TL;DR: Squarespace carga cookies de terceros por defecto, incluyendo sus propias analíticas integradas y las extensiones instaladas. El aviso de cookies nativo no es una CMP: muestra un banner pero no bloquea los scripts antes de obtener el consentimiento. Para cumplir con el RGPD y las directrices de la AEPD, necesitas una CMP externa que bloquee los rastreadores no esenciales y almacene las evidencias de consentimiento.
Por qué el cumplimiento del RGPD en Squarespace es más complejo de lo que parece
Squarespace ofrece desde 2021 un aviso de cookies integrado, configurable en pocos clics desde los ajustes del sitio. Para muchos propietarios de sitios web, activar esta función parece resolver el problema del cumplimiento. No es así.
El RGPD exige que las cookies no esenciales estén bloqueadas hasta que el usuario proporciona su consentimiento explícito y previo. El aviso nativo de Squarespace muestra un banner informativo, pero los scripts de terceros continúan cargándose en cuanto se abre la página, independientemente de la elección del usuario. Esta práctica infringe el artículo 7 del RGPD y la Directiva ePrivacy, y ha sido objeto de sanciones de la AEPD y otras autoridades europeas.
Esta guía explica qué cookies instala realmente Squarespace, por qué la solución nativa es insuficiente y cómo implementar un cumplimiento RGPD sólido, ya sea en un sitio web corporativo o en una tienda e-commerce.
¿Qué cookies instala Squarespace?
Squarespace instala varias categorías de cookies según la configuración de tu sitio. Identificarlas y clasificarlas es el primer paso de cualquier auditoría de cumplimiento.
Cookies funcionales (exentas de consentimiento)
Estas cookies son técnicamente necesarias y no requieren consentimiento según las directrices de la AEPD:
- ss_cid: identificador de visitante, duración 2 años
- crumb: protección CSRF en formularios, solo sesión
- SqSpVisitorInfoCookieKey: datos de sesión del visitante
- ss_cpvisit y ss_cvr: métricas de sesión internas
Cookies analíticas propias de Squarespace
Squarespace activa por defecto sus propias herramientas de medición de audiencia. Las cookies ss_cvt y ss_mv recopilan datos de comportamiento (páginas vistas, duración, tasa de rebote) y los envían a los servidores de Squarespace. Estas cookies no se benefician de la exención aplicable a herramientas de medición en configuración restringida y requieren consentimiento previo.
Cookies de terceros según tus extensiones
Cada integración o extensión de terceros añade sus propias cookies. Las más frecuentes:
- Google Analytics 4: _ga, _gid, _gat (integrado de forma nativa o via GTM)
- Google Ads / seguimiento de conversiones: _gcl_au
- Stripe (tienda e-commerce): cookies de sesión de pago
- Meta Pixel / widgets de Instagram o Facebook
- Mailchimp, Klaviyo u otras herramientas de email marketing
La lista exacta depende de los módulos que tengas activados. Un análisis de tu sitio te da el inventario completo de los rastreadores instalados.
Por qué el banner de cookies nativo de Squarespace no es suficiente
El banner integrado tiene cuatro carencias críticas respecto al RGPD.
Sin bloqueo previo. Los scripts de terceros se cargan al abrir la página, antes de cualquier interacción del usuario. El RGPD exige un consentimiento previo y explícito.
Sin gestión por categorías. El banner nativo ofrece un único botón global. El RGPD y las directrices de la AEPD exigen que el usuario pueda aceptar o rechazar por finalidad específica: analítica, marketing, personalización.
Sin registro de auditoría. La AEPD puede solicitar en cualquier momento que se demuestre que el consentimiento fue recabado correctamente (fecha exacta, versión del banner mostrada, elección del usuario, período de validez). Squarespace no almacena estas evidencias.
Flujo de rechazo no conforme. El botón Rechazar debe ser igual de visible y accesible que el botón Aceptar. Los dark patterns que dificultan el rechazo han sido sancionados explícitamente por las autoridades de protección de datos europeas.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cómo hacer que tu sitio Squarespace cumpla con el RGPD
El cumplimiento del RGPD en Squarespace requiere cuatro pasos en un orden específico.
Paso 1: auditar tus cookies
Antes de configurar nada, lista todas las cookies y rastreadores que instala tu sitio. Utiliza el escáner de FlowConsent. Para cada cookie, anota su finalidad, duración y el proveedor tercero implicado. Este inventario es la base de tu política de cookies.
Paso 2: desactivar las integraciones nativas no conformes
Si has activado Google Analytics directamente desde el panel de Squarespace (Ajustes > Avanzado > Google Analytics), desactiva esta integración nativa. Carga GA4 sin pasar por ningún mecanismo de consentimiento. Utiliza en su lugar Google Tag Manager, que permite implementar el Consent Mode v2 y condicionar la carga de GA4 al consentimiento del usuario.
Paso 3: integrar una CMP externa mediante inyección de código
Squarespace permite inyectar código en la cabecera de cada página a través de Ajustes > Avanzado > Inyección de código (cabecera). Aquí es donde colocas el snippet de tu CMP. FlowConsent proporciona un fragmento listo para usar, compatible con Squarespace, que bloquea los scripts no esenciales antes del consentimiento, muestra un banner conforme con gestión por categorías y almacena las evidencias de consentimiento.
Paso 4: configurar el Consent Mode v2 para Google Ads
Si tu sitio Squarespace utiliza Google Ads, el Consent Mode v2 es obligatorio desde marzo de 2024 para mantener el modelado de conversiones. Debe inicializarse antes de cualquier etiqueta de Google, a través de GTM, con una señal de consentimiento de tu CMP.
Errores frecuentes en Squarespace
Activar el aviso de cookies nativo y considerar el cumplimiento resuelto. Este banner es un aviso informativo, no un mecanismo de consentimiento. No bloquea nada ni almacena ninguna evidencia.
Integrar Google Analytics desde el panel de Squarespace. Este método carga GA4 antes de cualquier consentimiento. La única solución conforme es GTM con Consent Mode v2.
Olvidar las cookies de Stripe y e-commerce. Si tienes una tienda Squarespace, Stripe instala cookies funcionales para el procesamiento de pagos. Están exentas de consentimiento pero deben figurar en tu política de cookies.
No actualizar la configuración al añadir una extensión. Cada nueva integración puede añadir rastreadores no declarados. Programa una nueva auditoría tras cada cambio de configuración.
Usar una CMP en modo soft opt-in. Continuar navegando no equivale a consentimiento según el RGPD. La AEPD exige un acto positivo y explícito. Los banners sin botón Rechazar claramente visible han sido sancionados.
Lista de verificación de cumplimiento RGPD para Squarespace
- Auditar todas las cookies con un escáner
- Desactivar la integración nativa de Google Analytics en el panel
- Integrar Google Tag Manager con Consent Mode v2
- Instalar una CMP externa mediante inyección de código (cabecera)
- Configurar el bloqueo de scripts no esenciales antes del consentimiento
- Configurar las categorías de cookies: analítica, marketing, funcional
- Verificar que el botón Rechazar sea tan visible como el botón Aceptar
- Activar el almacenamiento de evidencias de consentimiento
- Redactar o actualizar la política de cookies con todos los rastreadores
- Probar el banner en móvil y en los principales navegadores
- Verificar la compatibilidad con Stripe si tienes tienda e-commerce
- Programar una nueva auditoría cada 6 meses o tras cualquier cambio
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Conclusión
Squarespace es una plataforma accesible, pero el cumplimiento del RGPD requiere más de lo que ofrece de forma nativa. El aviso de cookies integrado no es una CMP. Para bloquear scripts no esenciales, recoger el consentimiento por categoría y conservar las evidencias exigidas por la AEPD, necesitas una herramienta dedicada.
Empieza con un análisis gratuito de tu sitio Squarespace, para identificar todas las cookies instaladas y evaluar tu nivel actual de cumplimiento.
Preguntas frecuentes
¿El banner de cookies nativo de Squarespace cumple con el RGPD?
No. El aviso de cookies integrado de Squarespace es un banner informativo, no una CMP. No bloquea los scripts no esenciales antes del consentimiento, no gestiona el consentimiento por categorías y no almacena ninguna evidencia — todos requisitos del artículo 7 del RGPD.
¿Puedo usar Google Analytics en Squarespace de forma conforme al RGPD?
Sí, pero no a través de la integración nativa del panel de Squarespace. Activar GA4 desde Ajustes > Avanzado > Google Analytics carga el rastreador antes de cualquier consentimiento. La única solución conforme es desactivar esta integración nativa y desplegar GA4 a través de Google Tag Manager con Consent Mode v2 configurado.
¿Cómo integro una CMP en Squarespace?
Squarespace permite inyectar código en la cabecera de cada página a través de Ajustes > Avanzado > Inyección de código (cabecera). Pega allí el snippet de tu CMP. El script de la CMP se ejecutará antes que cualquier otro script y podrá bloquear los rastreadores no esenciales hasta obtener el consentimiento. FlowConsent proporciona un fragmento listo para usar, compatible con Squarespace.
¿Las cookies de Stripe en una tienda Squarespace requieren consentimiento?
No. Stripe instala cookies funcionales estrictamente necesarias para el procesamiento de pagos (autenticación de sesión, protección CSRF). Según el RGPD, estas están exentas del requisito de consentimiento previo. Sin embargo, deben declararse en tu política de cookies con su finalidad y duración.