Guía de Integración de Consentimento de Cookies de Klaviyo: Email e SMS Cumplidores con GDPR para E-commerce en 2026
Klaviyo é a plataforma dominante de email e SMS marketing para e-commerce directo ao consumidor. Está instalada nunha fracción significativa de todas as tenda Shopify, BigCommerce e Magento en todo o mundo, e a súa capa de rastrexo onsite — o script que observa o comportamento de navegación, atribúe vistas de páxina a perfís coñecidos e activa fluxos de carrito abandonado e navegación abandonada — é o que fai que a plataforma sexa comercialmente valiosa. É tamén unha das pezas máis frecuentemente mal configuradas dun stack de e-commerce desde unha perspectiva de privacidade. O script de rastrexo Klaviyo Onsite, a biblioteca Klaviyo Forms e os fluxos de consentimento de SMS recollen datos persoais no momento en que se cargan, antes de que ningún banner de consentimento sexa amosado. Para calquera tenda que toque tráfico da EU, UK, Brasil ou California, ese comportamento predeterminado xa non é compatible, e os reguladores máis activos na execución de e-commerce — o CNIL en Francia, o AEPD en España, o Garante italiano e a Axencia de Protección da Privacidade de California — deixaron claro que tratan os scripts de marketing de forma idéntica independentemente de se o vendedor é grande ou pequeno. Esta guía recorre o que Klaviyo recopila, como integrala cun CMP de terceiros e onde encaixan as primitivas de privacidade propias da plataforma.
O que Recopila o Rastrexo Klaviyo Onsite
O fragmento Klaviyo Onsite (cargado desde static.klaviyo.com/onsite/js/klaviyo.js) inicializa unha cola global _learnq e identifica visitantes cunha cookie de propiedade de Klaviyo chamada __kla_id. Unha vez instalado, informa automaticamente de eventos de vista de páxina, captura interaccións de formulario, activa o evento Active On Site que impulsa o fluxo de Navegación Abandonada de Klaviyo e vincula o comportamento de navegación anónimo a un perfil de subscritor coñecido no momento en que o visitante inicia sesión ou envía un formulario cunha dirección de correo electrónico. Os eventos posteriores — Viewed Product, Added to Cart, Started Checkout, Placed Order — actívanse a través da mesma infraestrutura de identidade e herdan a mesma atribución baseada en cookies.
Para a análise GDPR a cookie é non esencial, os datos que deixan a páxina son datos persoais porque están atados a un identificador persistente, e Klaviyo está establecido nos Estados Unidos, o que fai que a transferencia estea suxeita ao Marco de Privacidade de Datos EU-US. Todas tres condicións empeñan o rastrexo Klaviyo Onsite firmemente en territorio de "require consentimento previo" na EU, o UK, o EEA e Brasil baixo o LGPD. En California o mesmo procesamiento cae baixo o dereito de opt-out-of-sharing-for-cross-context-behavioral-advertising do CPRA, que o compartimento de Klaviyo con destinos de media pagada agora adiante activa.
As Tres Superficies de Rastrexo que Ten que Bloquear
Unha instalación de Klaviyo non é unha superficie de rastrexo, son tres, e precisan ser tratadas por separado nunha integración CMP.
O script de rastrexo Onsite
Este é o rastreador de comportamento principal — o script que establece __kla_id e impulsa o fluxo de eventos en directo no sitio. É a superficie que máis equipos lembran bloquear e a máis visible para reguladores en auditoría. Bloqueala por defecto e cargala só cando o visitante acepta a categoría de marketing.
Klaviyo Forms e popups de inscrición
Klaviyo Forms é unha biblioteca separada que impulsa popups de inscrición de email e SMS, formularios embebidos e desbloqueios de contido protexido. Está aloxada no mesmo dominio pero cargada como un script separado. Os formularios poden activar eventos de impresión e envío independentemente do rastreador Onsite principal, polo que bloquear só Onsite mentres deixas Forms cargando é un patrón común de cumprimento parcial que aínda filtra datos identificadores.
Recopilación de consentimento de SMS
Os rexistros de SMS teñen o seu propio requisito de consentimento baixo o TCPA nos EE.UU. e baixo regras específicas do sector na EU, e os formularios de SMS de Klaviyo recollen números de teléfono xunto co consentimento confirmado de caixa. O consentimento recopilado aquí é para a propia mensaxería SMS, separado do consentimento de cookies. Unha pila correctamente configurada recopila ambos: consentimento de cookies no CMP, consentimento de SMS no perfil do subscritor de Klaviyo.
Controles de Privacidade Nativos de Klaviyo
Klaviyo expón varias primitivas de privacidade nativas. Como coa maioría das plataformas de marketing, asumiron que unha decisión de consentimento existe e está sendo pasada. Non recollen consentimento eles mesmos.
A propiedade de consentimento en chamadas identify
Cando chamas klaviyo.identify() ou klaviyo.track(), podes adxuntar un payload de consentimento que recopila a base lícita para comunicacións de marketing. Esta é a primitiva correcta para pasar a decisión do CMP ao perfil de subscritor de Klaviyo.
Campos de consentimento a nivel de perfil
O perfil de subscritor ten campos dedicados para consentimento de email, consentimento de SMS e fonte de consentimento. As actualizacións a estes campos propáganse ao motor de segmentación de Klaviyo polo que os fluxos respectan o estado rexistrado.
Panel de configuración Privacy & Consent
A IU de administrador de Klaviyo ten unha sección Privacy & Consent que controla algúns comportamentos por defecto — por exemplo, se o evento Active On Site actívase para visitantes sen consentimento rexistrado. O predeterminado é permisivo; aperta estas configuracións é unha capa útil de correa e breteles enriba do bloqueo a nivel de CMP.
Integración Paso a Paso do CMP
A arquitectura fiable é bloquear todas tres superficies de rastrexo de Klaviyo detrás do CMP e usar as propiedades de consentimento en chamadas identify e track de Klaviyo para manter os rexistros de subscritor da plataforma sincronizados co estado de consentimento rexistrado.
1. Retire o fragmento Onsite predeterminado da cabeza
Klaviyo proporciona un fragmento dunha liña que os instaladores normalmente pegan no encabezado do documento. Retiralo. Substituílo cun elemento de script placeholder cuxa atributo type é text/plain e cuxa atributo data-category o identifica como marketing. O teu CMP reescribirá o tipo de volta a text/javascript cando o visitante acepta a categoría de marketing.
2. Atrasa a carga de Klaviyo Forms
A biblioteca Forms carga independentemente de Onsite. Aplica o mesmo patrón placeholder ao seu elemento de script para que non se inicialice antes do consentimento. Despois de que o consentimento sexa outorgado, tanto Onsite como Forms podes inicializar xuntos; os eventos encolados sen enviar automaticamente.
3. Separa consentimento de SMS de consentimento de cookies
A recopilación de opt-in de SMS corre a través de Klaviyo Forms pero o consentimento recopilado (a caixa explícita para SMS marketing) é un artefacto legal separado do consentimento de cookies. O banner de CMP recopila a decisión de cookies; a caixa de formulario recopila a decisión de SMS. Non os agrupes — o consentimento agrupado é inválido baixo tanto o GDPR como o TCPA.
4. Propaga consentimento no perfil de Klaviyo
Cando un subscritor coñecido acepta ou revoga consentimento no teu sitio, o CMP debería chamara á API de Klaviyo para actualizar os campos de consentimento do perfil. O Profiles API de Klaviyo soporta unha chamada partial-update que escriba consentimento de email, consentimento de SMS e marca de tempo de consentimento sen sobrescribir o resto do perfil. A maioría dos CMPs modernos teñen un conector de Klaviyo que manexan isto de extremo a extremo.
5. Arame Consent Mode v2 se executas etiquetas de Google xunto
A maioría das tendas que usan Klaviyo tamén executan Google Ads e GA4. O teu CMP debe publicar os sinais v2 de consentimento — ad_storage, analytics_storage, ad_user_data, ad_personalization — no dataLayer antes de que calquera etiqueta de Google se active. Klaviyo non consome estes sinais nativamente, pero Google si, e unha inconsistencia entre Klaviyo e Google aparecerá como un baleiro de ingresos mesurable na reporte de atribución.
Erros Comúns
Catro erros de integración aparecen repetidamente en auditorías de despregamentos de Klaviyo.
Tratar Forms como "só un popup"
Algúns equipos bloquean Onsite baixo marketing pero deixan Forms cargando en renderizado inicial, razoando que "un popup é só un elemento UI". A biblioteca Forms activa eventos de impresión para Klaviyo para cada popup que se amosa, que son datos de comportamento identificadores adianta a un vendedor de ad-tech estadounidense — o patrón exacto que un CMP supón previr.
Agrupar consentimento de cookies e SMS
Unha única caixa que di "Acordo coas cookies e recibir SMS de marketing" é inválida para ambos. O consentimento de cookies debe ser específico para cookies; o consentimento de SMS debe ser específico para SMS. Usa controles separados.
Deixar que conectores de media pagada de terceiros se activen en perfís revogados
Klaviyo pode impulsar audiencias para Google Ads, Meta, TikTok e outras redes publicitarias a través das súas integracións. Se un subscritor revoga consentimento, o impulso de audiencia precisa soltalos — non só deixar de engadilos. Configura os axustes de sincronización de audiencia de Klaviyo para honrar cambios de estado de consentimento en tempo real, non só en sincronización inicial.
Esquecense a pregunta de datos históricos
Cando un visitante acepta consentimento pola primeira vez, o teu stack non debería asociar retroactivamente o seu comportamento anónimo pre-consentimento co seu novo perfil. O CMP e Klaviyo deberíanconsentiron que datos de navegación pre-consentimento non son datos persoais atados ao perfil agora identificado. Algúns fluxos de Klaviyo asumiron esta asociación por defecto — revisaoso disparadores de fluxo relevantes.
Lista de Verificación de Auditoría
Seis preguntas concretas para responder para calquera despregamento de Klaviyo que toque tráfico da EU, UK, Brasil ou California.
- ¿Onsite agarda consentimento? Abre a storefront nunha xanela privada coa protección de rastrexo estrict e confirma que ningunha solicitude static.klaviyo.com se activa antes da aceptación do banner.
- ¿Forms agarda consentimento? Confirma que eventos de impresión de popup non se activan antes de que a categoría de marketing sexa aceptada.
- ¿Son o consentimento de cookies e o consentimento de SMS separados? Confirma que o banner de cookies non tampouco recopila consentimento de SMS, e que formularios de opt-in de SMS recollen a súa propia caixa explícita.
- ¿O perfil de Klaviyo reflexa o estado de CMP? Confirma que o CMP escriba decisións de consentimento nos campos de consentimento do perfil a través da API de Klaviyo.
- ¿As sincronizacións de audiencia honran revogacións? Confirma que revogar consentimento retire o subscritor de audiencias de media pagada aguas abaixo, non só de futuras sincronizacións.
- ¿É a navegación pre-consentimento mantida anónima? Confirma que os disparadores de fluxo non asocien retroactivamente comportamento pre-consentimento con perfís novamente identificados.
Onde Klaviyo Encaixa Nunha Pila Orientada ao Consentimento
Klaviyo senta na encrucillada da atribución de e-commerce e das comunicacións de marketing directo, o que significa que toca tanto o réxime de consentimento de cookies (GDPR/ePrivacy, CCPA/CPRA) como o réxime de comunicacións de marketing (CAN-SPAM, TCPA, GDPR Article 6/7 para mensaxería). A arquitectura correcta trata estes como dúas superficies de consentimento distintas — ambas enrutadas a través dun único CMP que é o dono da fonte da verdade, cos campos de consentimento nativos de Klaviyo mantidos sincronizados a través de API. As tendas que acertan isto preservan o comportamento de carrito abandonado, navegación abandonada e segmentación que fai que Klaviyo sexa comercialmente valioso mentres reduce a exposición de auditoría a unha fracción do que un despregamento predeterminado leva. O traballo de enxeñería é directamente; a disciplina está en non deixar que o equipo de marketing trate Forms como isento das mesmas regras que o rastreador Onsite.