TL;DR
HubSpot instala varias cookies de seguimiento en los sitios que integran su script (hs-script.hubspot.com). Estas cookies tienen finalidades analíticas y de marketing que requieren el consentimiento previo de los visitantes en virtud del RGPD. Sin bloquear el script de HubSpot antes del consentimiento, el sitio incumple la normativa.
¿Qué cookies instala HubSpot?
HubSpot es una plataforma de CRM y marketing que ofrece herramientas de email marketing, formularios, chat, seguimiento de contactos y análisis web. Para funcionar, HubSpot inyecta un script de seguimiento (_hsq) que instala varias cookies en el dispositivo del visitante.
Las principales cookies de HubSpot
- __hstc: cookie de seguimiento principal, rastrea visitas y sesiones del contacto (180 días)
- hubspotutk: identificador único de visitante para el CRM de HubSpot (180 días)
- __hssc: rastrea las sesiones en curso (30 minutos)
- __hssrc: determina si el visitante abrió una nueva pestaña o reinició la sesión (sesión)
- messagesUtk: identificador para el chat de HubSpot (1 año)
- __ptq.gif: píxel de seguimiento de HubSpot (sesión)
Estas cookies permiten a HubSpot rastrear a los visitantes a través de múltiples sesiones, identificarlos en el CRM cuando rellenan un formulario y medir las conversiones de las campañas de marketing. Pertenecen a las categorías analítica y de marketing, sujetas a obligación de consentimiento.
HubSpot y el cumplimiento del RGPD
HubSpot procesa datos personales (dirección IP, identificadores de cookies, comportamiento de navegación) como encargado del tratamiento. Como responsable del tratamiento, la empresa que utiliza HubSpot es responsable del cumplimiento de esa recopilación de datos.
La AEPD ha establecido claramente que las cookies de CRM y automatización de marketing que rastrean el comportamiento de los visitantes en múltiples sesiones requieren consentimiento previo. Las cookies de HubSpot permiten la identificación individual y el seguimiento multisesión, situándolas fuera de cualquier exención analítica.
HubSpot y el derecho de oposición
HubSpot ofrece una página de exclusión en legal.hubspot.com/privacy-policy, pero este mecanismo de exclusión no reemplaza la obligación de recabar consentimiento previo en su sitio. El RGPD exige un mecanismo de consentimiento antes de instalar cookies, no después.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cómo configurar HubSpot para cumplir el RGPD
Paso 1: bloquear el script de HubSpot antes del consentimiento
El script de HubSpot (hs-script.hubspot.com) debe ser bloqueado por una CMP hasta que el usuario consienta la categoría analítica o de marketing. Con FlowConsent, este bloqueo es automático y no requiere configuración manual del script de HubSpot.
Paso 2: el banner de cookies de HubSpot (complemento opcional)
HubSpot ofrece un banner de cookies integrado en sus portales. Este banner tiene dos limitaciones importantes para el cumplimiento del RGPD: solo está disponible en las páginas del portal de HubSpot (no en su sitio principal) y no bloquea técnicamente los scripts de HubSpot antes del consentimiento. Puede complementar su CMP, pero no la reemplaza.
Paso 3: configurar la retención de datos en HubSpot
En la configuración de su cuenta de HubSpot, defina el período de retención de los datos de contacto y actividad. La AEPD recomienda no conservar los datos de seguimiento más de 13 meses. En el CRM de HubSpot, configure reglas de archivo y eliminación automática para los contactos inactivos.
Paso 4: firmar el DPA de HubSpot
HubSpot actúa como encargado del tratamiento en el sentido del RGPD. Se debe firmar un acuerdo de encargo del tratamiento (DPA) con HubSpot. Este DPA está disponible en la configuración de la cuenta de HubSpot en Legal > Acuerdo de tratamiento de datos. Su firma es obligatoria para el cumplimiento.
Paso 5: gestionar los formularios de HubSpot
Los formularios de HubSpot activan la identificación del visitante en el CRM (vinculando la cookie hubspotutk a un contacto). Antes de cualquier envío de formulario, el usuario debe haber consentido el uso de marketing de sus datos. Se recomienda una casilla de consentimiento de marketing independiente del consentimiento de cookies en cada formulario.
Errores frecuentes
El script de HubSpot se carga sin consentimiento. La integración estándar del código de HubSpot en el <head> del sitio carga el script en cada visita. Sin una CMP que bloquee este script, las cookies se instalan antes de cualquier consentimiento.
Confundir el banner de HubSpot con una CMP. El banner nativo de HubSpot no bloquea técnicamente las cookies de HubSpot antes de su visualización. No reemplaza a una CMP conforme al RGPD.
Olvidar firmar el DPA. La ausencia de un DPA firmado con HubSpot expone a la empresa a un riesgo de incumplimiento del RGPD en la relación de encargo del tratamiento. Verifique en la configuración de HubSpot que el DPA esté firmado.
No informar sobre las cookies del chat de HubSpot. El widget de chat de HubSpot instala la cookie messagesUtk (1 año). Si se usa este widget, las cookies de chat deben figurar en la política de cookies e incluirse en la solicitud de consentimiento.
Vincular la identidad del CRM sin consentimiento de marketing. Cuando un visitante rellena un formulario, HubSpot vincula su historial de navegación (a través de hubspotutk) a su perfil de CRM. Esta vinculación constituye un tratamiento de marketing que requiere un consentimiento explícito independiente del consentimiento de cookies.
Lista de verificación: conformidad de HubSpot con el RGPD
- El script de HubSpot está bloqueado por una CMP antes del consentimiento.
- La categoría analítica/marketing está explícitamente presentada en el banner.
- Las cookies de HubSpot (incluida messagesUtk si se usa el chat) están en la política de cookies.
- El DPA de HubSpot está firmado en la configuración de la cuenta.
- La retención de datos del CRM está configurada (máximo 13 meses para datos de seguimiento).
- Los formularios de HubSpot incluyen una casilla de consentimiento de marketing independiente.
- La política de privacidad menciona a HubSpot como encargado del tratamiento.
- Los registros de consentimiento se almacenan con marca de tiempo y versión del banner.
- Existe un mecanismo de eliminación de datos de contactos.
- La configuración se revisa tras cada actualización importante del script de HubSpot.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusión
HubSpot es una potente herramienta de CRM y marketing, pero su script de seguimiento instala por defecto cookies de seguimiento multisesión sin solicitar consentimiento. El cumplimiento del RGPD requiere bloquear el script mediante una CMP, firmar el DPA de HubSpot y configurar los formularios con consentimiento de marketing explícito.
Compruebe si el script de HubSpot y otros rastreadores están correctamente bloqueados en su sitio con el escáner de cookies FlowConsent.
Preguntas frecuentes
¿Qué cookies instala HubSpot?
HubSpot instala varias cookies, entre ellas: __hstc (seguimiento de visitas, 13 meses), hubspotutk (identificación de visitantes, 13 meses), __hssc (sesión HubSpot, 30 minutos), __hssrc (identificación de sesión, duración de sesión), messagesUtk (widget de chat). Algunas son analíticas, otras funcionales. Todas deben declararse en la política de cookies.
¿Requieren las cookies de HubSpot consentimiento RGPD?
Sí para las cookies analíticas y de seguimiento (hubspotutk, __hstc). Estas cookies identifican a los visitantes y rastrean su recorrido entre visitas, lo que requiere consentimiento previo. Las cookies estrictamente necesarias para el funcionamiento técnico pueden estar exentas.
¿Cómo hacer que HubSpot cumpla el RGPD?
Utilizar una CMP que bloquee las cookies de HubSpot no esenciales antes del consentimiento. En HubSpot, activar el módulo de privacidad (configuración RGPD) para gestionar las suscripciones por correo electrónico. Configurar el seguimiento de HubSpot para que solo se cargue tras el consentimiento. Documentar los tratamientos en el registro del DPO.
¿Tiene HubSpot una función de consentimiento de cookies?
HubSpot ofrece un banner de cookies nativo, pero no está diseñado para satisfacer plenamente los requisitos del RGPD europeo (sin rechazo en un clic, sin granularidad por categoría). Se recomienda una CMP dedicada como FlowConsent que bloquea técnicamente los scripts hasta obtener el consentimiento.
¿Qué es la cookie hubspotutk?
La cookie hubspotutk es un identificador único generado por HubSpot para rastrear las visitas del mismo visitante en su sitio web. Se utiliza para asociar los envíos de formularios con un contacto de HubSpot y para el seguimiento de marketing. Su duración es de 13 meses. Requiere consentimiento previo ya que permite identificar y rastrear a los visitantes.