Guía de Integración del Consentimiento de Cookies de HubSpot: Seguimiento Conforme al GDPR para Marketers en 2026
HubSpot es una de las plataformas de marketing más profundamente integradas en la web moderna. Su script de seguimiento se ejecuta en millones de sitios B2B, capturando visitas a páginas, rellenos de formularios, sesiones de chat y comportamiento a nivel de identificadores que fluye directamente al CRM de HubSpot. El problema es que, de forma predeterminada, ese script comienza a recopilar datos personales en el momento en que se carga una página — mucho antes de que cualquier visitante haya tenido la oportunidad de tomar una decisión. Para cualquier organización que maneje tráfico de EU, UK, Brasil o California, ese comportamiento predeterminado ya no es conforme, y es cada vez más el tipo de problema que los reguladores señalan en quejas reales. Esta guía explica qué rastrea realmente HubSpot, dónde está el límite del consentimiento y cómo conectar HubSpot con una Plataforma de Gestión del Consentimiento de terceros para que los analytics de marketing sigan funcionando sin arriesgar una multa.
Por Qué el Seguimiento de HubSpot Necesita una Señal de Consentimiento Real
HubSpot deposita una serie de cookies de origen en el dispositivo de un visitante tan pronto como se ejecuta el script de seguimiento (el snippet de JavaScript de HubSpot, normalmente hs-scripts.com/{hub_id}.js). Las más importantes son __hstc, hubspotutk y __hssc, que juntas identifican al visitante a través de sesiones, vinculan envíos de formularios con el historial de navegación anónimo y alimentan los modelos de puntuación de leads en el CRM. Bajo el GDPR y la Directiva ePrivacy, las tres son cookies no esenciales que requieren un consentimiento previo libremente otorgado, específico, informado e inequívoco. Cargar el snippet en el head del documento — que es el patrón de integración predeterminado de HubSpot — coloca esas cookies antes de que al visitante se le haya preguntado absolutamente nada.
Las consecuencias no son teóricas. Las autoridades de protección de datos en Francia, Italia y España han emitido acciones de aplicación en los últimos dos años contra organizaciones cuyos stacks de marketing establecían cookies de seguimiento antes del consentimiento. Las multas han oscilado entre penalizaciones de cinco cifras para pequeños editores y multas de millones de euros para grandes empresas. El banner de cookies nativo de HubSpot existe, pero es intencionalmente ligero y no bloquea por sí solo el snippet de ejecutarse. La mayoría de los revisores de cumplimiento lo tratan como una capa de aviso más que como una capa de control.
Qué Rastrea Realmente HubSpot
Antes de decidir cómo controlar HubSpot, conviene ser precisos sobre qué categorías de procesamiento están en juego. La superficie de seguimiento de HubSpot se divide en cuatro categorías superpuestas, cada una con sus propias implicaciones de consentimiento.
Análisis de comportamiento
Los eventos de vista de página, clic, desplazamiento y duración de sesión se recopilan automáticamente una vez que se carga el código de seguimiento. Estos eventos construyen la línea de tiempo del visitante que ves dentro de los registros de contacto de HubSpot y son la base de cada regla de puntuación de leads o flujo de trabajo. Desde la perspectiva de un regulador, esto es seguimiento de analytics directo y requiere consentimiento opt-in en la EU y el EEE. En el UK, la guía del ICO de 2023 lo trata de forma idéntica.
Formularios y chat
Los formularios de HubSpot y el widget de chat de HubSpot (anteriormente integración de Drift) se pueden configurar para cargarse de forma independiente del script de seguimiento principal. Los envíos de formularios son, en la mayoría de los análisis legales, considerados una actividad de procesamiento separada con su propia base legal — típicamente cumplimiento de contrato o interés legítimo. El chat que registra transcripciones en un servidor de terceros, sin embargo, generalmente requiere consentimiento para la grabación en sí.
Vinculación de identidad entre dominios
Si utilizas el mismo portal de HubSpot en múltiples dominios, el snippet intentará establecer y leer cookies de una manera que vincule a los visitantes entre esas propiedades. Esto entra en lo que el EDPB denomina "seguimiento" en sentido estricto y es la categoría de mayor riesgo. También es la que con mayor probabilidad se señalará durante una DPIA.
Integraciones de marketing
HubSpot puede enviar eventos a Google Ads, Meta, LinkedIn y otras redes publicitarias a través de sus integraciones. Cada una de esas transferencias continuas conlleva su propio requisito de consentimiento y, en la EU, su propia evaluación de transferencia de datos.
Banner Nativo de HubSpot vs. CMP de Terceros
HubSpot incluye un banner de consentimiento de cookies integrado que puedes activar desde Configuración > Privacidad y Consentimiento. Mostrará un aviso configurable, registrará un registro de consentimiento contra el contacto y respetará un único opt-out para analytics. Para organizaciones muy pequeñas que operan en jurisdicciones de bajo riesgo, puede ser suficiente. Para cualquiera que tome el cumplimiento en serio — o para cualquiera que ejecute publicidad consciente del consent mode — no lo es.
Las razones para migrar a un CMP de terceros son prácticas:
- Categorías granulares. El banner nativo no separa las cookies estrictamente necesarias, funcionales, de analytics y de marketing en alternadores distintos, que es la estructura que esperan los reguladores.
- Soporte IAB TCF y GPP. Si participas en publicidad programática, necesitas un CMP certificado por Google que emita una TC string válida. El banner nativo de HubSpot no hace esto.
- Consent Mode v2. Google ahora requiere señales de consentimiento entregadas en formato v2 para el tráfico del EEE. Un CMP dedicado conecta esto de extremo a extremo, incluida la configuración de denegación predeterminada.
- Multilingüismo y accesibilidad. La mayoría de los CMP incluyen 30+ paquetes de idiomas y valores predeterminados compatibles con WCAG. El banner integrado de HubSpot es más limitado.
- Registro de grado de auditoría. Un CMP dedicado registra cada decisión de consentimiento con marca de tiempo, versión de banner y elección — la evidencia que los reguladores piden en las investigaciones.
Integración Paso a Paso con un CMP de Terceros
El patrón de integración que funciona de manera confiable es mantener el snippet de HubSpot en la página pero evitar que se ejecute hasta que se registre una decisión de consentimiento. A continuación se presenta el enfoque canónico, escrito de forma genérica para que se aplique a cualquier CMP moderno incluido FlexyConsent.
1. Eliminar el snippet predeterminado del head del documento
En la plantilla de tu sitio, elimina la etiqueta <script> en línea que carga hs-scripts.com/{hub_id}.js. Reemplázala con un marcador de posición que tu CMP pueda activar más tarde, típicamente estableciendo el atributo type en text/plain y añadiendo un atributo de datos de categoría como data-category="marketing".
2. Mapear HubSpot a la categoría de consentimiento correcta
La mayoría de los CMP usan el IAB TCF o un modelo de cuatro categorías: necesario, funcional, analytics, marketing. El script de seguimiento de HubSpot toca tanto las categorías de analytics como de marketing debido a la integración con CRM. El mapeo conservador es colocar todo el snippet detrás de la categoría de marketing, que es la categoría más restrictiva. Si tu CMP permite mapeo detallado, puedes dividirlo: cargar formularios bajo funcional, cargar eventos de analytics bajo analytics y cargar la vinculación de identidad de CRM bajo marketing.
3. Configurar el callback de activación
Tu CMP expone un evento o callback que se activa cuando un usuario otorga consentimiento para una categoría. En ese callback, reescribe el atributo type de la etiqueta script de marcador de posición de nuevo a text/javascript y añádelo al documento. El script se cargará y ejecutará normalmente. Para una SPA, registra el callback en cada cambio de ruta para que las páginas recién montadas también reciban la activación.
4. Conectar Consent Mode v2
Si usas Google Ads o GA4 junto con HubSpot, tu CMP necesita enviar las señales de consentimiento v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — al dataLayer antes de que se active cualquier tag de Google. HubSpot en sí no consume estas señales, pero el resto de tu stack sí, y la inconsistencia entre HubSpot y Google aparecerá en tus informes como una brecha de ingresos medible.
5. Sincronizar el estado de consentimiento en el CRM de HubSpot
Cuando un contacto conocido actualiza su consentimiento (por ejemplo, revisando el banner y revocando el consentimiento de marketing), debes reflejar esto en el registro de HubSpot para que la lógica del flujo de trabajo deje de enviar correos electrónicos de marketing. La API de HubSpot expone un endpoint communication-preferences que acepta actualizaciones a nivel de suscripción. La mayoría de los CMP se pueden configurar para llamar a este endpoint desde un hook del lado del servidor.
Errores Comunes y Cómo Evitarlos
Tres errores de integración representan la mayoría de los hallazgos de auditoría que vemos en stacks con mucho HubSpot.
Cargar el snippet demasiado pronto
Algunos equipos colocan el tag de HubSpot dentro de un gestor de tags y asumen que el gestor de tags maneja el consentimiento. Google Tag Manager sí respeta el consent mode, pero solo para tags que requieren explícitamente un estado concedido. Si el tag de HubSpot se configura sin ese requisito, GTM lo activará independientemente. Siempre establece el campo Consentimiento adicional en el tag para requerir consentimiento de marketing antes de la activación.
Olvidar los scripts de formularios
Los formularios de HubSpot se sirven desde un dominio separado (forms.hsforms.com) y se pueden incrustar con su propio script. Si proteges el snippet de seguimiento principal pero dejas que el script del formulario se cargue en el renderizado inicial, no has resuelto realmente el problema — la biblioteca de formularios establece cookies de identificación propias. Protege ambos y deja que el CMP los cargue juntos.
Tratar el opt-out como opt-in
La configuración nativa de HubSpot incluye una opción Do Not Track y un opt-out con un clic. Algunos equipos interpretan estos como un mecanismo suficiente para cumplir con el GDPR. No lo son — el GDPR requiere opt-in afirmativo para cookies no esenciales, y una casilla de verificación de opt-out enterrada en una página de privacidad no cumple ese requisito. Haz del CMP la fuente autorizada del estado de consentimiento y configura HubSpot para diferir a él.
Documentación Lista para Auditoría
Una vez que la integración técnica está en su lugar, el paso final es asegurarse de que tu rastro de evidencias pueda resistir una solicitud de un regulador. Como mínimo, mantén un registro de: las categorías a las que tu CMP asigna HubSpot, la versión del banner de consentimiento activa en cualquier fecha determinada, cadenas TC de muestra que muestren consentimiento válido y los registros de API que demuestren que HubSpot no activó ninguna llamada de seguimiento antes de que se otorgara el consentimiento. La mayoría de las acciones de aplicación no se detienen en la tecnología sino en la documentación — las organizaciones que pueden producir un rastro de papel claro suelen resolver las investigaciones mucho más rápido que las que no pueden. Una plataforma de gestión del consentimiento que exporta estos artefactos bajo demanda convierte la auditoría de una carrera frenética de varias semanas en una respuesta de una tarde.