Guía de integración del consentimiento de cookies para Pinterest Tag: GDPR y CCPA para el comercio electrónico
Para las marcas de comercio electrónico, Pinterest es silenciosamente un enorme motor de tráfico y conversiones. La búsqueda visual ha madurado, la plataforma ahora impulsa comportamientos de compra de alta intención, y el Pinterest Tag — el pequeño fragmento de JavaScript que reporta vistas de página, añadidos al carrito, pagos y compras de vuelta a Pinterest Ads — es uno de los tags de marketing más instalados en tiendas online. También es uno de los más frecuentemente mal configurados desde una perspectiva de privacidad. Pinterest Tag coloca cookies de primera parte y reenvía datos de comportamiento a Pinterest en el momento en que se carga, lo que significa que en cualquier jurisdicción con requisitos de consentimiento previo — UE, Reino Unido, estados miembros del EEA, Brasil bajo la LGPD y cada vez más California bajo la CPRA — ejecutarlo sin una señal de consentimiento real es una violación del cumplimiento, no un descuido de configuración. Esta guía explica qué hace realmente Pinterest Tag, cómo integrarlo con un CMP de terceros y qué saber sobre la Conversions API del lado del servidor como alternativa parcial.
Qué rastrea Pinterest Tag
Pinterest Tag se carga desde s.pinimg.com/ct/core.js e identifica a los usuarios con una cookie específica de Pinterest llamada _pinterest_ct_ua junto con la cookie _pin_unauth de la plataforma para visitantes no autenticados. Una vez presente, reporta automáticamente un evento PageVisit base y luego acepta un flujo de llamadas de eventos adicionales para AddToCart, Checkout, Purchase, Lead, Signup, WatchVideo y eventos personalizados que usted defina. Cada evento lleva un payload JSON que puede incluir identificadores de productos, valores de pedidos, moneda y categorías de contenido — exactamente el tipo de payload que, combinado con el identificador de cookie, permite a Pinterest atribuir conversiones a impresiones de pins específicos y clics en anuncios.
Desde una perspectiva regulatoria, tres cosas importan. Primero, las cookies no son esenciales — existen para la atribución publicitaria, no para la función del sitio. Segundo, los datos que salen de la página son datos personales bajo el GDPR porque pueden vincularse a un identificador. Tercero, Pinterest está establecida en Estados Unidos, lo que significa que la transferencia está sujeta al Marco de Privacidad de Datos UE-EEUU y las cláusulas contractuales estándar que subyacen. Las tres condiciones ubican a Pinterest Tag firmemente en el territorio de requiere consentimiento previo y libremente otorgado en la UE y el Reino Unido.
Controles de privacidad nativos de Pinterest versus un CMP de terceros
Pinterest expone algunos controles de privacidad nativos. El panel del anunciante tiene un interruptor de Limited Data Processing para el tráfico de California, la etiqueta acepta una propiedad consent en llamadas de eventos individuales, y Pinterest documenta una ruta de Server-Side Tagging a través de la Conversions API. Ninguno de estos equivale a un banner de consentimiento funcional. Los controles nativos asumen que el consentimiento ha sido recopilado en algún lugar aguas arriba y se está pasando como señal — ellos mismos no recopilan consentimiento y no bloquean la activación de la etiqueta si falta el consentimiento. Para cualquier editor que opere en múltiples jurisdicciones, la arquitectura realista es un CMP de terceros que decide si la etiqueta puede cargarse.
Integración paso a paso con un CMP de terceros
El patrón de integración fiable es idéntico al de otros píxeles principales: impida que la etiqueta se active al cargar la página, transfiera el control al CMP y deje que el CMP cargue y configure la etiqueta cuando el visitante acepte la categoría de marketing.
1. Elimine el código base en línea
Pinterest proporciona un fragmento de código base que los instaladores típicamente pegan en la cabecera del documento. Elimínelo. Reemplácelo con un marcador de posición que su CMP pueda reescribir más tarde — la mayoría de los CMPs lo hacen cambiando el atributo type de text/plain a text/javascript y añadiendo un atributo data-category="marketing".
2. Asigne la etiqueta a la categoría de marketing
La etiqueta de Pinterest toca tanto eventos similares a analítica (PageVisit) como eventos puramente publicitarios (Purchase, AddToCart). Para la defensa en auditorías, todo el fragmento debe estar bajo la categoría de marketing, no la de analítica. La lectura conservadora de las directrices del EDPB trata cualquier píxel que alimente una plataforma publicitaria como marketing independientemente del tipo de evento que se active.
3. Configure el callback de carga
Cuando el visitante otorga consentimiento de marketing, el CMP activa un evento. En ese manejador, reescriba el marcador de posición de la etiqueta de nuevo a text/javascript, adjúntelo al documento y déjelo ejecutar. El código base inicializa una cola global pintrk y luego carga el script principal. Después de cargar el script, cualquier evento en cola de la página se vacía automáticamente.
4. Enrute el consentimiento por evento para Limited Data Processing
Si tiene tráfico de California y desea usar la ruta de Limited Data Processing de Pinterest para usuarios que no han optado por participar, envíe los data_processing_options apropiados en cada llamada de evento. Pinterest acepta un valor como ["LDU"] con códigos de país y región para marcar el evento como uso restringido. Esto no es un sustituto del consentimiento en la UE — es un mecanismo específico de CCPA.
5. Conecte con Consent Mode v2 si ejecuta etiquetas de Google en paralelo
Su CMP debe publicar las señales v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — en el dataLayer antes de que se active cualquier etiqueta de Google. Pinterest no consume estas señales de forma nativa, pero Google sí lo hace.
Conversions API como alternativa del lado del servidor
La Conversions API de Pinterest le permite enviar eventos de conversión directamente desde su servidor a Pinterest, eludiendo el navegador por completo. Esto es cada vez más atractivo por dos razones: sobrevive a la depreciación de cookies de terceros y esquiva parte de la fragilidad del consentimiento de la etiqueta del lado del navegador.
La Conversions API no elimina el requisito de consentimiento. Los eventos que envía siguen llevando datos personales y el GDPR se aplica de la misma manera. Lo que hace es mover el punto de decisión de se activó la etiqueta antes del consentimiento a nuestro servidor incluyó este evento en el payload de la API. Para la mayoría de las tiendas el patrón correcto es ejecutar ambos: la etiqueta del navegador para atribución en tiempo real, la Conversions API para eventos deduplicados del lado del servidor.
Errores comunes
Tres errores de integración explican la mayoría de los problemas que vemos al auditar instalaciones de Pinterest.
Tratar PageVisit como analítica
Algunos equipos colocan Purchase y AddToCart detrás del consentimiento de marketing pero permiten que PageVisit se active bajo la categoría de analítica. Pinterest no lo ve así — PageVisit alimenta el constructor de audiencias de retargeting, que es inequívocamente una función de marketing. Bloquee toda la etiqueta.
Codificar el código base de Pinterest en un gestor de etiquetas sin protecciones de consentimiento
Si instala la etiqueta a través de Google Tag Manager, la plantilla de etiqueta de Pinterest necesita el campo Additional Consent configurado para requerir consentimiento de marketing antes de activarse. Sin ese indicador, GTM activará la etiqueta independientemente del estado del CMP del visitante.
Enviar Enhanced Match sin verificar primero el consentimiento
Pinterest admite Enhanced Match, que le permite hashear y transmitir datos de usuario identificables (correo electrónico, teléfono) para mejorar la atribución. Enviar Enhanced Match para un usuario que no ha otorgado consentimiento de marketing es el patrón de mayor riesgo en este stack. Haga que Enhanced Match sea condicional a la misma señal de consentimiento que el resto de la etiqueta.
Lista de verificación de auditoría
Seis preguntas concretas para responder en cualquier implementación de Pinterest Tag que toque tráfico de la UE, el Reino Unido o California.
- ¿Espera la etiqueta el consentimiento? Abra la página en una ventana privada con protección estricta contra rastreo y confirme que no se activan solicitudes de s.pinimg.com antes de aceptar el banner.
- ¿Está la categoría de marketing correctamente asignada? Verifique que el CMP coloca la etiqueta bajo marketing, no analítica o funcional.
- ¿Respeta GTM el consentimiento? Si la etiqueta está instalada a través de Google Tag Manager, confirme que la configuración Additional Consent está configurada.
- ¿Se enruta Limited Data Processing para California? Para las exclusiones de CCPA que aún permiten rastreo bajo LDP, confirme que data_processing_options está en cada evento.
- ¿Es Enhanced Match condicional? Confirme que los payloads de Enhanced Match solo se envían para usuarios que han otorgado consentimiento de marketing.
- ¿Refleja Conversions API el consentimiento del navegador? Si ejecuta ambas superficies, confirme que la ruta del lado del servidor filtra eventos por estado de consentimiento almacenado antes de reenviar.
Dónde encaja Pinterest en un stack que prioriza el consentimiento
Pinterest es una parte más pequeña del panorama de píxeles de marketing que Meta o Google, pero el tratamiento regulatorio es idéntico. Mantenga la etiqueta fuera de la página hasta que el visitante acepte marketing, use el CMP como única fuente de verdad para el estado de consentimiento, y configure las propias banderas de privacidad de la plataforma (Limited Data Processing, campos de consentimiento de Conversions API) para alinearse con lo que el banner registró. Las marcas que hacen esto correctamente preservan su atribución de Pinterest mientras reducen la exposición a auditorías a una fracción de lo que lleva una instalación predeterminada.