Guía de integración del consentimiento de cookies de Klaviyo: correo electrónico y SMS conformes con el GDPR para el comercio electrónico en 2026
Klaviyo es la plataforma dominante de marketing por correo electrónico y SMS para el comercio electrónico directo al consumidor. Está instalada en una fracción significativa de todas las tiendas de Shopify, BigCommerce y Magento en todo el mundo, y su capa de seguimiento en el sitio — el script que observa el comportamiento de navegación, atribuye las visitas de páginas a perfiles conocidos y activa los flujos de carrito abandonado y navegación abandonada — es lo que hace que la plataforma sea valiosa comercialmente. También es una de las piezas más frecuentemente mal configuradas en un stack de comercio electrónico desde el punto de vista de la privacidad. El script de seguimiento Klaviyo Onsite, la biblioteca Klaviyo Forms y los flujos de suscripción por SMS recopilan datos personales en el momento en que se cargan, antes de que se haya mostrado ningún banner de consentimiento. Para cualquier tienda que maneje tráfico de la EU, el UK, Brasil o California, ese comportamiento predeterminado ya no es conforme, y los reguladores más activos en la aplicación del comercio electrónico — la CNIL en Francia, la AEPD en España, el Garante italiano y la Agencia de Protección de la Privacidad de California — han dejado claro que tratan los scripts de marketing de manera idéntica independientemente de si el proveedor es grande o pequeño. Esta guía explica qué recopila Klaviyo, cómo integrarlo con un CMP de terceros y dónde encajan los propios primitivos de privacidad de la plataforma.
Qué recopila Klaviyo Onsite Tracking
El fragmento de Klaviyo Onsite (cargado desde static.klaviyo.com/onsite/js/klaviyo.js) inicializa una cola global _learnq e identifica a los visitantes con una cookie de propiedad de Klaviyo llamada __kla_id. Una vez instalado, informa automáticamente de los eventos de visualización de páginas, captura las interacciones con formularios, activa el evento Active On Site que impulsa el flujo Browse Abandonment de Klaviyo, y vincula el comportamiento de navegación anónimo a un perfil de suscriptor conocido en el momento en que el visitante inicia sesión o envía un formulario con una dirección de correo electrónico. Los eventos posteriores — Viewed Product, Added to Cart, Started Checkout, Placed Order — se activan a través de la misma infraestructura de identidad y heredan la misma atribución basada en cookies.
Para el análisis del GDPR, la cookie no es esencial, los datos que abandonan la página son datos personales porque están vinculados a un identificador persistente, y Klaviyo está establecida en los Estados Unidos, lo que hace que la transferencia esté sujeta al Marco de Privacidad de Datos EU-EE. UU. Las tres condiciones empujan firmemente el seguimiento Klaviyo Onsite al territorio de "requiere consentimiento previo" en la EU, el UK, el EEA y Brasil en virtud del LGPD. En California, el mismo tratamiento cae bajo el derecho de exclusión voluntaria de compartir para publicidad de comportamiento contextual cruzado del CPRA, que el intercambio de Klaviyo con destinos de medios de pago intermedios activa.
Las Tres Superficies de Seguimiento que Debe Controlar
Una instalación de Klaviyo no es una superficie de seguimiento, son tres, y deben tratarse por separado en una integración de CMP.
El script de seguimiento Onsite
Este es el rastreador de comportamiento principal — el script que establece __kla_id y que impulsa el flujo de eventos activos en el sitio. Es la superficie que la mayoría de los equipos recuerda controlar y la más visible para los reguladores en una auditoría. Bloquéelo de forma predeterminada y cárguelo solo cuando el visitante acepte la categoría de marketing.
Klaviyo Forms y ventanas emergentes de registro
Klaviyo Forms es una biblioteca separada que impulsa las ventanas emergentes de registro por correo electrónico y SMS, los formularios integrados y el desbloqueo de contenido protegido. Se aloja en el mismo dominio pero se carga como un script separado. Los formularios pueden activar eventos de impresión y envío independientemente del rastreador Onsite principal, por lo que controlar solo Onsite mientras se carga Forms es un patrón de cumplimiento parcial común que sigue filtrando datos de identificación.
Recopilación de suscripción por SMS
Las suscripciones por SMS tienen su propio requisito de consentimiento en virtud del TCPA en los EE. UU. y en virtud de las reglas específicas del sector en la EU, y los formularios SMS de Klaviyo recopilan números de teléfono junto con el consentimiento confirmado mediante casilla de verificación. El consentimiento recopilado aquí es para los propios mensajes SMS, separado del consentimiento de cookies. Un stack correctamente configurado registra ambos: consentimiento de cookies en el CMP, consentimiento de SMS en el perfil de suscriptor de Klaviyo.
Controles de Privacidad Nativos de Klaviyo
Klaviyo expone varios primitivos de privacidad nativos. Como con la mayoría de las plataformas de marketing, asumen que existe una decisión de consentimiento y que se está transmitiendo. No recopilan el consentimiento ellos mismos.
La propiedad de consentimiento en las llamadas de identificación
Cuando llama a klaviyo.identify() o klaviyo.track(), puede adjuntar una carga útil de consentimiento que registra la base jurídica para las comunicaciones de marketing. Este es el primitivo correcto para pasar la decisión del CMP al perfil de suscriptor de Klaviyo.
Campos de consentimiento a nivel de perfil
El perfil del suscriptor tiene campos dedicados para el consentimiento por correo electrónico, el consentimiento por SMS y la fuente del consentimiento. Las actualizaciones de estos campos se propagan al motor de segmentación de Klaviyo para que los flujos respeten el estado registrado.
El panel de configuración de privacidad y consentimiento
La interfaz de usuario del administrador de Klaviyo tiene una sección de privacidad y consentimiento que controla algunos comportamientos predeterminados — por ejemplo, si el evento Active On Site se activa para los visitantes sin consentimiento registrado. El valor predeterminado es permisivo; ajustar esta configuración es una capa adicional útil por encima del control a nivel de CMP.
Integración de CMP Paso a Paso
La arquitectura fiable consiste en controlar las tres superficies de seguimiento de Klaviyo detrás del CMP y usar las propiedades de consentimiento en las llamadas de identificación y seguimiento de Klaviyo para mantener los registros de suscriptores de la plataforma sincronizados con el estado de consentimiento registrado.
1. Elimine el fragmento Onsite predeterminado del encabezado
Klaviyo proporciona un fragmento de una sola línea que los instaladores suelen pegar en el encabezado del documento. Elimínelo. Reemplácelo con un elemento de script de marcador de posición cuyo atributo type sea text/plain y cuyo atributo data-category lo identifique como marketing. Su CMP reescribirá el tipo de nuevo a text/javascript cuando el visitante acepte la categoría de marketing.
2. Aplazar la carga de Klaviyo Forms
La biblioteca Forms se carga de forma independiente de Onsite. Aplique el mismo patrón de marcador de posición a su elemento de script para que no se inicialice antes del consentimiento. Después de que se conceda el consentimiento, tanto Onsite como Forms pueden inicializarse juntos; los eventos en cola se vacían automáticamente.
3. Separar el consentimiento de SMS del consentimiento de cookies
La recopilación de suscripción por SMS se ejecuta a través de Klaviyo Forms, pero el consentimiento recopilado (la casilla de verificación explícita para el marketing por SMS) es un artefacto legal separado del consentimiento de cookies. El banner del CMP registra la decisión de cookies; la casilla de verificación del formulario registra la decisión de SMS. No los agrupe — el consentimiento agrupado no es válido ni en virtud del GDPR ni del TCPA.
4. Propagación del consentimiento al perfil de Klaviyo
Cuando un suscriptor conocido acepta o revoca el consentimiento en su sitio, el CMP debe llamar a la API de Klaviyo para actualizar los campos de consentimiento del perfil. Klaviyo Profiles API admite una llamada de actualización parcial que escribe el consentimiento por correo electrónico, el consentimiento por SMS y la marca de tiempo del consentimiento sin sobrescribir el resto del perfil. La mayoría de los CMPs modernos tienen un conector de Klaviyo que gestiona esto de principio a fin.
5. Conectar Consent Mode v2 si ejecuta etiquetas de Google en paralelo
La mayoría de las tiendas que usan Klaviyo también ejecutan Google Ads y GA4. Su CMP debe publicar las señales de consentimiento v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — en el dataLayer antes de que se active cualquier etiqueta de Google. Klaviyo no consume estas señales de forma nativa, pero Google sí, y una inconsistencia entre Klaviyo y Google aparecerá como una brecha de ingresos medible en los informes de atribución.
Errores Comunes
Cuatro errores de integración aparecen repetidamente en las auditorías de las implementaciones de Klaviyo.
Tratar Forms como "solo una ventana emergente"
Algunos equipos controlan Onsite bajo marketing pero dejan que Forms se cargue en la representación inicial, razonando que "una ventana emergente es solo un elemento de interfaz de usuario". La biblioteca Forms activa eventos de impresión a Klaviyo por cada ventana emergente que se muestra, que son datos de comportamiento identificativos reenviados a un proveedor de tecnología publicitaria estadounidense — el patrón exacto que un CMP está destinado a prevenir.
Agrupar el consentimiento de cookies y el consentimiento de SMS
Una única casilla de verificación que dice "Acepto las cookies y recibir SMS de marketing" no es válida para ninguno de los dos. El consentimiento de cookies debe ser específico de las cookies; el consentimiento de SMS debe ser específico del SMS. Use controles separados.
Permitir que conectores de medios de pago de terceros se activen en perfiles revocados
Klaviyo puede enviar audiencias a Google Ads, Meta, TikTok y otras redes publicitarias a través de sus integraciones. Si un suscriptor revoca el consentimiento, el envío de audiencia necesita eliminarlo — no solo dejar de añadirlo. Configure los ajustes de sincronización de audiencia de Klaviyo para respetar los cambios de estado de consentimiento en tiempo real, no solo en la sincronización inicial.
Olvidar la pregunta de los datos históricos
Cuando un visitante acepta el consentimiento por primera vez, su stack no debería asociar retroactivamente su comportamiento anónimo previo al consentimiento con su nuevo perfil. El CMP y Klaviyo deben acordar que los datos de navegación anteriores al consentimiento no son datos personales vinculados al perfil ahora identificado. Algunos flujos de Klaviyo asumen esta asociación de forma predeterminada — revise los desencadenadores de flujo relevantes.
Lista de Verificación de Auditoría
Seis preguntas concretas para responder para cualquier implementación de Klaviyo que toque tráfico de la EU, el UK, Brasil o California.
- ¿Onsite espera el consentimiento? Abra la tienda en una ventana privada con protección de seguimiento estricta y confirme que no se activan solicitudes a static.klaviyo.com antes de la aceptación del banner.
- ¿Forms espera el consentimiento? Confirme que los eventos de impresión de ventanas emergentes no se activan antes de que se acepte la categoría de marketing.
- ¿Están separados el consentimiento de cookies y el consentimiento de SMS? Confirme que el banner de cookies no también recopila consentimiento de SMS, y que los formularios de suscripción por SMS registran su propia casilla de verificación explícita.
- ¿El perfil de Klaviyo refleja el estado del CMP? Confirme que el CMP escribe las decisiones de consentimiento en los campos de consentimiento del perfil a través de la API de Klaviyo.
- ¿Las sincronizaciones de audiencias respetan las revocaciones? Confirme que revocar el consentimiento elimina al suscriptor de las audiencias de medios de pago intermedios, no solo de las sincronizaciones futuras.
- ¿La navegación previa al consentimiento permanece anónima? Confirme que los desencadenadores de flujo no asocian retroactivamente el comportamiento previo al consentimiento con perfiles recientemente identificados.
Dónde Encaja Klaviyo en un Stack que Prioriza el Consentimiento
Klaviyo se sitúa en la intersección de la atribución de comercio electrónico y las comunicaciones de marketing directo, lo que significa que toca tanto el régimen de consentimiento de cookies (GDPR/ePrivacy, CCPA/CPRA) como el régimen de comunicaciones de marketing (CAN-SPAM, TCPA, GDPR Article 6/7 para la mensajería). La arquitectura correcta trata estos como dos superficies de consentimiento distintas — ambas enrutadas a través de un único CMP que posee la fuente de verdad, con los campos de consentimiento nativos de Klaviyo mantenidos sincronizados a través de la API. Las tiendas que hacen esto correctamente preservan el comportamiento de carrito abandonado, navegación abandonada y segmentación que hace a Klaviyo valiosa comercialmente mientras reducen la exposición a auditorías a una fracción de lo que lleva una instalación predeterminada. El trabajo de ingeniería es sencillo; la disciplina está en no dejar que el equipo de marketing trate Forms como exento de las mismas reglas que el rastreador Onsite.