Guida all'Integrazione del Consenso Cookie di Klaviyo: Email e SMS Conformi al GDPR per l'E-commerce nel 2026
Klaviyo è la piattaforma dominante di email e SMS marketing per l'e-commerce diretto al consumatore. È installata su una frazione significativa di tutti i negozi Shopify, BigCommerce e Magento nel mondo, e il suo livello di tracciamento onsite — lo script che monitora il comportamento di navigazione, attribuisce le visualizzazioni di pagina ai profili conosciuti e attiva i flussi di carrello abbandonato e abbandono della navigazione — è ciò che rende la piattaforma commercialmente valida. È anche uno dei componenti più comunemente mal configurati di uno stack e-commerce dal punto di vista della privacy. Lo script di tracciamento Klaviyo Onsite, la libreria Klaviyo Forms e i flussi di opt-in SMS raccolgono tutti dati personali nel momento in cui vengono caricati, prima che venga mostrato qualsiasi banner di consenso. Per qualsiasi negozio che gestisce traffico da EU, UK, Brasile o California, quel comportamento predefinito non è più conforme, e le autorità di regolamentazione più attive nell'applicazione dell'e-commerce — il CNIL in Francia, l'AEPD in Spagna, il Garante italiano e la California Privacy Protection Agency — hanno chiarito che trattano gli script di marketing in modo identico indipendentemente dal fatto che il fornitore sia grande o piccolo. Questa guida illustra cosa raccoglie Klaviyo, come integrarlo con un CMP di terze parti e dove si inseriscono le primitive di privacy della piattaforma stessa.
Cosa Raccoglie il Tracciamento Klaviyo Onsite
Lo snippet Klaviyo Onsite (caricato da static.klaviyo.com/onsite/js/klaviyo.js) inizializza una coda globale _learnq e identifica i visitatori con un cookie di proprietà di Klaviyo chiamato __kla_id. Una volta installato, segnala automaticamente eventi di visualizzazione della pagina, cattura le interazioni con i form, attiva l'evento Active On Site che guida il flusso di Browse Abandonment di Klaviyo e collega il comportamento di navigazione anonimo a un profilo di abbonato conosciuto nel momento in cui il visitatore effettua il login o invia un form con un indirizzo email. Gli eventi successivi — Viewed Product, Added to Cart, Started Checkout, Placed Order — vengono attivati attraverso la stessa infrastruttura di identità e ereditano la stessa attribuzione basata su cookie.
Per l'analisi del GDPR, il cookie è non essenziale, i dati che escono dalla pagina sono dati personali perché sono legati a un identificativo persistente, e Klaviyo è stabilita negli Stati Uniti, il che rende il trasferimento soggetto all'EU-US Data Privacy Framework. Tutte e tre le condizioni spingono il tracciamento Klaviyo Onsite fermamente nel territorio "richiede consenso preventivo" nell'EU, UK, EEA e Brasile ai sensi del LGPD. In California, lo stesso trattamento rientra nel diritto di opt-out-of-sharing-for-cross-context-behavioral-advertising del CPRA, che la condivisione di Klaviyo con destinazioni paid-media a valle attiva.
Le Tre Superfici di Tracciamento che Devi Controllare
Un'installazione Klaviyo non è una superficie di tracciamento, sono tre, e devono essere trattate separatamente in un'integrazione CMP.
Lo script di tracciamento Onsite
Questo è il principale tracker comportamentale — lo script che imposta __kla_id e guida il flusso di eventi active-on-site. È la superficie che la maggior parte dei team ricorda di controllare e quella più visibile alle autorità di regolamentazione in fase di audit. Bloccalo per impostazione predefinita e caricalo solo quando il visitatore accetta la categoria marketing.
Klaviyo Forms e popup di registrazione
Klaviyo Forms è una libreria separata che alimenta i popup di registrazione email e SMS, i form incorporati e gli sblocchi di contenuti protetti. È ospitata sullo stesso dominio ma caricata come script separato. I form possono attivare eventi di impression e invio indipendentemente dal tracker Onsite principale, quindi controllare solo Onsite lasciando Forms in caricamento è un pattern comune di conformità parziale che continua a far trapelare dati identificativi.
Raccolta di opt-in SMS
Le registrazioni SMS hanno il proprio requisito di consenso ai sensi del TCPA negli Stati Uniti e ai sensi di regole specifiche del settore nell'EU, e i form SMS di Klaviyo raccolgono numeri di telefono insieme al consenso confermato da checkbox. Il consenso raccolto qui è per la messaggistica SMS stessa, separato dal consenso dei cookie. Uno stack configurato correttamente registra entrambi: consenso dei cookie nel CMP, consenso SMS nel profilo dell'abbonato Klaviyo.
Controlli di Privacy Nativi di Klaviyo
Klaviyo espone diverse primitive di privacy native. Come con la maggior parte delle piattaforme di marketing, presumono che esista una decisione di consenso e che venga passata. Non raccolgono il consenso loro stesse.
La proprietà consent nelle chiamate identify
Quando chiami klaviyo.identify() o klaviyo.track(), puoi allegare un payload di consenso che registra la base giuridica per le comunicazioni di marketing. Questa è la primitiva giusta per passare la decisione del CMP nel profilo dell'abbonato Klaviyo.
Campi di consenso a livello di profilo
Il profilo dell'abbonato ha campi dedicati per il consenso email, il consenso SMS e la fonte del consenso. Gli aggiornamenti a questi campi si propagano al motore di segmentazione di Klaviyo in modo che i flussi rispettino lo stato registrato.
Il pannello impostazioni Privacy & Consent
L'interfaccia utente di amministrazione di Klaviyo ha una sezione Privacy & Consent che controlla alcuni comportamenti predefiniti — ad esempio, se l'evento Active On Site viene attivato per i visitatori senza consenso registrato. L'impostazione predefinita è permissiva; irrigidire queste impostazioni è un utile livello di sicurezza aggiuntivo sopra al controllo a livello di CMP.
Integrazione CMP Passo-Passo
L'architettura affidabile è quella di controllare tutte e tre le superfici di tracciamento Klaviyo dietro il CMP e utilizzare le proprietà di consenso nelle chiamate identify e track di Klaviyo per mantenere i record degli abbonati della piattaforma sincronizzati con lo stato di consenso registrato.
1. Rimuovi lo snippet Onsite predefinito dall'head
Klaviyo fornisce uno snippet di una riga che gli installatori in genere incollano nell'head del documento. Rimuovilo. Sostituiscilo con un elemento script segnaposto il cui attributo type è text/plain e il cui attributo data-category lo identifica come marketing. Il tuo CMP riscriverà il tipo di nuovo in text/javascript quando il visitatore accetta la categoria marketing.
2. Rimanda il caricamento di Klaviyo Forms
La libreria Forms si carica indipendentemente da Onsite. Applica lo stesso pattern segnaposto al suo elemento script in modo che non si inizializzi prima del consenso. Dopo che il consenso è stato concesso, sia Onsite che Forms possono inizializzarsi insieme; gli eventi in coda si svuotano automaticamente.
3. Separa il consenso SMS dal consenso dei cookie
La raccolta di opt-in SMS avviene attraverso Klaviyo Forms ma il consenso raccolto (la checkbox esplicita per il marketing SMS) è un artefatto legale separato dal consenso dei cookie. Il banner CMP registra la decisione sui cookie; la checkbox del form registra la decisione SMS. Non raggrupparli — il consenso raggruppato non è valido né ai sensi del GDPR né del TCPA.
4. Propaga il consenso nel profilo Klaviyo
Quando un abbonato conosciuto accetta o revoca il consenso sul tuo sito, il CMP dovrebbe chiamare l'API Klaviyo per aggiornare i campi di consenso del profilo. L'API Profiles di Klaviyo supporta una chiamata di aggiornamento parziale che scrive il consenso email, il consenso SMS e il timestamp del consenso senza sovrascrivere il resto del profilo. La maggior parte dei CMP moderni ha un connettore Klaviyo che gestisce questo end-to-end.
5. Collega Consent Mode v2 se esegui tag Google insieme
La maggior parte dei negozi che utilizzano Klaviyo eseguono anche Google Ads e GA4. Il tuo CMP deve pubblicare i segnali di consenso v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — nel dataLayer prima che qualsiasi tag Google si attivi. Klaviyo non consuma questi segnali nativamente, ma Google sì, e un'incoerenza tra Klaviyo e Google si manifesterà come un divario di entrate misurabile nel reporting di attribuzione.
Errori Comuni
Quattro errori di integrazione si presentano ripetutamente negli audit delle implementazioni Klaviyo.
Trattare Forms come "solo un popup"
Alcuni team controllano Onsite sotto marketing ma lasciano Forms in caricamento al rendering iniziale, ragionando che "un popup è solo un elemento UI". La libreria Forms attiva eventi di impression a Klaviyo per ogni popup che viene visualizzato, il che rappresenta dati comportamentali identificativi inoltrati a un fornitore di ad-tech statunitense — esattamente il pattern che un CMP dovrebbe prevenire.
Raggruppare il consenso dei cookie e SMS
Una singola checkbox che dice "Accetto i cookie e di ricevere SMS di marketing" non è valida per entrambi. Il consenso dei cookie deve essere specifico per i cookie; il consenso SMS deve essere specifico per gli SMS. Usa controlli separati.
Lasciare che i connettori paid-media di terze parti si attivino su profili revocati
Klaviyo può inviare audience a Google Ads, Meta, TikTok e altre reti pubblicitarie tramite le sue integrazioni. Se un abbonato revoca il consenso, l'invio dell'audience deve escluderlo — non solo smettere di aggiungerlo. Configura le impostazioni di sincronizzazione audience di Klaviyo per rispettare le modifiche dello stato di consenso in tempo reale, non solo alla sincronizzazione iniziale.
Dimenticare la questione dei dati storici
Quando un visitatore accetta il consenso per la prima volta, il tuo stack non dovrebbe associare retroattivamente il loro comportamento anonimo pre-consenso con il nuovo profilo. Il CMP e Klaviyo dovrebbero concordare sul fatto che i dati di navigazione pre-consenso non sono dati personali legati al profilo ora identificato. Alcuni flussi Klaviyo presumono questa associazione per impostazione predefinita — rivedi i trigger di flusso rilevanti.
Checklist di Audit
Sei domande concrete a cui rispondere per qualsiasi implementazione Klaviyo che gestisce traffico da EU, UK, Brasile o California.
- Onsite attende il consenso? Apri la vetrina in una finestra privata con protezione rigorosa dal tracciamento e conferma che nessuna richiesta a static.klaviyo.com si attivi prima dell'accettazione del banner.
- Forms attende il consenso? Conferma che gli eventi di impression del popup non si attivino prima che la categoria marketing sia accettata.
- Il consenso dei cookie e SMS sono separati? Conferma che il banner dei cookie non raccolga anche il consenso SMS e che i form di opt-in SMS registrino la propria checkbox esplicita.
- Il profilo Klaviyo riflette lo stato del CMP? Conferma che il CMP scriva le decisioni di consenso nei campi di consenso del profilo tramite l'API Klaviyo.
- Le sincronizzazioni audience rispettano le revoche? Conferma che la revoca del consenso rimuova l'abbonato dalle audience paid-media a valle, non solo dalle sincronizzazioni future.
- La navigazione pre-consenso viene mantenuta anonima? Conferma che i trigger di flusso non associno retroattivamente il comportamento pre-consenso con profili appena identificati.
Dove si Inserisce Klaviyo in uno Stack Consent-First
Klaviyo si trova all'intersezione tra attribuzione e-commerce e comunicazioni di marketing diretto, il che significa che tocca sia il regime di consenso dei cookie (GDPR/ePrivacy, CCPA/CPRA) sia il regime di comunicazioni di marketing (CAN-SPAM, TCPA, GDPR Articolo 6/7 per la messaggistica). L'architettura giusta tratta questi come due superfici di consenso distinte — entrambe instradate attraverso un singolo CMP che possiede la fonte di verità, con i campi di consenso nativi di Klaviyo mantenuti sincronizzati tramite API. I negozi che fanno questo correttamente preservano il comportamento di carrello abbandonato, abbandono della navigazione e segmentazione che rende Klaviyo commercialmente valido riducendo l'esposizione agli audit a una frazione di ciò che comporta un'installazione predefinita. Il lavoro di ingegneria è semplice; la disciplina sta nel non lasciare che il team di marketing tratti Forms come esente dalle stesse regole del tracker Onsite.