Guia de Integração do Consentimento de Cookies do HubSpot: Rastreamento Conforme com o RGPD para Profissionais de Marketing em 2026
O HubSpot é uma das plataformas de marketing mais profundamente integradas na web moderna. O seu script de rastreamento é executado em milhões de sites B2B, capturando visualizações de página, preenchimentos de formulários, sessões de chat e comportamentos ao nível do identificador que fluem diretamente para o HubSpot CRM. O problema é que, por padrão, esse script começa a recolher dados pessoais no momento em que uma página carrega — muito antes de qualquer visitante ter tido a oportunidade de fazer uma escolha. Para qualquer organização que lide com tráfego da UE, do Reino Unido, do Brasil ou da Califórnia, esse comportamento padrão já não é conforme, e é cada vez mais o tipo de problema que os reguladores assinalam em reclamações reais. Este guia explica o que o HubSpot rastreia de facto, onde se situa o limite do consentimento e como ligar o HubSpot a uma Plataforma de Gestão de Consentimento de terceiros para que as análises de marketing continuem a funcionar sem convidar uma multa.
Por que o rastreamento do HubSpot precisa de um sinal de consentimento real
O HubSpot deposita vários cookies primários no dispositivo de um visitante assim que o script de rastreamento (o fragmento JavaScript do HubSpot, tipicamente hs-scripts.com/{hub_id}.js) é executado. Os mais relevantes são __hstc, hubspotutk e __hssc, que juntos identificam o visitante entre sessões, associam submissões de formulários ao histórico de navegação anónimo e alimentam modelos de pontuação de leads no CRM. Ao abrigo do RGPD e da Diretiva ePrivacy, os três são cookies não essenciais que exigem consentimento prévio, dado livremente, específico, informado e inequívoco. Carregar o fragmento no cabeçalho do documento — que é o padrão de integração padrão do HubSpot — coloca esses cookies antes de o visitante ter sido questionado sobre qualquer coisa.
As consequências não são teóricas. As autoridades de proteção de dados em França, Itália e Espanha emitiram ações de aplicação nos últimos dois anos contra organizações cujas pilhas de marketing definiram cookies de rastreamento antes do consentimento. As multas variaram entre penalidades de cinco dígitos para pequenos editores e penalidades de vários milhões de euros para grandes empresas. O banner de cookies nativo do HubSpot existe, mas é intencionalmente leve e não bloqueia, por si só, o fragmento de ser ativado. A maioria dos revisores de conformidade trata-o como uma camada de aviso e não como uma camada de controlo.
O que o HubSpot rastreia de facto
Antes de decidir como bloquear o HubSpot, é útil ser preciso sobre quais categorias de processamento estão em jogo. A superfície de rastreamento do HubSpot divide-se em quatro categorias sobrepostas, cada uma com as suas próprias implicações de consentimento.
Análise comportamental
Eventos de visualização de página, clique, rolagem e duração de sessão são recolhidos automaticamente assim que o código de rastreamento carrega. Estes eventos constroem a linha do tempo do visitante que vê nos registos de contacto do HubSpot e são a base de cada regra de pontuação de leads ou fluxo de trabalho. Da perspetiva de um regulador, trata-se de rastreamento analítico simples e exige consentimento opt-in na UE e EEE. No Reino Unido, a orientação do ICO de 2023 trata-o de forma idêntica.
Formulários e chat
Os formulários do HubSpot e o widget de chat do HubSpot (anteriormente integração com o Drift) podem ser configurados para carregar independentemente do script de rastreamento principal. As submissões de formulários são, na maioria das análises jurídicas, consideradas uma atividade de processamento separada com a sua própria base jurídica — tipicamente execução contratual ou interesse legítimo. O chat que regista transcrições num servidor de terceiros, no entanto, geralmente requer consentimento para a própria gravação.
Ligação de identidade entre domínios
Se utilizar o mesmo portal HubSpot em vários domínios, o fragmento tentará definir e ler cookies de forma a ligar visitantes entre essas propriedades. Isto cruza para o que o CEPD chama de "rastreamento" no sentido estrito e é a categoria de maior risco. É também a que tem maior probabilidade de ser assinalada durante uma DPIA.
Integrações de marketing
O HubSpot pode enviar eventos para Google Ads, Meta, LinkedIn e outras redes de publicidade através das suas integrações. Cada uma dessas transferências subsequentes tem os seus próprios requisitos de consentimento e, na UE, a sua própria avaliação de transferência de dados.
Banner nativo do HubSpot vs. CMP de terceiros
O HubSpot é fornecido com um banner de consentimento de cookies integrado que pode ativar em Definições > Privacidade & Consentimento. Apresentará um aviso configurável, registará um registo de consentimento para o contacto e respeitará uma única exclusão para análises. Para organizações muito pequenas que operam em jurisdições de baixo risco, pode ser suficiente. Para quem leva a conformidade a sério — ou para quem gere publicidade consciente do modo de consentimento — não é suficiente.
Os motivos para migrar para uma CMP de terceiros são práticos:
- Categorias granulares. O banner nativo não separa cookies estritamente necessários, funcionais, analíticos e de marketing em interruptores distintos, que é a estrutura que os reguladores esperam.
- Suporte IAB TCF e GPP. Se participar em publicidade programática, precisa de uma CMP certificada pela Google que emita uma string TC válida. O banner nativo do HubSpot não faz isso.
- Consent Mode v2. O Google exige agora sinais de consentimento entregues no formato v2 para o tráfego do EEE. Uma CMP dedicada implementa isso de ponta a ponta, incluindo a configuração de negação padrão.
- Multilíngue e acessibilidade. A maioria das CMPs é fornecida com mais de 30 pacotes de idiomas e predefinições compatíveis com WCAG. O banner integrado do HubSpot é mais limitado.
- Registo de grau de auditoria. Uma CMP dedicada regista cada decisão de consentimento com carimbo de data/hora, versão do banner e escolha — as evidências que os reguladores pedem nas investigações.
Integração passo a passo com uma CMP de terceiros
O padrão de integração que funciona de forma fiável é manter o fragmento do HubSpot na página, mas impedir que seja executado até que uma decisão de consentimento seja registada. Abaixo está a abordagem canónica, escrita de forma genérica para que se aplique a qualquer CMP moderna, incluindo a FlexyConsent.
1. Remova o fragmento padrão do cabeçalho do documento
In your site template, delete the inline <script> tag that loads hs-scripts.com/{hub_id}.js. Replace it with a placeholder that your CMP can activate later, typically by setting the type attribute to text/plain and adding a category data attribute such as data-category="marketing".
2. Mapeie o HubSpot para a categoria de consentimento correta
A maioria das CMPs utiliza o IAB TCF ou um modelo de quatro categorias: necessário, funcional, analítico, marketing. O script de rastreamento do HubSpot toca nas categorias analítica e de marketing devido à integração com o CRM. O mapeamento conservador é bloquear o fragmento completo atrás da categoria de marketing, que é a mais restritiva. Se a sua CMP permitir mapeamento detalhado, pode dividir: carregar formulários em funcional, carregar eventos analíticos em analítico e carregar a ligação de identidade CRM em marketing.
3. Configure o callback de ativação
A sua CMP expõe um evento ou callback que é ativado quando um utilizador concede consentimento para uma categoria. Nesse callback, reescreva o atributo type da tag de script do marcador de posição de volta para text/javascript e acrescente-o ao documento. O script carregará e será executado normalmente. Para uma SPA, registe o callback em cada alteração de rota para que as páginas recentemente montadas também recebam a ativação.
4. Ligue o Consent Mode v2
Se utilizar Google Ads ou GA4 juntamente com o HubSpot, a sua CMP precisa de enviar os sinais de consentimento v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — para o dataLayer antes que qualquer tag do Google seja ativada. O próprio HubSpot não consome estes sinais, mas o resto da sua pilha faz, e a inconsistência entre o HubSpot e o Google aparecerá nos seus relatórios como uma lacuna de receita mensurável.
5. Sincronize o estado de consentimento com o HubSpot CRM
Quando um contacto conhecido atualiza o seu consentimento (por exemplo, revisitando o banner e revogando o consentimento de marketing), deve refletir isso no registo do HubSpot para que a lógica do fluxo de trabalho pare de enviar e-mails de marketing. A API do HubSpot expõe um ponto final communication-preferences que aceita atualizações ao nível da subscrição. A maioria das CMPs pode ser configurada para chamar este ponto final a partir de um hook do lado do servidor.
Erros comuns e como evitá-los
Três erros de integração são responsáveis pela maioria das constatações de auditoria que vemos em pilhas com uso intensivo do HubSpot.
Carregar o fragmento demasiado cedo
Algumas equipas colocam a tag do HubSpot dentro de um gestor de tags e assumem que o gestor de tags trata do consentimento. O Google Tag Manager respeita o modo de consentimento, mas apenas para tags que exigem explicitamente um estado concedido. Se a tag do HubSpot estiver configurada sem esse requisito, o GTM irá ativá-la independentemente. Defina sempre o campo Consentimento adicional na tag para exigir consentimento de marketing antes da ativação.
Esquecer os scripts de formulário
Os formulários do HubSpot são servidos a partir de um domínio separado (forms.hsforms.com) e podem ser incorporados com o seu próprio script. Se bloquear o fragmento de rastreamento principal mas deixar o script do formulário carregar no render inicial, na verdade não resolveu o problema — a biblioteca de formulários define os seus próprios cookies de identificação. Bloqueie ambos e deixe a CMP carregá-los juntos.
Tratar a exclusão como inclusão
As definições nativas do HubSpot incluem uma opção Do Not Track e uma exclusão de um clique. Algumas equipas interpretam-nas como um mecanismo suficiente para cumprir o RGPD. Não são — o RGPD exige opt-in afirmativo para cookies não essenciais, e uma caixa de seleção de exclusão enterrada numa página de privacidade não satisfaz esse critério. Faça da CMP a fonte autoritária do estado de consentimento e configure o HubSpot para se submeter a ela.
Documentação pronta para auditoria
Depois de a integração técnica estar em vigor, o passo final é garantir que o seu rasto de evidências pode resistir a um pedido de um regulador. No mínimo, mantenha um registo de: as categorias para as quais a sua CMP mapeia o HubSpot, a versão do banner de consentimento ativa em qualquer data, exemplos de strings TC que mostram consentimento válido e os logs de API que provam que o HubSpot não ativou nenhuma chamada de rastreamento antes de o consentimento ter sido concedido. A maioria das ações de aplicação estagna não na tecnologia, mas na documentação — organizações que podem produzir um rasto documental claro normalmente resolvem investigações muito mais rapidamente do que as que não podem. Uma plataforma de gestão de consentimento que exporta estes artefactos a pedido transforma a auditoria de uma correria de várias semanas numa resposta de uma tarde.