Brevo (Sendinblue) Guía de integración del consentimiento de cookies: Cumplimiento del GDPR para marketing por correo electrónico y SMS en 2026

Brevo, la plataforma anteriormente conocida como Sendinblue, es la plataforma de marketing por correo electrónico y SMS con sede en Europa continental más ampliamente desplegada. Su cambio de marca en 2023 coincidió con una expansión sustancial de la superficie del producto: junto con el motor de automatización de correo electrónico original, Brevo ahora incluye correo electrónico transaccional, marketing por SMS, mensajería de WhatsApp, un CRM de ventas, un programador de reuniones, notificaciones push y un widget de conversación para sitios web. Cada componente instala su propio script, establece sus propias cookies y reenvía datos a los centros de datos europeos de Brevo. El legado francés de la plataforma es importante para el cumplimiento del consentimiento de dos maneras. En primer lugar, los centros de datos de Brevo están ubicados en la UE, lo que simplifica sustancialmente el análisis de transferencia transfronteriza en comparación con los competidores con sede en EE. UU. En segundo lugar, la CNIL — el regulador local de Brevo — ha sido el ejecutor más agresivo de las normas de consentimiento de cookies en Europa, lo que significa que la documentación de integración predeterminada de Brevo ha quedado históricamente rezagada respecto a lo que el regulador espera realmente. Esta guía explica qué recopila cada componente de Brevo, dónde se encuentra el límite de consentimiento en 2026 y cómo conectar el stack completo de Brevo a una CMP de terceros de manera limpia.

Las superficies de seguimiento de Brevo

Un despliegue completo de Brevo toca cuatro superficies de seguimiento diferenciadas, cada una con su propia pregunta de consentimiento.

Brevo Tracker (sib-tracker.js)

El Brevo Tracker es la capa de análisis de comportamiento, cargada desde cdn.brevo.com/js/sib-tracker.js. Identifica a los visitantes con la cookie sib-tracker-id e informa a Brevo sobre las vistas de páginas, los clics y las cargas de eventos personalizados. Una vez que un visitante es identificado por correo electrónico (normalmente a través de un envío de formulario o inicio de sesión), el Tracker vincula el historial de navegación anónimo con el perfil de contacto conocido. Desde una perspectiva regulatoria, el Tracker es un rastreador de comportamiento con fines de marketing que requiere consentimiento de opt-in en la UE.

Formularios de registro de Brevo

Los formularios de Brevo vienen en dos variantes: formularios HTML embebidos (ligeros, sin necesidad de script externo) y formularios emergentes (un script separado que monitoriza el comportamiento del visitante para decidir cuándo mostrarse). El formulario embebido es aproximadamente equivalente a un formulario de contacto desde una perspectiva de privacidad; el formulario emergente se parece más a un rastreador de comportamiento y requiere la misma activación que el Tracker.

Widget de conversaciones de Brevo

El producto Conversations (el chat en vivo de Brevo) carga su propio script desde conversations-widget.brevo.com, establece cookies de sesión e inicia una conexión de presencia en tiempo real. Funcionalmente similar al Messenger de Intercom; el tratamiento del consentimiento es idéntico.

APIs transaccionales y programáticas

Brevo también opera superficies del lado del servidor: la API de correo electrónico transaccional para mensajes generados por el sistema, la API de SMS para textos salientes y la API de automatización de marketing para campañas activadas. Estos no se ejecutan en el dispositivo del usuario, pero los píxeles de seguimiento de correo electrónico embebidos en los mensajes sí lo hacen — y esos píxeles son una superficie de consentimiento separada que hereda las mismas restricciones que los píxeles web bajo Apple Mail Privacy Protection y protecciones similares del lado del correo electrónico.

Controles de privacidad nativos de Brevo

Brevo ha reforzado sus primitivas de privacidad nativas durante los últimos dos años, especialmente en respuesta a la orientación de la CNIL sobre los banners de cookies y los registros de consentimiento.

El doubleOptinRedirect y el flujo de confirmación

El flujo de adquisición de suscriptores predeterminado de Brevo utiliza la doble confirmación — un suscriptor se registra, recibe un correo electrónico de confirmación y debe hacer clic para confirmar. Bajo el GDPR, esto crea un registro de consentimiento documentado que es significativamente más sólido que las alternativas de confirmación única. Configure la doble confirmación de forma predeterminada a menos que haya una razón específica para no hacerlo.

El parámetro de consentimiento de trackEvent

La función trackEvent del Tracker acepta una carga de consentimiento opcional. Pasarla le permite propagar la decisión del CMP al flujo de eventos de Brevo, que el motor de segmentación de Brevo respeta. Conéctelo desde el callback de consentimiento del CMP.

Campos de consentimiento a nivel de contacto

Los perfiles de suscriptores de Brevo tienen campos integrados para el consentimiento de correo electrónico, consentimiento de SMS, consentimiento de WhatsApp y fuente de consentimiento. Las actualizaciones a través de la Contacts API se propagan en tiempo real a la lógica de segmentación, por lo que las campañas respetan automáticamente el estado registrado.

Residencia de datos en la UE

Brevo opera centros de datos en Paris y Munich. Para las cuentas donde la residencia en la UE es importante, la residencia de datos es automática — no se requiere configuración de opt-in. Esto es una simplificación operativa significativa en comparación con los competidores con sede en EE. UU. donde la residencia en la UE es una opción de configuración de pago.

Integración de CMP paso a paso

El patrón de integración fiable consiste en diferir cada superficie de seguimiento de Brevo detrás del CMP y sincronizar la decisión de consentimiento con los campos de nivel de contacto de Brevo a través de la API.

1. Elimine el fragmento predeterminado del Tracker del encabezado del documento

El fragmento de instalación del Brevo Tracker es una etiqueta de script de una sola línea. Reemplácelo con un elemento de script de marcador de posición con type="text/plain" y data-category="marketing". El CMP reescribe el tipo de vuelta a text/javascript cuando el visitante acepta el marketing.

2. Difiera los formularios emergentes por separado de los formularios embebidos

Los formularios de registro HTML embebidos pueden renderizarse en la carga inicial de la página sin activación — no establecen cookies ni cargan scripts externos. Los formularios emergentes deben activarse bajo el consentimiento de marketing, igual que el Tracker. La mayoría de las instalaciones de Brevo confunden los dos; audite su inventario de formularios y trátelos de manera diferente.

3. Active Conversations explícitamente

El widget de Conversations se carga desde conversations-widget.brevo.com e inicializa una conexión de sesión al cargar la página. Actívelo detrás del consentimiento de marketing. Para los usuarios que rechazan el marketing, proporcione una ruta de contacto de soporte alternativa — un formulario, un enlace de correo electrónico o un botón explícito de "Iniciar chat" que solo carga el widget cuando se hace clic.

4. Escriba la decisión del CMP en el perfil de contacto

Cuando un suscriptor conocido actualiza su consentimiento a través del banner del CMP, llame a la Contacts API de Brevo para actualizar los campos de consentimiento de correo electrónico, SMS y WhatsApp del suscriptor. Esto mantiene la segmentación de Brevo alineada con el estado registrado. La mayoría de los CMP modernos tienen un conector de Brevo que gestiona esto de principio a fin.

5. Respete la revocación en tiempo real

Ante la revocación del consentimiento, el CMP debe llamar tanto a la función de cierre del Tracker en la página como al endpoint de la Contacts API para actualizar el perfil. Sin ambos, el banner registra una revocación pero el seguimiento subyacente continúa en el nivel de contacto.

Errores comunes

Cuatro errores de integración representan la mayor parte de los hallazgos de auditoría en los despliegues de Brevo.

Confirmación única para adquisiciones europeas

Brevo admite tanto la confirmación única como la doble. La confirmación única crea un registro de consentimiento más débil y ha sido citada por la CNIL en acciones de ejecución contra varios operadores franceses y belgas. Para cualquier audiencia europea, configure la doble confirmación de forma predeterminada.

Confundir formularios embebidos y emergentes

Los formularios embebidos son de bajo riesgo; los formularios emergentes son seguimiento de categoría de marketing. Actívelos de manera diferente. Tratar ambos como "formularios" y activar ambos o ninguno es el defecto de configuración único más común.

Llamadas a la API del lado del servidor sin contexto de consentimiento

La API de correo electrónico transaccional y la API de SMS pueden llamarse desde su backend sin el estado de consentimiento en la página en el ámbito. El backend debe buscar el estado de consentimiento del contacto en el momento del envío y respetarlo; de lo contrario, la decisión del CMP no se aplica a los mensajes iniciados por el servidor.

Olvidar el píxel de correo electrónico

Los píxeles de seguimiento de correo electrónico de Brevo están sujetos a la misma degradación de Apple Mail Privacy Protection que cualquier otro proveedor. El píxel todavía requiere una decisión de consentimiento separada distinta del consentimiento de cookies en su sitio web. Muchos operadores registran el consentimiento de cookies pero nunca registran explícitamente el consentimiento del píxel de correo electrónico.

Lista de verificación de auditoría

Seis preguntas concretas para responder en cualquier despliegue de Brevo que toque tráfico de la UE, el Reino Unido o California.

Dónde encaja Brevo en un stack orientado al consentimiento

Brevo ocupa una posición privilegiada respecto a sus competidores estadounidenses: datos residentes en la UE, doble confirmación predeterminada y sólidas primitivas de consentimiento nativas. El legado francés de la plataforma significa que ha sido diseñada contra las expectativas de la CNIL desde el principio, lo que es una ventaja operativa significativa cuando esas expectativas se han convertido en el estándar europeo de facto. El trabajo de integración es en gran medida el mismo que para cualquier otra plataforma de marketing — active las superficies de seguimiento, sincronice la decisión de consentimiento a través de la API, documente la arquitectura — pero la fricción regulatoria es menor que para las alternativas con sede en EE. UU. Para operadores europeos o para cualquier pequeña empresa que desee mantener su stack de marketing dentro del perímetro regulatorio de la UE, Brevo combinado con un CMP correctamente integrado es una de las posturas más defendibles disponibles en 2026.

← Blog Leer todo →