquetes que requereixen explícitament un estat atorgat. Si l'etiqueta de HubSpot es configura sense aquest requisit, GTM l'activarà independentment. Sempre configureu el camp Consentiment addicional a l'etiqueta per requerir el consentiment de màrqueting abans de l'activació.
Oblidar els scripts de formularis
Els formularis de HubSpot es serveixen des d'un domini separat (forms.hsforms.com) i es poden incrustar amb el seu propi script. Si tanqueu el fragment de seguiment principal però deixeu que el script del formulari es carregui en el renderitzat inicial, en realitat no heu resolt el problema — la biblioteca de formularis configura les seves pròpies cookies d'identificació. Tanqueu ambdós i deixeu que el CMP els carregui junts.
Tractar la exclusió voluntària com a inclusió voluntària
La configuració nativa de HubSpot inclou una opció No rastrejar i una exclusió voluntària d'un sol clic. Alguns equips interpreten aquests com un mecanisme suficient per complir amb el GDPR. No ho són — el GDPR requereix una inclusió voluntària afirmativa per a les cookies no essencials, i una casella de verificació d'exclusió voluntària enterrada en una pàgina de privadesa no compleix aquest estàndard. Feu que el CMP sigui la font autoritzada de l'estat del consentiment i configureu HubSpot per deferir-s'hi.
Documentació Preparada per a Auditoria
Un cop establerta la integració tècnica, el pas final és assegurar-se que el rastre de proves pot resistir una sol·licitud d'un regulador. Com a mínim, conserveu un registre de: les categories a les quals el vostre CMP assigna HubSpot, la versió del bàner de consentiment activa en qualsevol data, cadenes TC de mostra que mostren un consentiment vàlid i els registres de l'API que demostren que HubSpot no va activar cap trucada de seguiment abans del consentiment. La majoria de les accions d'execució no es paralitzen per la tecnologia sinó per la documentació — les organitzacions que poden presentar un rastre de paper clar normalment resolen les investigacions molt més ràpidament que les que no poden. Una plataforma de gestió del consentiment que exporta aquests artefactes a demanda converteix l'auditoria d'una carrera de setmanes en una resposta d'una tarda.