Guia d'integració del consentiment de cookies de Klaviyo: correu electrònic i SMS conformes amb el GDPR per al comerç electrònic el 2026
Klaviyo és la plataforma dominant de màrqueting per correu electrònic i SMS per al comerç electrònic directe al consumidor. Està instal·lada en una fracció significativa de totes les botigues de Shopify, BigCommerce i Magento a tot el món, i la seva capa de seguiment al lloc — l'script que observa el comportament de navegació, atribueix les visualitzacions de pàgines als perfils coneguts i desencadena fluxos de carret abandonat i navegació abandonada — és el que fa que la plataforma sigui valuosa comercialment. També és una de les peces que es configuren de manera incorrecta amb més freqüència en una pila de comerç electrònic des d'una perspectiva de privadesa. L'script de seguiment Klaviyo Onsite, la biblioteca Klaviyo Forms i els fluxos d'adhesió a SMS recullen dades personals en el moment en que es carreguen, abans que s'hagi mostrat cap bàner de consentiment. Per a qualsevol botiga que gestioni trànsit de la EU, el UK, el Brasil o Califòrnia, aquest comportament predeterminat ja no és conforme, i els reguladors més actius en l'aplicació del comerç electrònic — el CNIL a França, l'AEPD a Espanya, el Garante italià i l'Agència de Protecció de la Privadesa de Califòrnia — han deixat clar que tracten els scripts de màrqueting de manera idèntica independentment de si el proveïdor és gran o petit. Aquesta guia explica què recull Klaviyo, com integrar-la amb un CMP de tercers i on encaixen els primitius de privadesa propis de la plataforma.
Què recull Klaviyo Onsite Tracking
El fragment de Klaviyo Onsite (carregat des de static.klaviyo.com/onsite/js/klaviyo.js) inicialitza una cua global _learnq i identifica els visitants amb una cookie de propietat de Klaviyo anomenada __kla_id. Un cop instal·lat, informa automàticament dels esdeveniments de visualització de pàgines, captura les interaccions amb formularis, activa l'esdeveniment Active On Site que impulsa el flux Browse Abandonment de Klaviyo, i vincula el comportament de navegació anònim a un perfil d'abonat conegut en el moment en que el visitant inicia sessió o envia un formulari amb una adreça de correu electrònic. Els esdeveniments posteriors — Viewed Product, Added to Cart, Started Checkout, Placed Order — s'activen a través de la mateixa infraestructura d'identitat i hereten la mateixa atribució basada en cookies.
Per a l'anàlisi del GDPR, la cookie no és essencial, les dades que surten de la pàgina són dades personals perquè estan vinculades a un identificador persistent, i Klaviyo està establerta als Estats Units, la qual cosa fa que la transferència estigui subjecta al Marc de Privadesa de Dades EU-EUA. Les tres condicions empenten Klaviyo Onsite tracking fermament cap al territori de "requereix consentiment previ" a la EU, el UK, l'EEA i el Brasil en virtut del LGPD. A Califòrnia, el mateix tractament cau sota el dret de rebuig de compartir per a publicitat de comportament de context creuat del CPRA, que la compartició de Klaviyo amb destinacions de mitjans de pagament posteriors desencadena.
Les tres superfícies de seguiment que heu de bloquejar
Una instal·lació de Klaviyo no és una superfície de seguiment, en són tres, i cal tractar-les per separat en una integració CMP.
L'script de seguiment Onsite
Aquest és el rastrejador de comportament principal — l'script que estableix __kla_id i impulsa el flux d'esdeveniments actiu al lloc. És la superfície que la majoria d'equips recorda bloquejar i la més visible pels reguladors en auditoria. Bloquegeu-la per defecte i carregueu-la només quan el visitant accepti la categoria de màrqueting.
Klaviyo Forms i finestres emergents de registre
Klaviyo Forms és una biblioteca separada que impulsa les finestres emergents de registre per correu electrònic i SMS, els formularis incrustats i el desbloqueig de contingut protegit. Està allotjada al mateix domini però es carrega com un script separat. Els formularis poden activar esdeveniments d'impressió i enviament independentment del rastrejador Onsite principal, de manera que bloquejar només Onsite deixant Forms carregant és un patró de compliment parcial comú que segueix filtrant dades d'identificació.
Recollida d'adhesió a SMS
Les adhesions a SMS tenen el seu propi requisit de consentiment en virtut del TCPA als EUA i en virtut de les normes específiques del sector a la EU, i els formularis SMS de Klaviyo recullen números de telèfon juntament amb el consentiment confirmat per casella de verificació. El consentiment recollit aquí és per als propis missatges SMS, separat del consentiment de cookies. Una pila configurada correctament registra tots dos: el consentiment de cookies al CMP, el consentiment SMS al perfil d'abonat de Klaviyo.
Controls de privadesa natius de Klaviyo
Klaviyo exposa diversos primitius de privadesa natius. Com amb la majoria de les plataformes de màrqueting, assumeixen que existeix una decisió de consentiment i que s'està passant. No recullen el consentiment ells mateixos.
La propietat de consentiment a les trucades d'identificació
Quan crideu klaviyo.identify() o klaviyo.track(), podeu adjuntar una càrrega útil de consentiment que registra la base jurídica per a les comunicacions de màrqueting. Aquest és el primitiu correcte per passar la decisió del CMP al perfil d'abonat de Klaviyo.
Camps de consentiment a nivell de perfil
El perfil d'abonat té camps dedicats per al consentiment de correu electrònic, el consentiment SMS i la font del consentiment. Les actualitzacions d'aquests camps es propaguen al motor de segmentació de Klaviyo de manera que els fluxos respectin l'estat registrat.
El tauler de configuració de privadesa i consentiment
La interfície d'administrador de Klaviyo té una secció de privadesa i consentiment que controla alguns comportaments predeterminats — per exemple, si l'esdeveniment Active On Site s'activa per als visitants sense consentiment registrat. El predeterminat és permissiu; ajustar aquesta configuració és una capa addicional útil a sobre del bloqueig a nivell de CMP.
Integració de CMP pas a pas
L'arquitectura fiable és bloquejar les tres superfícies de seguiment de Klaviyo darrere del CMP i usar les propietats de consentiment a les trucades d'identificació i seguiment de Klaviyo per mantenir els registres d'abonats de la plataforma sincronitzats amb l'estat de consentiment registrat.
1. Elimineu el fragment Onsite predeterminat de l'encapçalament
Klaviyo proporciona un fragment d'una línia que els instal·ladors normalment enganxen a l'encapçalament del document. Elimineu-lo. Substituïu-lo per un element d'script de marcador de posició l'atribut type del qual és text/plain i l'atribut data-category del qual l'identifica com a màrqueting. El vostre CMP tornarà a escriure el tipus a text/javascript quan el visitant accepti la categoria de màrqueting.
2. Diferiu la càrrega de Klaviyo Forms
La biblioteca Forms es carrega independentment d'Onsite. Apliqueu el mateix patró de marcador de posició al seu element d'script de manera que no s'inicialitzi abans del consentiment. Després de concedir el consentiment, tant Onsite com Forms poden inicialitzar-se junts; els esdeveniments en cua es buiden automàticament.
3. Separeu el consentiment SMS del consentiment de cookies
La recollida d'adhesió a SMS s'executa a través de Klaviyo Forms, però el consentiment recollit (la casella de verificació explícita per al màrqueting SMS) és un artefacte jurídic separat del consentiment de cookies. El bàner del CMP registra la decisió de cookies; la casella de verificació del formulari registra la decisió SMS. No els agrupeu — el consentiment agrupat no és vàlid ni en virtut del GDPR ni del TCPA.
4. Propageu el consentiment al perfil de Klaviyo
Quan un abonat conegut accepta o revoca el consentiment al vostre lloc, el CMP hauria de cridar l'API de Klaviyo per actualitzar els camps de consentiment del perfil. Klaviyo Profiles API admet una trucada d'actualització parcial que escriu el consentiment de correu electrònic, el consentiment SMS i la marca de temps del consentiment sense sobreescriure la resta del perfil. La majoria dels CMP moderns tenen un connector de Klaviyo que ho gestiona d'inici a fi.
5. Connecteu Consent Mode v2 si executeu etiquetes de Google al costat
La majoria de botigues que usen Klaviyo també executen Google Ads i GA4. El vostre CMP ha de publicar els senyals de consentiment v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — al dataLayer abans que s'activi cap etiqueta de Google. Klaviyo no consumeix aquests senyals de manera nativa, però Google sí, i una inconsistència entre Klaviyo i Google apareixerà com una bretxa d'ingressos mesurable en els informes d'atribució.
Errors comuns
Quatre errors d'integració apareixen repetidament en les auditories dels desplegaments de Klaviyo.
Tractar Forms com a "simplement una finestra emergent"
Alguns equips bloquegen Onsite sota màrqueting però deixen Forms carregant en la renderització inicial, raonant que "una finestra emergent és simplement un element de la interfície d'usuari". La biblioteca Forms activa esdeveniments d'impressió a Klaviyo per a cada finestra emergent que es mostra, que és dades de comportament d'identificació reenviades a un proveïdor de tecnologia publicitària dels EUA — el patró exacte que un CMP ha de prevenir.
Agrupar el consentiment de cookies i el consentiment SMS
Una única casella de verificació que diu "Accepto les cookies i rebre SMS de màrqueting" no és vàlida per a cap dels dos. El consentiment de cookies ha de ser específic de les cookies; el consentiment SMS ha de ser específic dels SMS. Useu controls separats.
Permetre que els connectors de mitjans de pagament de tercers s'activin en perfils revocats
Klaviyo pot enviar públics a Google Ads, Meta, TikTok i altres xarxes publicitàries mitjançant les seves integracions. Si un abonat revoca el consentiment, l'enviament de públic ha d'eliminar-lo — no només deixar d'afegir-lo. Configureu la configuració de sincronització de públic de Klaviyo per respectar els canvis d'estat de consentiment en temps real, no només a la sincronització inicial.
Oblidar la pregunta de les dades històriques
Quan un visitant accepta el consentiment per primera vegada, la vostra pila no hauria d'associar retroactivament el seu comportament anònim previ al consentiment amb el seu nou perfil. El CMP i Klaviyo haurien d'acordar que les dades de navegació prèvies al consentiment no són dades personals vinculades al perfil ara identificat. Alguns fluxos de Klaviyo assumeixen aquesta associació per defecte — reviseu els activadors de flux rellevants.
Llista de verificació d'auditoria
Sis preguntes concretes per respondre per a qualsevol desplegament de Klaviyo que toqui trànsit de la EU, el UK, el Brasil o Califòrnia.
- Onsite espera el consentiment? Obriu el tauler de la botiga en una finestra privada amb protecció de seguiment estricta i confirmeu que no s'activen sol·licituds a static.klaviyo.com abans de l'acceptació del bàner.
- Forms espera el consentiment? Confirmeu que els esdeveniments d'impressió de finestres emergents no s'activen abans que s'accepti la categoria de màrqueting.
- Estan separats el consentiment de cookies i el consentiment SMS? Confirmeu que el bàner de cookies no recull també el consentiment SMS, i que els formularis d'adhesió a SMS registren la seva pròpia casella de verificació explícita.
- El perfil de Klaviyo reflecteix l'estat del CMP? Confirmeu que el CMP escriu les decisions de consentiment als camps de consentiment del perfil a través de l'API de Klaviyo.
- Les sincronitzacions de públic respecten les revocacions? Confirmeu que revocar el consentiment elimina l'abonat dels públics de mitjans de pagament posteriors, no només de les sincronitzacions futures.
- La navegació prèvia al consentiment es manté anònima? Confirmeu que els activadors de flux no associen retroactivament el comportament previ al consentiment amb perfils recentment identificats.
On encaixa Klaviyo en una pila que prioritza el consentiment
Klaviyo se situa a la intersecció de l'atribució de comerç electrònic i les comunicacions de màrqueting directe, la qual cosa significa que toca tant el règim de consentiment de cookies (GDPR/ePrivacy, CCPA/CPRA) com el règim de comunicacions de màrqueting (CAN-SPAM, TCPA, GDPR Article 6/7 per a missatgeria). L'arquitectura correcta tracta aquests com a dues superfícies de consentiment distintes — ambdues enrutades a través d'un únic CMP que posseeix la font de la veritat, amb els camps de consentiment natius de Klaviyo sincronitzats via API. Les botigues que ho fan bé preserven el comportament de carret abandonat, navegació abandonada i segmentació que fa Klaviyo valuosa comercialment mentre redueixen l'exposició a auditories a una fracció del que comporta una instal·lació predeterminada. El treball d'enginyeria és senzill; la disciplina és no permetre que l'equip de màrqueting tracti Forms com a exempt de les mateixes regles que el rastrejador Onsite.