Guida all'integrazione del consenso ai cookie Brevo (Sendinblue): conformità GDPR per email e SMS marketing nel 2026
Brevo, la piattaforma precedentemente nota come Sendinblue, è la piattaforma di email e SMS marketing più diffusa con sede nell'Europa continentale. Il rebranding nel 2023 ha coinciso con una sostanziale espansione della superficie del prodotto: accanto al motore originale di automazione delle email, Brevo ora include email transazionali, SMS marketing, messaggistica WhatsApp, un CRM di vendita, un pianificatore di riunioni, notifiche push e un widget di conversazione per siti web. Ogni componente installa il proprio script, imposta i propri cookie e inoltra dati ai data center europei di Brevo. Il patrimonio francese della piattaforma è importante per la conformità al consenso in due modi. In primo luogo, i data center di Brevo sono basati nell'UE, il che semplifica notevolmente l'analisi dei trasferimenti transfrontalieri rispetto ai concorrenti con sede negli Stati Uniti. In secondo luogo, la CNIL — il regolatore di riferimento di Brevo — è stata il più aggressivo esecutore delle regole sul consenso ai cookie in Europa, il che significa che la documentazione di integrazione predefinita di Brevo è storicamente rimasta indietro rispetto a ciò che il regolatore si aspetta effettivamente. Questa guida illustra cosa raccoglie ciascun componente Brevo, dove si trova il confine del consenso nel 2026 e come collegare l'intero stack Brevo a un CMP di terze parti in modo pulito.
Le superfici di tracciamento di Brevo
Un'installazione completa di Brevo tocca quattro distinte superfici di tracciamento, ciascuna con la propria domanda sul consenso.
Brevo Tracker (sib-tracker.js)
Il Brevo Tracker è il livello di analisi comportamentale, caricato da cdn.brevo.com/js/sib-tracker.js. Identifica i visitatori con il cookie sib-tracker-id e segnala payload di visualizzazione di pagina, clic ed eventi personalizzati a Brevo. Una volta che un visitatore viene identificato tramite email (tipicamente attraverso l'invio di un modulo o l'accesso), il Tracker collega la cronologia di navigazione anonima al profilo del contatto noto. Da una prospettiva normativa, il Tracker è un tracker comportamentale a scopo di marketing che richiede il consenso opt-in nell'UE.
Moduli di iscrizione Brevo
I moduli Brevo vengono in due varianti: moduli HTML incorporati (leggeri, nessuno script esterno necessario) e moduli popup (uno script separato che monitora il comportamento dei visitatori per decidere quando visualizzarli). Il modulo incorporato è approssimativamente equivalente a un modulo di contatto dal punto di vista della privacy; il modulo popup è più vicino a un tracker comportamentale e richiede lo stesso gating del Tracker.
Widget Conversations di Brevo
Il prodotto Conversations (live chat di Brevo) carica il proprio script da conversations-widget.brevo.com, imposta cookie di sessione e avvia una connessione di presenza in tempo reale. Funzionalmente simile al Messenger di Intercom; il trattamento del consenso è identico.
API transazionali e programmatiche
Brevo gestisce anche superfici lato server: l'API Email Transazionale per messaggi generati dal sistema, l'API SMS per testi in uscita e l'API di Marketing Automation per campagne attivate. Questi non vengono eseguiti sul dispositivo dell'utente, ma i pixel di tracciamento email incorporati nei messaggi sì — e quei pixel sono una superficie di consenso separata che eredita gli stessi vincoli dei pixel web sotto Apple Mail Privacy Protection e protezioni simili lato email.
Controlli di privacy nativi di Brevo
Brevo ha rafforzato i propri primitivi di privacy nativi negli ultimi due anni, in particolare in risposta alle linee guida della CNIL sui banner dei cookie e sui registri del consenso.
Il doubleOptinRedirect e il flusso di conferma
Il flusso predefinito di acquisizione degli iscritti di Brevo utilizza il doppio opt-in — un iscritto si registra, riceve un'email di conferma e deve cliccare per confermare. Ai sensi del GDPR questo crea un registro del consenso documentato che è significativamente più forte delle alternative con singolo opt-in. Configurare il doppio opt-in per impostazione predefinita a meno che non vi sia una ragione specifica per non farlo.
Il parametro di consenso trackEvent
La funzione trackEvent del Tracker accetta un payload di consenso opzionale. Passarlo consente di propagare la decisione del CMP nel flusso di eventi di Brevo, che il motore di segmentazione di Brevo rispetta quindi. Collegarlo dal callback del consenso del CMP.
Campi di consenso a livello di contatto
I profili degli iscritti Brevo hanno campi incorporati per il consenso email, il consenso SMS, il consenso WhatsApp e la fonte del consenso. Gli aggiornamenti tramite l'API Contacts si propagano alla logica di segmentazione in tempo reale, quindi le campagne rispettano automaticamente lo stato registrato.
Residenza dei dati nell'UE
Brevo gestisce data center a Paris e Munich. Per gli account in cui la residenza nell'UE è importante, la residenza dei dati è automatica — non è necessaria alcuna configurazione opt-in. Questa è una semplificazione operativa significativa rispetto ai concorrenti con sede negli Stati Uniti in cui la residenza nell'UE è un'opzione di configurazione a pagamento.
Integrazione CMP passo dopo passo
Il pattern di integrazione affidabile consiste nel rinviare ogni superficie di tracciamento di Brevo dietro il CMP e sincronizzare la decisione sul consenso con i campi a livello di contatto di Brevo tramite API.
1. Rimuovere lo snippet del Tracker predefinito dall'intestazione del documento
Lo snippet di installazione del Brevo Tracker è un tag script su una sola riga. Sostituirlo con un elemento script segnaposto con type="text/plain" e data-category="marketing". Il CMP riscrive il tipo in text/javascript quando il visitatore accetta il marketing.
2. Rinviare i moduli popup separatamente dai moduli incorporati
I moduli di iscrizione HTML incorporati possono essere visualizzati al caricamento iniziale della pagina senza gating — non impostano cookie e non caricano script esterni. I moduli popup devono essere gestiti sotto il consenso al marketing, proprio come il Tracker. La maggior parte delle installazioni Brevo confonde i due; controllare l'inventario dei moduli e trattarli diversamente.
3. Gestire Conversations esplicitamente
Il widget Conversations viene caricato da conversations-widget.brevo.com e inizializza una connessione di sessione al caricamento della pagina. Gestirlo dietro il consenso al marketing. Per gli utenti che rifiutano il marketing, fornire un percorso di contatto per il supporto alternativo — un modulo, un link email o un esplicito pulsante Avvia chat che carica il widget solo quando viene cliccato.
4. Scrivere la decisione del CMP nel profilo del contatto
Quando un iscritto noto aggiorna il proprio consenso attraverso il banner del CMP, chiamare l'API Contacts di Brevo per aggiornare i campi di consenso email, SMS e WhatsApp dell'iscritto. Questo mantiene la segmentazione di Brevo allineata con lo stato registrato. La maggior parte dei CMP moderni ha un connettore Brevo che gestisce questo dall'inizio alla fine.
5. Rispettare la revoca in tempo reale
In caso di revoca del consenso, il CMP deve chiamare sia la funzione di spegnimento del Tracker sulla pagina sia l'endpoint dell'API Contacts per aggiornare il profilo. Senza entrambe, il banner registra una revoca ma il tracciamento sottostante continua a livello di contatto.
Errori comuni
Quattro errori di integrazione spiegano la maggior parte dei risultati di audit sulle installazioni Brevo.
Single opt-in per le acquisizioni europee
Brevo supporta sia il singolo che il doppio opt-in. Il singolo opt-in crea un registro del consenso più debole ed è stato citato dalla CNIL in azioni di esecuzione contro diversi operatori francesi e belgi. Per qualsiasi pubblico europeo, configurare il doppio opt-in per impostazione predefinita.
Confondere moduli incorporati e popup
I moduli incorporati sono a basso rischio; i moduli popup sono tracciamento di categoria marketing. Gestirli diversamente. Trattarli entrambi come moduli e gestirli entrambi o non gestirne nessuno è il difetto di configurazione più comune.
Chiamate API lato server senza contesto di consenso
L'API Email Transazionale e l'API SMS possono essere chiamate dal backend senza che lo stato del consenso sulla pagina sia nell'ambito. Il backend deve cercare lo stato del consenso del contatto al momento dell'invio e rispettarlo; altrimenti la decisione del CMP non viene applicata per i messaggi avviati dal server.
Dimenticare il pixel email
I pixel di tracciamento email di Brevo sono soggetti alla stessa degradazione di Apple Mail Privacy Protection di qualsiasi altro fornitore. Il pixel richiede ancora una decisione di consenso separata distinta dal consenso ai cookie sul proprio sito web. Molti operatori registrano il consenso ai cookie ma non registrano mai esplicitamente il consenso al pixel email.
Lista di controllo per l'audit
Sei domande concrete a cui rispondere per qualsiasi installazione Brevo che tocchi il traffico UE, UK o California.
- Il Tracker attende il consenso? Aprire la pagina in una finestra privata e confermare che nessuna richiesta brevo.com o sendinblue.com viene eseguita prima dell'accettazione del banner.
- I moduli popup sono gestiti separatamente dai moduli incorporati? Confermare che le impressioni dei moduli popup non si attivano prima del consenso al marketing.
- Conversations è gestito? Confermare che il widget chat non si inizializza prima del consenso e che è disponibile un percorso di supporto non-Conversations.
- Il doppio opt-in è configurato? Confermare che il flusso di iscrizione utilizza il doppio opt-in per il pubblico europeo.
- Le API lato server rispettano il consenso? Confermare che le chiamate all'API Transazionale e SMS verificano lo stato del consenso del contatto prima dell'invio.
- La decisione del CMP è sincronizzata con i profili Brevo? Confermare che il CMP scrive le decisioni di consenso al contatto Brevo tramite API.
Dove si inserisce Brevo in uno stack consent-first
Brevo occupa una posizione privilegiata rispetto ai suoi concorrenti con sede negli Stati Uniti: dati residenti nell'UE, doppio opt-in per impostazione predefinita e solidi primitivi di consenso nativi. Il patrimonio francese della piattaforma significa che è stata progettata in base alle aspettative della CNIL fin dall'inizio, il che è un vantaggio operativo significativo quando quelle aspettative sono diventate lo standard de facto europeo. Il lavoro di integrazione è per lo più lo stesso di qualsiasi altra piattaforma di marketing — gestire le superfici di tracciamento, sincronizzare la decisione sul consenso tramite API, documentare l'architettura — ma l'attrito normativo è inferiore rispetto alle alternative con sede negli Stati Uniti. Per gli operatori europei o per qualsiasi piccola impresa che voglia mantenere il proprio stack di marketing all'interno del perimetro normativo dell'UE, Brevo combinato con un CMP correttamente integrato è una delle posizioni più difendibili disponibili nel 2026.