Por que a Reprodución de Sesión É Unicamente Arriscada

A maioría das tecnoloxías de seguimento capturan sinais agregados ou de granularidade grosa. A reprodución de sesión captura unha reconstrución case literal do comportamento do usuario individual, incluídos os valores de entrada, o movemento do cursor, o progreso do desprazamento e o estado do DOM a nivel de páxina. Iso eleva os riscos xurídicos de varias formas específicas.

Leis de Escuchas dos Estados de EE.UU.

Varios estados de EE.UU. — notablemente California, Florida, Pensilvania, Massachusetts e Illinois — teñen leis de escuchas de consentimento de dúas partes que os despachos de avogados dos demandantes aplicaron agresivamente á reprodución de sesión. A teoría: se o teu sitio rexistra a sesión de interacción dun visitante sen consentimento afirmativo, e un fornecedor terceiro procesa esa gravación, o fornecedor interceptou a comunicación entre o usuario e o editor. O California Invasion of Privacy Act (CIPA) foi o estatuto máis produtivo para os demandantes en 2024 e 2025, con acordos que van desde os seis dígitos baixos ata decenas de millóns nos obxectivos máis grandes.

GDPR e ePrivacy

Baixo o dereito europeo, a reprodución de sesión é case sempre unha actividade de tratamento que require consentimento opt-in. As gravacións conteñen regularmente datos persoais: enderezos IP, entradas escritas, rutas do cursor que poden revelar preocupacións de saúde ou financeiras, e metadatos que se unen a un identificador de conta de primeira parte. O ICO do Reino Unido, o Garante italiano e a CNIL francesa emitiron todos orientacións de que a reprodución de sesión require consentimento previo opt-in, e o Datatilsynet noruegués multou a un gran editor en 2023 especificamente por executar Hotjar sen un mecanismo de consentimento.

Fuga de Datos Sensibles

As ferramentas de reprodución de sesión, por defecto, capturan todo o que o usuario escribe ou co que interactúa — incluídos contrasinais, números de tarxeta de crédito, números de seguridade social, detalles médicos e calquera contido sensible copiado e pegado. Os fornecedores ofrecen funcionalidades de supresión, pero esas funcionalidades están desactivadas por defecto ou requiren configuración opt-in explícita. Unha integración de reprodución mal configurada pode enviar silenciosamente datos PHI ou PCI a un procesador terceiro, desencadeando simultáneamente incumprimentos de HIPAA, PCI DSS e categoría especial de GDPR.

A Arquitectura de Consentimento que Realmente Necesitas

Un despregamento de reprodución de sesión defendible en 2026 ten tres controis apilados: consentimento previo, configuración de gravación que preserva a privacidade e minimización de datos posterior.

Capa 1 — Consentimento Previo Antes de Calquera Gravación

Para o tráfico da EU, UK e EEA, o fornecedor de reprodución non debe inicializarse antes do consentimento afirmativo. Isto significa que o script de inicialización debería cargarse dentro dun espazo controlado polo CMP, vinculado a un propósito como IAB TCF Propósito 8 (Medir o rendemento do contido) ou Propósito 10 (Desenvolver e mellorar produtos), dependendo da túa distribución de propósitos. Para o tráfico dos EE.UU. en estados de consentimento de dúas partes, aplícase a mesma lóxica de control — o script só debería inicializarse cando o usuario deu o seu consentimento afirmativo, idealmente a través do mesmo fluxo CMP, cunha divulgación explícita de que a páxina grava a túa sesión para análise UX.

Capa 2 — Suprimir en lugar de Capturar por Defecto

Cada fornecedor moderno de reprodución de sesión admite a supresión a nivel de DOM. O enfoque que queres é denegar por defecto, permitir por anotación — ocultar cada entrada de texto e cada elemento a non ser que o haxa marcado explicitamente como seguro. Os nomes de atributos específicos difiren por fornecedor (data-hj-suppress para Hotjar, data-clarity-mask para Clarity, data-fs-privacy="mask" para FullStory), pero o patrón é idéntico. Os campos de formulario, áreas de conta, UI de pago e calquera lugar onde poidan aparecer datos sensibles deben estar cubertos.

Capa 3 — Anonimización de IP e Retención

Cada fornecedor principal de reprodución admite a anonimización de IP, unha xanela de retención configurable e opcións de residencia de datos xeográfica. Establece a retención no período máis curto que admita o teu fluxo de traballo UX, normalmente 30 a 90 días, e activa a anonimización de IP se o fornecedor a admite. Para o tráfico da EU, escolla unha opción de residencia de datos EU onde se ofrezca.

Configuración Específica por Fornecedor

As diferentes plataformas de reprodución teñen diferentes posturas predeterminadas. As seguintes son as máis comúns nos despregamentos de 2026, cos parámetros que cambian materialmente o panorama do cumprimento.

Hotjar

Hotjar fornécese coa supresión de texto desactivada por defecto na maioría das integracións. Activa o parámetro Suprimir contido de texto para todo o sitio, e a continuación usa o atributo data-hj-allow para incluír na lista branca os elementos específicos que queres capturar. Activa a anonimización de IP nos parámetros do sitio. Activa o Modo de Consentimento e conéctao ao teu CMP para que a gravación só comece despois do consentimento explícito para a analítica. Hotjar admite a integración de Google Consent Mode v2 de forma nativa.

Microsoft Clarity

Clarity é gratuíto, por iso moitos editores pequenos recorren a el sen unha revisión de cumprimento adecuada. Por defecto, Clarity oculta contrasinais e campos similares a tarxetas de crédito, pero pouco máis. Configura data-clarity-mask en todos os campos de datos persoais. Activa Ocultar todo o texto nos parámetros do proxecto cando sexa posible. A opción de residencia de datos EU de Clarity está nos parámetros do proxecto de Clarity — actívaa se serves tráfico EU. Usa o clarity('consent') API de JavaScript para controlar a gravación de reprodución a través do teu CMP.

FullStory

FullStory ten a configuración de privacidade máis granular dos fornecedores principais. Usa Elementos excluídos, Páxinas excluídas, Bloqueo de elementos e o atributo data-fs-privacy="mask" en combinación. O parámetro Privado por defecto de FullStory debería activarse para o tráfico EU. Conecta a chamada API FS.consent() ao estado de consentimento do teu CMP.

Mouseflow, LogRocket, Smartlook

Os fornecedores máis pequenos xeralmente ofrecen controis similares baixo distintas denominacións. O patrón consistente: desactiva a captura predeterminada, inclúe na lista branca o que necesites, activa a anonimización de IP, configura a retención e nunca inicialices o SDK antes do consentimento. Non asumas que ningún fornecedor é conforme por defecto — están feitos para os equipos de produto, non para os equipos de privacidade.

E a Pregunta sobre o Modo de Consentimento de Google?

Google Consent Mode v2 mapéase indirectamente á reprodución de sesión. Os sinais máis próximos son analytics_storage e, se a reprodución se usa para optimización de anuncios, ad_user_data. Cando se denega analytics_storage, a gravación de reprodución debería suprimirse ou, como mínimo, reducirse a un modo de mostraxe estatística e agregado se o fornecedor o ofrece. A maioría dos fornecedores de reprodución de sesión aínda non construíron a integración completa do Modo de Consentimento v2, polo que un CMP correctamente conectado segue facendo a maior parte do traballo.

Fallos Comúns que Atraen Demandas Colectivas

• A reprodución execútase antes de que apareza o banner — o script actívase ao cargar a páxina, captura os primeiros segundos e só se detén despois de que o CMP resolva. Esta é a violación máis común, e os demandantes de CIPA construíron decenas de casos arredor dela
• A captura de texto predeterminada está activada — a reprodución envía de volta valores de campos de formulario, consultas de busca e mensaxes de chat sen suprimir
• Sen consentimento para usuarios autenticados — un usuario inicia sesión e a reprodución continúa silenciosamente aínda que o usuario nunca afirmou o consentimento para a analítica
• Sen divulgación na política de privacidade — o fornecedor de reprodución non está nomeado, o propósito do tratamento non está explicado e non hai ruta de opt-out documentada
• O GPC é ignorado — un sinal de Global Privacy Control debería suprimir a reprodución para os residentes dos EE.UU. dos estados de opt-out, pero a maioría das integracións predeterminadas non o respectan
• A retención supera o propósito documentado — un valor predeterminado de 12 meses do fornecedor déixase no seu lugar cando o equipo UX só precisa 30 días, ampliando a exposición a incumprimentos sen beneficio

Consideracións para Sectores Sensibles

Algunhas industrias enfróntanse a un risco categórico coa reprodución de sesión que non pode mitigarse totalmente mediante a configuración.

Saúde

Baixo HIPAA, executar a reprodución de sesión en calquera páxina que poida mostrar información de saúde protexida require un Business Associate Agreement co fornecedor, autorización explícita do usuario e minimización estrita de datos. A maioría dos editores tratan esta categoría como completamente fóra dos límites para a reprodución de sesión estándar.

Finanzas

Os bancos, aseguradoras e plataformas fintech enfróntanse tanto á exposición ao PCI DSS nas páxinas de pago como á maior atención da FTC ao seguimento das finanzas dos consumidores. A reprodución de sesión debería excluírse de calquera páxina autenticada de movemento de diñeiro.

Contido para Nenos

COPPA require o consentimento parental verificable para calquera seguimento de usuarios menores de 13 anos. A reprodución de sesión nun sitio de nenos sen ese consentimento é unha violación categórica de COPPA.

Lista de Verificación de Auditoría para 2026

• O SDK de reprodución está controlado por un sinal CMP de consentimento afirmativo; a inicialización defírese ata despois de que se rexistre o consentimento
• O ocultamento de texto está activado globalmente, só con elementos na lista branca
• As entradas de formulario, os campos de pago, as áreas de conta autenticadas e os widgets de chat están completamente excluídos
• A anonimización de IP está activada a nivel do fornecedor
• A retención está establecida no período mínimo que admite a necesidade UX
• A opción de residencia de datos EU está activada para o tráfico EU onde o fornecedor a admite
• O fornecedor está nomeado na política de privacidade coa base legal, o propósito e a retención indicados
• Asinouse e arquivouse un Acordo de Tratamento de Datos, con avaliación de transferencia Schrems II onde corresponda
• O GPC e os opt-outs aplicables dos estados de EE.UU. suprimen a inicialización da reprodución
• As sesións autenticadas herdan o mesmo control de consentimento que as sesións anónimas
• As páxinas de sectores sensibles (saúde, finanzas, contido para nenos) están categoricamente excluídas da captura

A Postura Pragmática para 2026

A reprodución de sesión dá aos equipos UX unha visión inusualmente clara de como os usuarios experimentan realmente un sitio, e non é unha ferramenta da que ninguén queira prescindir. A resposta non é eliminala. A resposta é incorporar o consentimento, o ocultamento e a retención ao despregamento desde o primeiro día, e documentar a configuración para que un regulador ou o avogado dun demandante non poida caracterizar máis tarde o uso como interceptación encuberta. Os editores que traten a reprodución de sesión como unha ferramenta UX normal sen a instalación de cumprimento continuarán alimentando a cadea de demandas colectivas ao longo de 2026. Os editores que invistan na instalación manterán os beneficios da ferramenta cunha postura xurídica defendible.