TL;DR
Hotjar es una herramienta de análisis de comportamiento que instala cookies de seguimiento en los sitios que la integran. Estas cookies no son estrictamente necesarias y requieren el consentimiento previo de los visitantes en virtud del RGPD y la Directiva ePrivacy. Sin bloquear el script de Hotjar antes del consentimiento, el sitio incumple la normativa.
¿Qué es Hotjar y qué cookies instala?
Hotjar es una plataforma de análisis de comportamiento que ofrece mapas de calor, grabaciones de sesiones, encuestas y embudos de conversión. Para funcionar, Hotjar inyecta un fragmento JavaScript que instala cookies de seguimiento y recopila datos de comportamiento de los visitantes.
Cookies de Hotjar y su finalidad
- _hjSessionUser_[siteId]: identificador único de usuario para la sesión de Hotjar (365 días)
- _hjSession_[siteId]: datos de la sesión de Hotjar en curso (30 minutos)
- _hjFirstSeen: marca la primera sesión de un usuario (sesión)
- _hjAbsoluteSessionInProgress: detecta la primera sesión de página (30 minutos)
- _hjIncludedInPageviewSample: determina si el usuario está incluido en la muestra de páginas vistas
- _hjIncludedInSessionSample: determina si el usuario está incluido en la grabación de sesión
Estas cookies recopilan datos de comportamiento identificables (movimientos del ratón, clics, desplazamientos, grabaciones de vídeo). Pertenecen a la categoría analítica/conductual y requieren consentimiento previo según las directrices de la AEPD y el RGPD.
¿Hotjar requiere consentimiento bajo el RGPD?
Sí. Hotjar no se beneficia de ninguna exención analítica. A diferencia de las herramientas de análisis que funcionan sin seguimiento individual, Hotjar recopila grabaciones de sesiones individuales que pueden identificar indirectamente a los visitantes. La AEPD y el Comité Europeo de Protección de Datos (CEPD) confirman que este tipo de análisis de comportamiento detallado requiere consentimiento previo.
Lo que Hotjar recopila concretamente
- Grabaciones de sesiones (vídeo de las interacciones del usuario)
- Mapas de calor (zonas de clic, desplazamiento y movimiento del ratón)
- Datos de formularios (campos rellenados, abandonos)
- Encuestas y comentarios
- Embudos de conversión y rutas de abandono
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cómo configurar Hotjar para cumplir el RGPD
Paso 1: bloquear el script de Hotjar antes del consentimiento
La medida prioritaria es bloquear el script de Hotjar hasta que el usuario consienta la categoría analítica/conductual. Con una CMP como FlowConsent, este bloqueo es automático: el script no se carga cuando el banner aparece por primera vez. Consulte nuestra guía sobre la prueba de consentimiento de cookies para el registro correcto.
Paso 2: activar la configuración de privacidad en Hotjar
- Suprimir automáticamente todo el contenido de los campos de formulario
- Enmascarar datos de pago y números de tarjeta
- Eliminar datos de dirección IP (anonimización)
- Activar la eliminación de datos tras el período de retención definido
Paso 3: establecer un período de retención de datos
En la configuración de Hotjar, limitar el período de retención de grabaciones y mapas de calor a lo estrictamente necesario. La AEPD recomienda no conservar datos analíticos de comportamiento más de 13 meses.
Paso 4: actualizar la política de privacidad
La política de privacidad del sitio debe mencionar a Hotjar como encargado del tratamiento, describir los datos recopilados, su finalidad, el período de retención y los derechos del usuario (acceso, supresión, oposición). Un acuerdo de encargo de tratamiento (DPA) con Hotjar es obligatorio.
Errores frecuentes
Hotjar activo desde la carga de la página. La instalación por defecto carga Hotjar de inmediato. Sin bloqueo, las grabaciones comienzan antes de cualquier interacción del usuario con el banner. Siempre condicionar la carga al consentimiento.
Incluir Hotjar en una categoría genérica de 'estadísticas'. Hotjar va más allá de las simples estadísticas: graba sesiones individuales. Agruparla en una categoría vaga sin mención explícita de las grabaciones de sesiones incumple la obligación de información.
Olvidar enmascarar los campos de formulario. Por defecto, Hotjar puede grabar las entradas de texto. Datos personales (nombres, direcciones, números de tarjeta) pueden aparecer en las grabaciones. Activar la supresión automática en la configuración de Hotjar.
Conservar las grabaciones indefinidamente. Hotjar almacena grabaciones hasta 365 días por defecto. Establecer un período de retención más corto alineado con la política de conservación de datos de la empresa.
No mencionar a Hotjar como encargado del tratamiento. Hotjar Ltd. es un encargado del tratamiento en el sentido del RGPD. Se debe firmar un DPA con Hotjar y referenciarlo en la política de privacidad.
Lista de verificación: conformidad de Hotjar con el RGPD
- El script de Hotjar está bloqueado por defecto hasta el consentimiento del usuario.
- La categoría analítica/conductual está explícitamente presentada en el banner.
- La descripción de Hotjar en el banner menciona las grabaciones de sesiones.
- La supresión de campos de formulario está activada en Hotjar.
- La retención de datos de Hotjar está limitada (máximo 13 meses).
- Se ha firmado un DPA con Hotjar y está referenciado en la política de privacidad.
- La política de privacidad describe los datos de Hotjar, su finalidad y los derechos del usuario.
- La anonimización de IP está activada en la configuración de Hotjar.
- Los registros de consentimiento se almacenan con marca de tiempo y versión del banner.
- La configuración se revisa tras cada actualización importante de Hotjar.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusión
Hotjar es una valiosa herramienta de análisis de comportamiento, pero su integración por defecto infringe el RGPD. El cumplimiento requiere dos acciones: bloquear el script mediante una CMP antes del consentimiento y activar la configuración de privacidad de Hotjar para minimizar la recopilación de datos.
Compruebe si Hotjar y otros scripts analíticos están correctamente bloqueados en su sitio con el escáner de cookies FlowConsent.
Preguntas frecuentes
¿Qué es Hotjar?
Hotjar es una herramienta de análisis del comportamiento que registra sesiones de usuarios, genera mapas de calor y recoge comentarios. Instala cookies persistentes y accede al contenido de las páginas visitadas, lo que lo somete al consentimiento requerido por el RGPD y la Directiva ePrivacy.
¿Requiere Hotjar consentimiento RGPD?
Sí. Hotjar instala cookies no esenciales (hjSessionUser, hjSession, etc.) y recoge datos de comportamiento (grabaciones de pantalla, clics, movimientos del ratón). Estos tratamientos requieren consentimiento previo según el RGPD y la Directiva ePrivacy.
¿Se puede usar Hotjar sin cookies?
Hotjar ofrece un modo sin cookies (Cookieless Observations) que utiliza técnicas de fingerprinting. Este modo puede reducir la necesidad del consentimiento de cookies, pero sigue sujeto a las obligaciones de información del RGPD. Se recomienda activar el modo de anonimización.
¿Cómo configurar Hotjar para cumplir el RGPD?
Bloquear la carga de Hotjar hasta el consentimiento del usuario mediante una CMP. Activar la eliminación automática de datos en la configuración de privacidad de Hotjar. Utilizar el modo de anonimización para ocultar datos sensibles en las grabaciones. Documentar los tratamientos en el registro del DPO.
¿Qué datos recoge Hotjar?
Hotjar recoge datos de comportamiento (clics, desplazamientos, movimientos del ratón), grabaciones de sesiones en vídeo, capturas de mapas de calor y respuestas a encuestas. También puede capturar involuntariamente datos personales si los formularios se graban sin el enmascaramiento adecuado.