Mengapa Pelacakan HubSpot Membutuhkan Sinyal Persetujuan yang Nyata

HubSpot menyimpan sejumlah cookie pihak pertama di perangkat pengunjung segera setelah skrip pelacakan (cuplikan JavaScript HubSpot, biasanya hs-scripts.com/{hub_id}.js) dieksekusi. Yang paling penting adalah __hstc, hubspotutk, dan __hssc, yang bersama-sama mengidentifikasi pengunjung lintas sesi, menghubungkan pengiriman formulir kembali ke riwayat penelusuran anonim, dan memberi makan model penilaian prospek di CRM. Di bawah GDPR dan Direktif ePrivacy, ketiganya adalah cookie non-esensial yang memerlukan persetujuan sebelumnya yang diberikan secara bebas, spesifik, terinformasi, dan tidak ambigu. Memuat cuplikan di kepala dokumen — yang merupakan pola integrasi default HubSpot — menempatkan cookie tersebut sebelum pengunjung ditanya apa pun.

Konsekuensinya tidak teoritis. Otoritas perlindungan data di Prancis, Italia, dan Spanyol semuanya telah mengeluarkan tindakan penegakan hukum dalam dua tahun terakhir terhadap organisasi yang tumpukan pemasarannya menetapkan cookie pelacakan sebelum persetujuan. Denda berkisar dari penalti lima angka untuk penerbit kecil hingga penalti multi-juta euro untuk perusahaan besar. Spanduk cookie asli HubSpot ada, tetapi sengaja ringan dan tidak, dengan sendirinya, memblokir cuplikan dari penembakan. Sebagian besar peninjau kepatuhan memperlakukannya sebagai lapisan pemberitahuan, bukan lapisan kontrol.

Apa yang Sebenarnya Dilacak HubSpot

Sebelum memutuskan cara membatasi HubSpot, ada baiknya untuk lebih tepat tentang kategori pemrosesan mana yang sedang berlangsung. Permukaan pelacakan HubSpot terbagi menjadi empat kelompok yang tumpang tindih, masing-masing dengan implikasi persetujuannya sendiri.

Analitik perilaku

Tampilan halaman, klik, gulir, dan acara durasi sesi dikumpulkan secara otomatis setelah kode pelacakan dimuat. Acara-acara ini membangun garis waktu pengunjung yang Anda lihat di dalam catatan kontak HubSpot dan merupakan fondasi setiap aturan penilaian prospek atau alur kerja. Dari perspektif regulator, ini adalah pelacakan analitik yang jelas dan memerlukan persetujuan opt-in di EU dan EEA. Di UK, panduan ICO 2023 memperlakukannya secara identik.

Formulir dan obrolan

Formulir HubSpot dan widget obrolan HubSpot (sebelumnya integrasi Drift) dapat dikonfigurasi untuk memuat secara independen dari skrip pelacakan utama. Pengiriman formulir, dalam sebagian besar analisis hukum, dianggap sebagai aktivitas pemrosesan terpisah dengan dasar hukumnya sendiri — biasanya kinerja kontrak atau kepentingan sah. Namun obrolan yang merekam transkrip di server pihak ketiga umumnya memerlukan persetujuan untuk rekaman itu sendiri.

Penjahitan identitas lintas domain

Jika Anda menggunakan portal HubSpot yang sama di beberapa domain, cuplikan akan mencoba menetapkan dan membaca cookie dengan cara yang menghubungkan pengunjung di seluruh properti tersebut. Ini masuk ke dalam apa yang EDPB sebut "pelacakan" dalam arti ketat dan merupakan kategori risiko tertinggi. Ini juga yang paling mungkin ditandai selama DPIA.

Integrasi pemasaran

HubSpot dapat mendorong acara ke Google Ads, Meta, LinkedIn, dan jaringan iklan lainnya melalui integrasinya. Setiap transfer tersebut membawa persyaratan persetujuannya sendiri dan, di EU, penilaian transfer data sendiri.

Spanduk HubSpot Asli vs. CMP Pihak Ketiga

HubSpot dilengkapi spanduk persetujuan cookie bawaan yang dapat Anda aktifkan dari Pengaturan > Privasi & Persetujuan. Ini akan menampilkan pemberitahuan yang dapat dikonfigurasi, mencatat catatan persetujuan terhadap kontak, dan menghormati satu opt-out untuk analitik. Untuk organisasi yang sangat kecil yang beroperasi di yurisdiksi berisiko rendah, ini bisa cukup. Bagi siapa pun yang serius tentang kepatuhan — atau siapa pun yang menjalankan iklan yang sadar mode persetujuan — itu tidak cukup.

Alasan untuk beralih ke CMP pihak ketiga bersifat praktis:

• Kategori granular. Spanduk asli tidak memisahkan cookie yang sangat diperlukan, fungsional, analitik, dan pemasaran menjadi toggle yang berbeda, yang merupakan struktur yang diharapkan regulator.
• Dukungan IAB TCF dan GPP. Jika Anda berpartisipasi dalam periklanan programatik, Anda memerlukan CMP bersertifikat Google yang mengeluarkan string TC yang valid. Spanduk HubSpot asli tidak melakukan ini.
• Consent Mode v2. Google kini mengharuskan sinyal persetujuan dikirimkan dalam format v2 untuk lalu lintas EEA. CMP khusus menghubungkan ini dari ujung ke ujung, termasuk konfigurasi default-deny.
• Multi-bahasa dan aksesibilitas. Sebagian besar CMP hadir dengan paket bahasa 30+ dan default yang sesuai WCAG. Spanduk bawaan HubSpot lebih terbatas.
• Pencatatan tingkat audit. CMP khusus merekam setiap keputusan persetujuan dengan stempel waktu, versi spanduk, dan pilihan — bukti yang diminta regulator dalam penyelidikan.

Integrasi Langkah demi Langkah dengan CMP Pihak Ketiga

Pola integrasi yang bekerja dengan andal adalah menyimpan cuplikan HubSpot di halaman tetapi mencegahnya dieksekusi hingga keputusan persetujuan dicatat. Di bawah ini adalah pendekatan kanonik, ditulis secara generik sehingga berlaku untuk CMP modern apa pun termasuk FlexyConsent.

1. Hapus cuplikan default dari kepala dokumen

Dalam templat situs Anda, hapus tag <script> inline yang memuat hs-scripts.com/{hub_id}.js. Ganti dengan placeholder yang dapat diaktifkan CMP Anda nanti, biasanya dengan menyetel atribut type ke text/plain dan menambahkan atribut data kategori seperti data-category="marketing".

2. Petakan HubSpot ke kategori persetujuan yang tepat

Sebagian besar CMP menggunakan IAB TCF atau model empat-kelompok: diperlukan, fungsional, analitik, pemasaran. Skrip pelacakan HubSpot menyentuh kategori analitik dan pemasaran karena integrasi CRM. Pemetaan konservatif adalah membatasi seluruh cuplikan di belakang kategori pemasaran, yang merupakan kelompok paling ketat. Jika CMP Anda mengizinkan pemetaan yang terperinci, Anda dapat membagi: muat formulir di bawah fungsional, muat acara analitik di bawah analitik, dan muat penjahitan identitas CRM di bawah pemasaran.

3. Konfigurasikan callback aktivasi

CMP Anda mengekspos acara atau callback yang diaktifkan ketika pengguna memberikan persetujuan untuk suatu kategori. Dalam callback tersebut, tulis ulang atribut tipe tag skrip placeholder kembali ke text/javascript dan tambahkan ke dokumen. Skrip kemudian akan dimuat dan dieksekusi secara normal. Untuk SPA, daftarkan callback pada setiap perubahan rute sehingga halaman yang baru dipasang juga menerima aktivasi.

4. Hubungkan Consent Mode v2

Jika Anda menggunakan Google Ads atau GA4 bersama HubSpot, CMP Anda perlu mendorong sinyal persetujuan v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — ke dataLayer sebelum tag Google mana pun diaktifkan. HubSpot sendiri tidak mengonsumsi sinyal ini, tetapi tumpukan Anda yang lain melakukannya, dan ketidakkonsistenan antara HubSpot dan Google akan muncul dalam pelaporan Anda sebagai kesenjangan pendapatan yang terukur.

5. Sinkronkan status persetujuan ke HubSpot CRM

Ketika kontak yang dikenal memperbarui persetujuan mereka (misalnya, dengan mengunjungi kembali spanduk dan mencabut persetujuan pemasaran), Anda harus mencerminkannya dalam catatan HubSpot sehingga logika alur kerja berhenti mengirim email pemasaran. API HubSpot mengekspos titik akhir communication-preferences yang menerima pembaruan tingkat langganan. Sebagian besar CMP dapat dikonfigurasi untuk memanggil titik akhir ini dari hook sisi server.

Kesalahan Umum dan Cara Menghindarinya

Tiga kesalahan integrasi menyumbang sebagian besar temuan audit yang kami lihat pada tumpukan padat HubSpot.

Memuat cuplikan terlalu awal

Beberapa tim memasukkan tag HubSpot di dalam tag manager dan mengasumsikan tag manager menangani persetujuan. Google Tag Manager memang menghormati mode persetujuan, tetapi hanya untuk tag yang secara eksplisit memerlukan status yang diberikan. Jika tag HubSpot dikonfigurasi tanpa persyaratan itu, GTM akan mengaktifkannya terlepas. Selalu setel bidang Additional consent pada tag untuk memerlukan persetujuan pemasaran sebelum diaktifkan.

Melupakan skrip formulir

Formulir HubSpot dilayani dari domain terpisah (forms.hsforms.com) dan dapat disematkan dengan skrip mereka sendiri. Jika Anda membatasi cuplikan pelacakan utama tetapi membiarkan skrip formulir dimuat pada render awal, Anda belum benar-benar memecahkan masalah — pustaka formulir menetapkan cookie pengidentifikasi miliknya sendiri. Batasi keduanya, dan biarkan CMP memuatnya bersama-sama.

Memperlakukan opt-out sebagai opt-in

Pengaturan asli HubSpot mencakup opsi Do Not Track dan opt-out satu klik. Beberapa tim menafsirkan ini sebagai mekanisme yang cukup untuk mematuhi GDPR. Mereka tidak — GDPR mengharuskan opt-in afirmatif untuk cookie non-esensial, dan kotak centang opt-out yang terkubur di halaman privasi tidak memenuhi standar itu. Jadikan CMP sebagai sumber otoritatif status persetujuan, dan konfigurasikan HubSpot untuk mengikutinya.

Dokumentasi Siap Audit

Setelah integrasi teknis tersedia, langkah terakhir adalah memastikan jejak bukti Anda dapat bertahan dari permintaan regulator. Minimal, simpan catatan: kategori yang dipetakan CMP Anda ke HubSpot, versi spanduk persetujuan yang aktif pada tanggal tertentu, contoh string TC yang menunjukkan persetujuan yang valid, dan log API yang membuktikan HubSpot tidak mengaktifkan panggilan pelacakan apa pun sebelum persetujuan diberikan. Sebagian besar tindakan penegakan hukum terhenti bukan pada teknologi tetapi pada dokumentasi — organisasi yang dapat menghasilkan jejak kertas yang jelas biasanya menyelesaikan penyelidikan jauh lebih cepat daripada yang tidak bisa. Platform manajemen persetujuan yang mengekspor artefak ini sesuai permintaan mengubah audit dari pertempuran berminggu-minggu menjadi respons satu sore.