Guia de Integração de Consentimento de Cookies do Klaviyo: E-mail e SMS em Conformidade com o GDPR para E-commerce em 2026
Klaviyo é a plataforma dominante de marketing por e-mail e SMS para e-commerce direto ao consumidor. Está instalada em uma parcela significativa de todas as lojas Shopify, BigCommerce e Magento em todo o mundo, e sua camada de rastreamento no site — o script que monitora o comportamento de navegação, atribui visualizações de página a perfis conhecidos e aciona fluxos de carrinho abandonado e abandono de navegação — é o que torna a plataforma comercialmente valiosa. É também uma das partes mais frequentemente mal configuradas de uma pilha de e-commerce do ponto de vista de privacidade. O script de rastreamento Klaviyo Onsite, a biblioteca Klaviyo Forms e os fluxos de opt-in de SMS coletam dados pessoais no momento em que carregam, antes que qualquer banner de consentimento seja exibido. Para qualquer loja que lide com tráfego da UE, Reino Unido, Brasil ou Califórnia, esse comportamento padrão não é mais compatível, e os reguladores mais ativos na aplicação do e-commerce — o CNIL na França, o AEPD na Espanha, o Garante italiano e a California Privacy Protection Agency — deixaram claro que tratam os scripts de marketing de forma idêntica, independentemente de o fornecedor ser grande ou pequeno. Este guia descreve o que o Klaviyo coleta, como integrá-lo com um CMP de terceiros e onde se encaixam os próprios primitivos de privacidade da plataforma.
O que o Rastreamento Klaviyo Onsite Coleta
O fragmento Klaviyo Onsite (carregado de static.klaviyo.com/onsite/js/klaviyo.js) inicializa uma fila global _learnq e identifica visitantes com um cookie de propriedade do Klaviyo chamado __kla_id. Uma vez instalado, ele relata automaticamente eventos de visualização de página, captura interações com formulários, aciona o evento Active On Site que impulsiona o fluxo de Abandono de Navegação do Klaviyo e vincula o comportamento de navegação anônimo a um perfil de assinante conhecido no momento em que o visitante faz login ou envia um formulário com um endereço de e-mail. Eventos subsequentes — Viewed Product, Added to Cart, Started Checkout, Placed Order — são acionados pela mesma infraestrutura de identidade e herdam a mesma atribuição baseada em cookies.
Para a análise do GDPR, o cookie não é essencial, os dados que saem da página são dados pessoais porque estão vinculados a um identificador persistente, e o Klaviyo está estabelecido nos Estados Unidos, o que sujeita a transferência ao Quadro de Privacidade de Dados UE-EUA. Todas as três condições empurram firmemente o rastreamento Klaviyo Onsite para o território de exige consentimento prévio na UE, no Reino Unido, no EEA e no Brasil sob a LGPD. Na Califórnia, o mesmo processamento está sujeito ao direito de opt-out da CPRA sobre o compartilhamento para publicidade comportamental entre contextos, que é acionado pelo compartilhamento do Klaviyo com destinos de mídia paga downstream.
As Três Superfícies de Rastreamento que Você Precisa Controlar
Uma instalação do Klaviyo não é uma superfície de rastreamento, são três, e precisam ser tratadas separadamente em uma integração CMP.
O script de rastreamento Onsite
Este é o rastreador de comportamento principal — o script que define __kla_id e impulsiona o fluxo de eventos ativos no site. Esta é a superfície que a maioria das equipes lembra de controlar e a mais visível para reguladores em auditorias. Bloqueie-o por padrão e carregue-o apenas quando o visitante aceitar a categoria de marketing.
Klaviyo Forms e pop-ups de cadastro
Klaviyo Forms é uma biblioteca separada que alimenta pop-ups de cadastro por e-mail e SMS, formulários incorporados e desbloqueios de conteúdo fechado. É hospedada no mesmo domínio, mas carregada como um script separado. Os formulários podem acionar eventos de impressão e envio independentemente do rastreador Onsite principal, portanto, bloquear apenas o Onsite enquanto o Forms carrega é um padrão comum de conformidade parcial que ainda vaza dados de identificação.
Coleta de opt-in de SMS
Os cadastros de SMS têm seu próprio requisito de consentimento sob o TCPA nos EUA e regras específicas do setor na UE, e os formulários de SMS do Klaviyo coletam números de telefone junto com o consentimento confirmado por caixa de seleção. O consentimento coletado aqui é para as próprias mensagens de SMS, separado do consentimento de cookies. Uma pilha corretamente configurada registra ambos: consentimento de cookies no CMP, consentimento de SMS no perfil do assinante do Klaviyo.
Controles de Privacidade Nativos do Klaviyo
O Klaviyo expõe vários primitivos de privacidade nativos. Como na maioria das plataformas de marketing, eles assumem que uma decisão de consentimento existe e está sendo repassada. Eles não coletam consentimento por conta própria.
A propriedade de consentimento em chamadas identify
Ao chamar klaviyo.identify() ou klaviyo.track(), você pode anexar um payload de consentimento que registra a base legal para comunicações de marketing. Este é o primitivo correto para repassar a decisão do CMP para o perfil do assinante do Klaviyo.
Campos de consentimento no nível do perfil
O perfil do assinante tem campos dedicados para consentimento de e-mail, consentimento de SMS e fonte de consentimento. As atualizações desses campos se propagam para o motor de segmentação do Klaviyo para que os fluxos respeitem o estado registrado.
O painel de configurações de Privacidade e Consentimento
A interface de administrador do Klaviyo tem uma seção de Privacidade e Consentimento que controla alguns comportamentos padrão — por exemplo, se o evento Active On Site é acionado para visitantes sem consentimento registrado. O padrão é permissivo; apertar essas configurações é uma camada adicional útil além do controle no nível do CMP.
Integração de CMP Passo a Passo
A arquitetura confiável é controlar as três superfícies de rastreamento do Klaviyo por trás do CMP e usar as propriedades de consentimento nas chamadas identify e track do Klaviyo para manter os registros de assinantes da plataforma sincronizados com o estado de consentimento registrado.
1. Remova o fragmento Onsite padrão do cabeçalho
O Klaviyo fornece um fragmento de uma linha que os instaladores normalmente colam no cabeçalho do documento. Remova-o. Substitua-o por um elemento de script marcador de posição cujo atributo type seja text/plain e cujo atributo data-category o identifique como marketing. Seu CMP reescreverá o tipo de volta para text/javascript quando o visitante aceitar a categoria de marketing.
2. Adie o carregamento do Klaviyo Forms
A biblioteca Forms carrega independentemente do Onsite. Aplique o mesmo padrão de marcador de posição ao seu elemento de script para que ele não seja inicializado antes do consentimento. Após a concessão do consentimento, tanto o Onsite quanto o Forms podem ser inicializados juntos; os eventos em fila são descarregados automaticamente.
3. Separe o consentimento de SMS do consentimento de cookies
A coleta de opt-in de SMS passa pelo Klaviyo Forms, mas o consentimento coletado — a caixa de seleção explícita para marketing de SMS — é um artefato legal separado do consentimento de cookies. O banner do CMP registra a decisão de cookies; a caixa de seleção do formulário registra a decisão de SMS. Não os combine — o consentimento combinado é inválido tanto sob o GDPR quanto sob o TCPA.
4. Propague o consentimento para o perfil do Klaviyo
Quando um assinante conhecido aceita ou revoga o consentimento em seu site, o CMP deve chamar a API do Klaviyo para atualizar os campos de consentimento do perfil. A API de Perfis do Klaviyo suporta uma chamada de atualização parcial que escreve consentimento de e-mail, consentimento de SMS e carimbo de data/hora de consentimento sem sobrescrever o restante do perfil. A maioria dos CMPs modernos tem um conector Klaviyo que lida com isso de ponta a ponta.
5. Conecte o Consent Mode v2 se você executa tags do Google simultaneamente
A maioria das lojas que usam Klaviyo também executa Google Ads e GA4. Seu CMP deve publicar os sinais de consentimento v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — no dataLayer antes de qualquer tag do Google ser acionada. O Klaviyo não consome esses sinais nativamente, mas o Google sim, e uma inconsistência entre o Klaviyo e o Google aparecerá como uma lacuna de receita mensurável nos relatórios de atribuição.
Armadilhas Comuns
Quatro erros de integração aparecem repetidamente em auditorias de implantações do Klaviyo.
Tratar o Forms como apenas um pop-up
Algumas equipes controlam o Onsite sob marketing, mas deixam o Forms carregar na renderização inicial, argumentando que um pop-up é apenas um elemento de interface. A biblioteca Forms aciona eventos de impressão para o Klaviyo para cada pop-up exibido, que são dados comportamentais de identificação encaminhados a um fornecedor de tecnologia de anúncios dos EUA — exatamente o padrão que um CMP deve prevenir.
Combinar consentimento de cookies e SMS
Uma única caixa de seleção que diz aceito cookies e receber SMS de marketing é inválida para ambos. O consentimento de cookies deve ser específico para cookies; o consentimento de SMS deve ser específico para SMS. Use controles separados.
Permitir que conectores de mídia paga de terceiros sejam acionados em perfis revogados
O Klaviyo pode enviar públicos para o Google Ads, Meta, TikTok e outras redes de anúncios por meio de suas integrações. Se um assinante revogar o consentimento, o envio de público precisa removê-los — não apenas parar de adicioná-los. Configure as definições de sincronização de público do Klaviyo para honrar as mudanças de estado de consentimento em tempo real, não apenas na sincronização inicial.
Esquecer a questão dos dados históricos
Quando um visitante aceita consentimento pela primeira vez, sua pilha não deve associar retroativamente o comportamento anônimo pré-consentimento ao novo perfil. O CMP e o Klaviyo devem concordar que os dados de navegação pré-consentimento não são dados pessoais vinculados ao perfil agora identificado. Alguns fluxos do Klaviyo assumem essa associação por padrão — revise os acionadores de fluxo relevantes.
Lista de Verificação de Auditoria
Seis perguntas concretas a responder para qualquer implantação do Klaviyo que lide com tráfego da UE, Reino Unido, Brasil ou Califórnia.
- O Onsite aguarda o consentimento? Abra a loja em uma janela privada com proteção de rastreamento rigorosa e confirme que nenhuma solicitação de static.klaviyo.com é acionada antes da aceitação do banner.
- O Forms aguarda o consentimento? Confirme que os eventos de impressão de pop-up não são acionados antes que a categoria de marketing seja aceita.
- O consentimento de cookies e o consentimento de SMS são separados? Confirme que o banner de cookies não coleta consentimento de SMS e que os formulários de opt-in de SMS registram sua própria caixa de seleção explícita.
- O perfil do Klaviyo reflete o estado do CMP? Confirme que o CMP escreve decisões de consentimento nos campos de consentimento do perfil por meio da API do Klaviyo.
- As sincronizações de público respeitam as revogações? Confirme que a revogação do consentimento remove o assinante dos públicos de mídia paga downstream, não apenas das sincronizações futuras.
- A navegação pré-consentimento permanece anônima? Confirme que os acionadores de fluxo não associam retroativamente o comportamento pré-consentimento a perfis recém-identificados.
Onde o Klaviyo se Encaixa em uma Pilha com Consentimento em Primeiro Lugar
O Klaviyo fica na interseção da atribuição de e-commerce e das comunicações diretas de marketing, o que significa que toca tanto o regime de consentimento de cookies (GDPR/ePrivacy, CCPA/CPRA) quanto o regime de comunicações de marketing (CAN-SPAM, TCPA, GDPR Artigo 6/7 para mensagens). A arquitetura correta trata esses como duas superfícies de consentimento distintas — ambas roteadas por um único CMP que possui a fonte da verdade, com os campos de consentimento nativos do Klaviyo mantidos em sincronia via API. As lojas que fazem isso corretamente preservam o comportamento de carrinho abandonado, abandono de navegação e segmentação que torna o Klaviyo comercialmente valioso, enquanto reduzem a exposição a auditorias a uma fração do que uma instalação padrão carrega. O trabalho de engenharia é direto; a disciplina está em não deixar a equipe de marketing tratar o Forms como isento das mesmas regras que o rastreador Onsite.