Guía de integración do consentimento de cookies de HubSpot: seguimento conforme co GDPR para profesionais do marketing en 2026
HubSpot é unha das plataformas de marketing máis profundamente integradas na web moderna. O seu script de seguimento funciona en millóns de sitios B2B, capturando visitas a páxinas, envíos de formularios, sesións de chat e comportamento a nivel de identificadores que flúe directamente ao CRM de HubSpot. O problema é que, por defecto, ese script comeza a recoller datos persoais no momento en que se carga unha páxina, moito antes de que o visitante tivese a oportunidade de facer unha elección. Para calquera organización que xestione tráfico da UE, do Reino Unido, de Brasil ou de California, ese comportamento predeterminado xa non é compatible e é cada vez máis o tipo de problema que os reguladores sinalan en queixas reais. Esta guía explica o que HubSpot rastrexa realmente, onde está o límite do consentimento e como conectar HubSpot a unha Plataforma de Xestión do Consentimento de terceiros para que as análises de marketing sigan funcionando sen arriscarse a recibir unha multa.
Por que o seguimento de HubSpot necesita un sinal de consentimento real
HubSpot deposita varios cookies propios no dispositivo do visitante en canto se executa o script de seguimento (o fragmento JavaScript de HubSpot, normalmente hs-scripts.com/{hub_id}.js). Os máis importantes son __hstc, hubspotutk e __hssc, que xuntos identifican o visitante entre as sesións, vinculan os envíos de formularios co historial de navegación anónimo e alimentan os modelos de puntuación de leads no CRM. Baixo o GDPR e a Directiva ePrivacy, os tres son cookies non esenciais que requiren un consentimento previo libre, específico, informado e inequívoco. Cargar o fragmento na cabeceira do documento —o que é o patrón de integración predeterminado de HubSpot— coloca eses cookies antes de que se lle preguntase nada ao visitante.
As consecuencias non son teóricas. As autoridades de protección de datos de Francia, Italia e España tomaron medidas de execución nos últimos dous anos contra organizacións cuxas pilas de marketing establecían cookies de seguimento antes do consentimento. As multas oscilaron entre penalizacións de cinco cifras para pequenos editores e penalizacións de varios millóns de euros para grandes empresas. Existe o banner de cookies nativo de HubSpot, pero é deliberadamente lixeiro e, por si só, non bloquea a activación do fragmento. A maioría dos revisores de cumprimento trátano como unha capa de aviso máis que como unha capa de control.
O que HubSpot rastrexa realmente
Antes de decidir como controlar HubSpot, é útil ser preciso sobre que categorías de procesamento están en xogo. A superficie de seguimento de HubSpot divídese en catro compartimentos solapados, cada un coas súas propias implicacións de consentimento.
Análise de comportamento
Os eventos de visita a páxina, clic, desprazamento e duración da sesión recóllense automaticamente en canto se carga o código de seguimento. Estes eventos constrúen a liña temporal do visitante que se ve nos rexistros de contacto de HubSpot e son a base de cada regra de puntuación de leads ou de fluxo de traballo. Desde a perspectiva dun regulador, isto é seguimento analítico sinxelo e require consentimento opt-in na UE e no EEE. No Reino Unido, a guía de 2023 da ICO trátao de forma idéntica.
Formularios e chat
Os formularios de HubSpot e o widget de chat de HubSpot (anteriormente integración Drift) pódense configurar para cargarse de forma independente do script de seguimento principal. Os envíos de formularios son, na maioría das análises xurídicas, considerados unha actividade de procesamento separada coa súa propia base xurídica —normalmente o cumprimento do contrato ou o interese lexítimo. O chat que rexistra transcricións nun servidor de terceiros, con todo, xeralmente require consentimento para a propia gravación.
Vinculación de identidade entre dominios
Se utilizas o mesmo portal de HubSpot en varios dominios, o fragmento intentará establecer e ler cookies de forma que vincule os visitantes entre esas propiedades. Isto entra no que o EDPB denomina «seguimento» en sentido estrito e é a categoría de maior risco. Tamén é a máis probable de ser sinalada durante unha DPIA.
Integracións de marketing
HubSpot pode enviar eventos a Google Ads, Meta, LinkedIn e outras redes publicitarias a través das súas integracións. Cada unha desas transferencias posteriores ten o seu propio requisito de consentimento e, na UE, a súa propia avaliación de transferencia de datos.
Banner nativo de HubSpot vs. CMP de terceiros
HubSpot inclúe un banner de consentimento de cookies integrado que podes activar desde Configuración > Privacidade & Consentimento. Mostrará un aviso configurable, rexistrará un rexistro de consentimento fronte ao contacto e respectará unha única renuncia para as análises. Para organizacións moi pequenas que operan en xurisdicións de baixo risco, pode ser suficiente. Para calquera que tome en serio o cumprimento —ou calquera que execute publicidade baseada no modo de consentimento— non o é.
As razóns para pasar a unha CMP de terceiros son prácticas:
- Categorías granulares. O banner nativo non separa os cookies estritamente necesarios, funcionais, analíticos e de marketing en conmutadores distintos, que é a estrutura que esperan os reguladores.
- Compatibilidade con IAB TCF e GPP. Se participas en publicidade programática, necesitas unha CMP certificada por Google que emita unha cadea TC válida. O banner nativo de HubSpot non fai isto.
- Consent Mode v2. Google require agora sinais de consentimento no formato v2 para o tráfico do EEE. Unha CMP dedicada conecta isto de extremo a extremo, incluída a configuración de denegación predeterminada.
- Multilingüe e accesibilidade. A maioría das CMP inclúen máis de 30 paquetes de idiomas e valores predeterminados conformes con WCAG. O banner integrado de HubSpot é máis limitado.
- Rexistro de nivel de auditoría. Unha CMP dedicada rexistra cada decisión de consentimento co selo de tempo, a versión do banner e a elección —a evidencia que os reguladores solicitan nas investigacións.
Integración paso a paso cunha CMP de terceiros
O patrón de integración que funciona de forma fiable é manter o fragmento de HubSpot na páxina pero impedir que se execute ata que se rexistre unha decisión de consentimento. A continuación está o enfoque canónico, escrito de forma xenérica para aplicarse a calquera CMP moderna incluíndo FlexyConsent.
1. Eliminar o fragmento predeterminado da cabeceira do documento
No modelo do teu sitio, elimina a etiqueta <script> en liña que carga hs-scripts.com/{hub_id}.js. Substitúea por un marcador de posición que a túa CMP poida activar máis tarde, normalmente establecendo o atributo type en text/plain e engadindo un atributo de datos de categoría como data-category="marketing".
2. Asignar HubSpot á categoría de consentimento correcta
A maioría das CMP utilizan o IAB TCF ou un modelo de catro compartimentos: necesario, funcional, analítico, marketing. O script de seguimento de HubSpot toca tanto as categorías analíticas como as de marketing por mor da integración do CRM. A asignación conservadora é protexer todo o fragmento coa categoría de marketing, que é o compartimento máis restrictivo. Se a túa CMP permite a asignación detallada, podes dividir: carga os formularios en funcional, carga os eventos analíticos en analítico e carga a vinculación de identidade do CRM en marketing.
3. Configurar o callback de activación
A túa CMP expón un evento ou callback que se activa cando un usuario outorga consentimento para unha categoría. Nese callback, reescribe o atributo de tipo da etiqueta de script do marcador de posición de novo en text/javascript e engádea ao documento. O script cargará e executarase normalmente. Para unha SPA, rexistra o callback en cada cambio de ruta para que as páxinas recén montadas tamén reciban a activación.
4. Conectar o Consent Mode v2
Se utilizas Google Ads ou GA4 xunto con HubSpot, a túa CMP debe enviar os sinais de consentimento v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — ao dataLayer antes de que se active calquera etiqueta de Google. O propio HubSpot non consume estes sinais, pero o resto da túa pila sí, e a inconsistencia entre HubSpot e Google aparecerá nos teus informes como unha brecha de ingresos medible.
5. Sincronizar o estado de consentimento co CRM de HubSpot
Cando un contacto coñecido actualiza o seu consentimento (por exemplo, volvendo ao banner e revogando o consentimento de marketing), debes reflectilo no rexistro de HubSpot para que a lóxica do fluxo de traballo deteña o envío de correos electrónicos de marketing. A API de HubSpot expón un endpoint de communication-preferences que acepta actualizacións a nivel de subscrición. A maioría das CMP pódense configurar para chamar a este endpoint desde un hook do lado do servidor.
Erros comúns e como evitalos
Tres erros de integración representan a maioría dos resultados de auditoría que vemos en pilas con uso intensivo de HubSpot.
Cargar o fragmento demasiado pronto
Algúns equipos colocan a etiqueta de HubSpot dentro dun xestor de etiquetas e asumen que o xestor de etiquetas xestiona o consentimento. Google Tag Manager respecta o modo de consentimento, pero só para as etiquetas que requiren explicitamente un estado concedido. Se a etiqueta de HubSpot está configurada sen ese requisito, GTM activaraa independentemente. Establece sempre o campo Consentimento adicional na etiqueta para requirir consentimento de marketing antes de activar.
Esquecer os scripts de formulario
Os formularios de HubSpot sérvense desde un dominio separado (forms.hsforms.com) e pódense incrustar co seu propio script. Se proteches o fragmento de seguimento principal pero deixas que o script do formulario se cargue no renderizado inicial, non resolveste realmente o problema: a biblioteca de formularios establece os seus propios cookies de identificación. Protexe ambos e deixa que a CMP os cargue xuntos.
Tratar o opt-out como opt-in
A configuración nativa de HubSpot inclúe unha opción de Non rastrexar e un opt-out nun clic. Algúns equipos interpretan isto como un mecanismo suficiente para cumprir co GDPR. Non o é: o GDPR require un opt-in afirmativo para os cookies non esenciais, e unha caixa de verificación de opt-out enterrada nunha páxina de privacidade non cumpre ese limiar. Fai que a CMP sexa a fonte autorizada do estado de consentimento e configura HubSpot para que a siga.
Documentación preparada para auditorías
Unha vez que a integración técnica está en marcha, o último paso é asegurarse de que a túa pista de evidencias pode resistir unha solicitude do regulador. Como mínimo, mantén un rexistro de: as categorías ás que a túa CMP asigna HubSpot, a versión do banner de consentimento activa nunha data determinada, exemplos de cadeas TC que mostren un consentimento válido e os rexistros de API que demostren que HubSpot non fixo ningunha chamada de seguimento antes de que se outorgase o consentimento. A maioría das accións de execución non se detén na tecnoloxía senón na documentación: as organizacións que poden producir un rastro de papel claro xeralmente resolven as investigacións moito máis rápido que as que non poden. Unha plataforma de xestión do consentimento que exporta estes artefactos baixo demanda converte a auditoría dunha carreira frenética de varias semanas nunha resposta dunha tarde.