Guía de integración do consentimento de cookies para mapas de calor e gravación de sesión de Hotjar: Manual 2026 para editores
Hotjar ten un lugar único na pila de ferramentas. Non é unha plataforma de análise web como Google Analytics, nin unha plataforma de análise de produtos como Amplitude ou Mixpanel, nin un xestor de etiquetas. É unha ferramenta de investigación da experiencia do usuario que existe específicamente para rexistrar o que fan os usuarios individuais nunha páxina — onde moven o rato, no que fan clic, onde despregan, onde dubidan e, no caso da gravación de sesión, exactamente o que escribiron e viron renderizado na pantalla. Esa granularidade é o produto. Tamén é por iso que os reguladores destacaron a reprodución de sesión como unha das categorías de maior risco do procesamento comportamental, e por iso que un despregamento descoidado de Hotjar é un dos xeitos máis sinxelos para que un sitio web que doutra forma cumpre a normativa saia do cumprimento. A CNIL, o Garante e o EDPB publicaron todos orientacións dirixidas especificamente ao comportamento de reprodución de sesión, e o grupo de traballo de banners de cookies 2026 do EDPB trátao como unha categoría prioritaria. A boa noticia é que Hotjar é unha das ferramentas mellor deseñadas nesta categoría para o despregamento de consentimento primero — sempre que o editor use realmente os controis que existen.
Por que Hotjar require un consentimento explícito
O perfil de recollida de Hotjar é o que desencadea obrigas de consentimento en cada marco que importa. Nunha inicialización por defecto, o script de rastrexo de Hotjar escribe polo menos tres cookies de primeira parte — _hjSessionUser_{siteId}, _hjSession_{siteId} e unha serie de cookies de supresión e de fontes entrantes — no navegador en milisegundos despois da carga da páxina. O script comeza entón a transmitir un rexistro continuo de coordenadas do cursor, coordenadas de clic, posición de desprazamento, tamaño da xanela de visualización e, cando a gravación de sesión está activada, o DOM completo renderizado comparado coa liña base.
Baixo o artigo 5(3) da Directiva ePrivacy, cada un deses cookies é unha operación de almacenamento e acceso que require consentimento previo, libremente dado, específico, informado e sen ambigüidades no EEE, no Reino Unido, en Suíza e en calquera xurisdición que teña importado o mesmo estándar. Baixo o GDPR, o fluxo comportamental constitúe o procesamento de datos persoais porque a combinación de traza do cursor, enderezo IP, pegada dixital do dispositivo e identificador de sesión é suficiente para distinguir un individuo. Baixo o CCPA e o CPRA, a mesma recollida conta como venda ou partilha a menos que o editor teña o contrato relevante de provedor de servizos con Hotjar — que Hotjar ofrece a través da súa DPA conforme ao CCPA, pero que só entra en vigor cando a integración está correctamente configurada. Baixo as directrices do EDPB sobre reprodución de sesión, o listón é aínda máis alto: a reprodución debe estar vinculada a un propósito de investigación UX específico e lexítimo, o período de retención debe ser o mínimo necesario e o interesado debe ser informado non só de que existen gravacións, senón tamén de que a súa propia sesión pode ser reproducida por un analista.
O que Hotjar recolle antes do consentimento — e o que hai que suprimir
O erro de implementación máis común é o que se entrega co propio inicio rápido de Hotjar: pegar o script de rastrexo directamente no <head> da páxina. Iso funciona, pero carga Hotjar antes de que o banner de cookies se rendericese sequera, o que significa que os cookies quedan fixados e a gravación comportamental comeza na mismísima primeira vista de páxina — independentemente do que o usuario decida despois. Todo regulador da UE que se pronunciou sobre este patrón pronunciouse do mesmo xeito: os cookies fixados antes do consentimento son ilegais e o editor é responsable.
Polo tanto, unha integración conforme debe impedir que o script de Hotjar se cargue en absoluto ata que se teña concedido a categoría de consentimento relevante. O xeito máis limpo de facelo é envolver o fragmento de Hotjar dentro dunha etiqueta <script> con acceso condicionado por consentimento que o CMP inxecta só despois de que o usuario optou pola categoría de análise ou investigación de produtos. Se o script se carga mediante un xestor de etiquetas, o equivalente é definir o disparador nun evento de consentimento concedido en lugar de en Todas as páxinas. A propia documentación de Hotjar recomenda agora este patrón explicitamente, e a plataforma expón unha API hj('consent', 'grant') para os casos en que o script debe estar presente pero debe permanecer inactivo ata que se rexistre o consentimento.
Cookies e almacenamento que escribe Hotjar
O Hotjar Tracking Code 6.x escribe os seguintes identificadores, todos eles non esenciais e que requiren consentimento: _hjSessionUser_{siteId} cunha caducidade de 365 días que contén o identificador de usuario; _hjSession_{siteId} cunha caducidade de 30 minutos que contén o identificador de sesión; _hjFirstSeen; _hjIncludedInSessionSample_{siteId}; _hjAbsoluteSessionInProgress; e varios cookies de atribución de campaña cando as enquisas ou os widgets de comentarios están activos. As propias gravacións de sesión almacénanse nos servidores de Hotjar e son indexadas polo identificador de sesión — retirar o consentimento debe polo tanto tamén sinalar unha solicitude de eliminación a través da API de Hotjar ou do fluxo de eliminación de usuario dentro do produto.
Mapear Hotjar nos marcos de consentimento
Hotjar non se integra de forma nativa con IAB TCF nin coa IAB Global Privacy Platform. Non é un vendedor de tecnoloxía publicitaria e nunca tivo a intención de selo. Non obstante, intégrase con Google Consent Mode v2 a través do sinal analytics_storage e expón a súa propia API de consentimento nativa á que se pode vincular calquera CMP. O patrón que supera a revisión dun regulador trata cada capacidade de Hotjar como unha porta de consentimento separada.
- Os mapas de calor e os mapas de clics vínculanse ao propósito de análise ou de investigación de produtos. En termos de TCF, isto é máis habitualmente o propósito 8 (medir o rendemento do contido) combinado co propósito 1 (almacenar e/ou acceder á información). Para o Consent Mode, isto é analytics_storage.
- A gravación de sesión debería estar detrás dun sinal máis estrito e separado. A gravación captura o DOM renderizado e calquera campo sen máscara, e unha opción de participación explícita a nivel de preferencias — non o consentimento global de análise — é a postura defendible baixo as directrices do EDPB sobre reprodución de sesión.
- As enquisas e os widgets de comentarios poden funcionar baixo a mesma porta de consentimento que a gravación de sesión cando recollen entrada de texto libre, ou baixo a porta de análise cando só recollen datos de valoración.
- Os embudos e o seguimento de conversión vínculanse á porta de análise; se algún identificador de usuario se propaga a un CRM ou a unha plataforma publicitaria, tamén se aplica a porta de marketing.
O patrón de integración que funciona
O despregamento de referencia ten catro partes: un CMP que expón un evento de cambio de consentimento en tempo real, un cargador de scripts diferido que só inxecta o fragmento de Hotjar despois de que se active o consentimento de análise, unha capa de supresión de gravación de sesión que por defecto desactiva a gravación ata que se abra unha porta separada, e unha configuración de enmascaramento de entrada que suprime duramente calquera campo que un regulador consideraría sensible mesmo cando se concedeu o consentimento. O cuarto punto a miúdo pásase por alto: o enmascaramento de entrada non é un substituto do consentimento, pero é un substituto da catástrofe cando se concede o consentimento para investigación lexítima e un usuario por casualidade pega datos sensibles nun campo de texto libre.
Implementación web
Na web, o patrón máis limpo é subscribirse ao evento de cambio de consentimento do CMP e logo inxectar condicionalmente o fragmento de Hotjar cando o propósito de análise pasa de false a true. Use document.createElement('script') para inxectar o código de rastrexo co atributo async definido, e engada un controlador onload que chame a hj('identify', userId, properties) só se existe un identificador de usuario validado polo servidor. Cando se retire o consentimento, chame a hj('consent', 'revoke'), expire todos os cookies _hj mediante document.cookie e envíe unha solicitude de eliminación a través da API de datos de Hotjar para as gravacións de sesión previas do usuario. Non inicialice Hotjar preguizosamente no mesmo paso de renderizado que o banner — o script debe agardar un permiso explícito e o permiso debe rexistrarse cun marca de tempo e cadea de consentimento antes de que o script se active algunha vez.
Enmascaramento de entrada e supresión de datos sensibles
O gravador de sesión de Hotjar vén con tres modos de enmascaramento: Suppress mode, que é o predeterminado para os campos de contrasinal e calquera elemento marcado co atributo data-hj-suppress; Whitelist mode, onde só se gravan as entradas con participación explícita; e Mask mode, onde as pulsacións de teclas se gravan como asteriscos. Baixo as regras de categoría especial do GDPR e a definición de información persoal sensible do CCPA, calquera campo que poida capturar información de saúde, detalle financeiro, identificadores gobernamentais, datos biométricos, xeolocalización precisa ou contido de comunicacións privadas debe usar o Suppress mode independentemente do estado de consentimento do usuario. Definir data-hj-suppress ao nivel do formulario en lugar do nivel do campo é o patrón máis seguro — suprime todo o formulario mesmo se un desenvolvedor engade máis tarde un novo campo que esquece marcar individualmente.
Aplicacións de páxina única e cambios de ruta
Para as SPA (React, Vue, Angular, Svelte), o fragmento de Hotjar vincúlase só á carga inicial da páxina por defecto. Para rastrexar as transicións de páxina virtuais, o bootstrap debe chamar a hj('stateChange', newPath) en cada cambio de ruta. Esta chamada respecta o estado de consentimento que Hotjar ten nese momento, polo que a lóxica de control do CMP non necesita duplicarse — pero o cambio de ruta en si non debe desencadear unha nova carga de script se o consentimento foi retirado entre as páxinas vistas.
Validación da integración
O paso de validación é o que comproba os reguladores e o que os editores omiten con máis frecuencia. Un despregamento de Hotjar correctamente integrado debe pasar catro probas en orde. Primeiro, unha sesión de navegador nova co banner mostrado pero sen ningunha elección feita debe producir cero solicitudes a static.hotjar.com, script.hotjar.com ou vars.hotjar.com, e cero cookies _hj en document.cookie. Segundo, rexeitar a análise debe manter ese estado — sen carga de script, sen gravación, sen cookies. Terceiro, aceptar a análise debe producir unha carga de script e os cookies _hjSessionUser e _hjSession esperados cos atributos SameSite correctos, e debe aparecer unha gravación de mapa de calor no panel de control de Hotjar nun prazo de cinco minutos. Cuarto, retirar o consentimento a posteriori debe deter inmediatamente a gravación adicional, caducar os cookies e desencadear unha solicitude de eliminación — unha limpeza atrasada é un achado.
A pista de auditoría importa por separado. Os reguladores esperan que o editor sexa capaz de demostrar, para calquera gravación na conta de Hotjar, que o usuario que a xerou deu o seu consentimento válido no momento da captura. O patrón estándar é inserir a versión do consentimento e a marca de tempo como atributo personalizado no rexistro de usuario de Hotjar mediante hj('identify', userId, { consent_version: 'v3', consent_ts: ts }). Iso fai que calquera gravación específica sexa rastrexable ata unha entrada de rexistro de consentimento específica, que é o estándar que fixou o EDPB e o estándar que os editores deben adoptar independentemente de onde operen. Un despregamento correctamente controlado, combinado co enmascaramento de entrada que suprime por defecto e un camiño de eliminación que se activa na retirada, é o que fai de Hotjar unha parte defendible dunha pila de investigación en lugar dunha responsabilidade de cumprimento.