Webflow y cookies RGPD: guía de conformidad

TL;DR

Webflow genera sus propias cookies y carga scripts de terceros (Google Analytics, Meta Pixel, HubSpot, etc.) a través de integraciones o código personalizado. Bajo el RGPD, debes obtener el consentimiento previo antes de cargar cualquier rastreador no esencial. Un banner de cookies conforme que bloquee los scripts por defecto es obligatorio, incluso en Webflow.

Webflow es popular por su flexibilidad de diseño y su hosting gestionado. Pero esa flexibilidad conlleva responsabilidad: los sitios Webflow depositan cookies y pueden integrar docenas de scripts de terceros. Si tu sitio es accesible desde la Unión Europea, el RGPD se aplica íntegramente.

Esta guía explica qué cookies deposita Webflow por defecto, por qué los scripts de terceros requieren consentimiento y cómo añadir un banner de cookies conforme a tu sitio Webflow.

¿Qué cookies deposita Webflow por defecto?

1. wf_orderId: cookie de sesión vinculada a la función de e-commerce de Webflow (si está activa), no persistente
2. webflow-session: cookie de sesión para formularios e interacciones, no persistente
3. Cookies de HubSpot (hubspotutk, __hstc): se depositan si la integración nativa de HubSpot está activada

Las cookies nativas de Webflow (sesión, formularios) suelen considerarse funcionales y pueden estar exentas del consentimiento, sujeto a un análisis caso por caso. Sin embargo, en cuanto añades scripts de terceros (Google Analytics, Meta Pixel, HubSpot, Intercom, etc.), la obligación de consentimiento se aplica sin excepción.

Para identificar exhaustivamente todos los rastreadores activos en tu sitio, realiza una auditoría de cookies completa.

¿Es Webflow conforme con el RGPD por defecto?

No. Webflow proporciona infraestructura de hosting y un editor visual, pero el cumplimiento del RGPD de tu sitio es tu responsabilidad como propietario del sitio y responsable del tratamiento. Webflow no ofrece un banner de cookies nativo que cumpla con los requisitos del RGPD.

¿Quién es el responsable del tratamiento?

Tú, como propietario del sitio Webflow, eres el responsable del tratamiento de los datos recopilados a través de tu sitio. Webflow actúa como encargado del tratamiento para el hosting. Los proveedores de scripts de terceros (Google, Meta, HubSpot, etc.) son encargados del tratamiento independientes o responsables del tratamiento distintos según el caso.

¿Cómo añadir un banner de cookies conforme a Webflow?

Método 1: CMP a través del Custom Code de Webflow

1. Ir a Project Settings > Custom Code en Webflow
2. Pegar el snippet de tu CMP (p. ej., FlowConsent) en el área 'Head Code'
3. Colocar todos los scripts de terceros después del snippet de la CMP, o condicionarlos mediante callbacks de consentimiento
4. Verificar que los scripts se bloquean por defecto antes de interactuar con el banner
5. Publicar y probar en modo incógnito

Método 2: Google Tag Manager y CMP

Si centralizas scripts a través de Google Tag Manager, configura tu CMP para activar los tags de GTM solo tras la aceptación de las categorías correspondientes.

Consulta nuestra guía sobre Google Consent Mode v2 para la configuración detallada.

Errores frecuentes en Webflow y RGPD

Google Analytics está en el head Custom Code sin condición. El script se carga al abrir la página, antes del banner. Solución: usa GTM con consentimiento condicionado o el mecanismo de bloqueo de scripts de tu CMP.

Se usa el componente Cookie Consent nativo de Webflow en solitario. Webflow ofrece un elemento de UI básico de Cookie Consent, pero no está diseñado para bloquear scripts de terceros. Muestra un aviso pero no condiciona la carga de rastreadores. Complétalo con una CMP real.

Los formularios de Webflow recogen datos sin enlace a la política de privacidad. Todo formulario que recopile datos personales requiere información clara sobre el tratamiento. Añade un enlace a tu política de privacidad.

El consentimiento solo se gestiona en la página de inicio, no en todas las páginas. Asegúrate de que tu CMP está activa en todas las páginas: artículos de blog, landing pages, páginas de e-commerce.

Lista de verificación de cumplimiento RGPD para sitios Webflow

1. Listar todos los scripts de terceros en el Custom Code (head y footer) y las integraciones de Webflow
2. Realizar una auditoría de cookies para identificar los rastreadores activos antes de cualquier interacción
3. Añadir el snippet de la CMP como primer elemento en el Custom Code head
4. Verificar que los scripts de terceros se cargan después del snippet de la CMP
5. Configurar tu CMP para bloquear las categorías no esenciales por defecto
6. Probar en modo incógnito que los scripts no se cargan antes de interactuar con el banner
7. Redactar o actualizar la política de privacidad (mencionar cada herramienta de terceros)
8. Añadir un enlace a la política de privacidad en el footer y en los formularios
9. Configurar Google Consent Mode v2 si usas Google Analytics o Google Ads
10. Verificar el comportamiento del banner en dispositivos móviles
11. Documentar las actividades de tratamiento en un registro del artículo 30
12. Programar auditorías semestrales para detectar nuevos scripts añadidos

Conclusión

Webflow es una excelente herramienta de creación de sitios, pero el cumplimiento del RGPD es tu responsabilidad. Añadir una CMP a Webflow es sencillo a través del Custom Code. Bloquea los scripts por defecto, condicionarlos a la aceptación y documenta tus actividades de tratamiento.

Empieza escaneando tu sitio Webflow con el escáner de cookies de FlowConsent para identificar todos los rastreadores activos y configura tu banner en consecuencia.