¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Microsoft Clarity es una herramienta gratuita de analitica de comportamiento de Microsoft que combina mapas de calor, mapas de scroll y grabaciones completas de sesion para visualizar como interactuan los usuarios con un sitio web. Como captura un comportamiento muy granular y comparte identificadores con la plataforma publicitaria de Microsoft, constituye un tratamiento de alto riesgo segun el RGPD.
Microsoft Clarity es un producto gratuito de analitica de comportamiento lanzado por Microsoft en 2020 y alojado en los dominios clarity.ms y c.clarity.ms. Lo opera Microsoft Corporation desde sus centros de datos Azure en Estados Unidos, con almacenamiento europeo opcional disponible para algunas cargas. Clarity se posiciona como una alternativa sin coste a herramientas comerciales de mapas de calor y reproduccion de sesion como Hotjar, FullStory o Mouseflow.
El producto se carga mediante un pequeno snippet de JavaScript que envia a Microsoft eventos de interaccion: movimientos del raton, clics, profundidad de scroll, rage clicks, dead clicks, errores de JavaScript, transiciones de pagina y el DOM necesario para reproducir cada sesion. Genera tres salidas principales para el editor: mapas de calor, mapas de scroll y grabaciones individuales de sesion. El slug clarity de las bases de datos de cookies se refiere al producto de Microsoft, no a los proyectos sin relacion de Adobe o de Apache que comparten esa palabra.
Clarity deposita varias cookies de primera parte en el dominio del editor mas identificadores compartidos en dominios propiedad de Microsoft. Las principales son: _clck (identificador persistente de usuario Clarity, retencion un ano), _clsk (identificador de sesion que enlaza los eventos de una misma visita, expira a las 24 horas), CLID (identificador unico Clarity depositado en c.clarity.ms, retencion un ano), MUID (Microsoft User Identifier compartido con Bing, Bing Ads y otras propiedades de Microsoft, retencion un ano y 24 dias) y ANONCHK (valida el MUID, retencion 10 minutos).
La cookie MUID es la mas sensible desde la perspectiva de privacidad porque se comparte en todo el ecosistema publicitario de Microsoft. Cuando el visitante navega despues por un sitio que utiliza Microsoft Advertising o Bing, Microsoft puede correlacionar ambas visitas. Este identificador transversal convierte a Clarity, de un circuito cerrado de analitica, en un nodo de un grafo publicitario mas amplio, lo que afecta directamente al analisis de la base legal.
El articulo 5(3) de la Directiva ePrivacy solo permite almacenar o leer informacion en el terminal del usuario con consentimiento previo, salvo cookies estrictamente necesarias para un servicio expresamente solicitado. Las cookies de Clarity no son estrictamente necesarias: se despliegan para analitica de comportamiento, optimizacion de producto y correlacion publicitaria. Debe obtenerse, por tanto, el consentimiento antes de ejecutar el script de Clarity.
El RGPD eleva el listo porque la grabacion de sesion reconstruye lo que vio e hizo el visitante, incluido cualquier texto escrito y no enmascarado. Las autoridades europeas, entre ellas la AEPD, la CNIL francesa y el Garante italiano, han senalado de forma reiterada que el session replay es una actividad de alto riesgo que con frecuencia requiere una Evaluacion de Impacto del articulo 35. La combinacion de telemetria conductual fina, transferencias a EEUU e identificadores publicitarios obliga a un consentimiento explicito del articulo 6(1)(a) y descarta el interes legitimo.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los datos de Clarity los trata Microsoft Corporation en Estados Unidos. Desde julio de 2023, Microsoft esta autocertificada bajo el Data Privacy Framework UE EEUU, reconocido por la Comision Europea como nivel adecuado de proteccion segun el articulo 45 del RGPD. Las transferencias a entidades Microsoft certificadas ya no requieren, por defecto, Clausulas Contractuales Tipo ni medidas suplementarias.
El responsable del tratamiento debe documentar igualmente la transferencia en su registro del articulo 30, monitorizar el estado del DPF (un recurso pendiente ante el TJUE podria afectar a la adecuacion) y activar la residencia de datos en la UE de Clarity cuando este disponible para reducir la exposicion. El analisis Schrems II es hoy mas sencillo que en 2022, pero no desaparece, sobre todo para responsables del Reino Unido y Suiza cuyas extensiones del DPF dependen de decisiones de adecuacion paralelas.
Clarity ofrece tres modos de enmascaramiento: Strict (todo el texto enmascarado por defecto), Balanced (por defecto, enmascara campos de formulario y zonas obviamente sensibles) y Relaxed (sin enmascaramiento, no recomendado para trafico UE). Se aconseja Strict para sitios que manejan datos de salud, financieros, de autenticacion o categorias especiales. El editor tambien puede marcar elementos concretos con los atributos data clarity mask o data clarity unmask para un control fino y excluir paginas enteras de la grabacion.
Una EIPD debe plantearse siempre que Clarity se despliegue en areas autenticadas, flujos de pago, portales de salud, herramientas internas de RRHH o sitios que traten datos de menores. Debe describir el volumen de grabaciones, la retencion por defecto (hasta 13 meses), la configuracion de enmascaramiento, las herramientas complementarias que comparten el MUID y el riesgo residual para los interesados, incluida la posibilidad de reconstruir datos personales a partir del replay.
Un despliegue conforme de Clarity en la UE sigue un patron claro: bloquear el script Clarity hasta recoger el consentimiento explicito mediante una CMP conforme a las directrices del CEPD sobre dark patterns; asignar Clarity a la finalidad de analitica o marketing segun si el MUID alimenta flujos publicitarios; activar el modo Strict; restringir la grabacion a paginas no sensibles; firmar o aceptar el Addendum de proteccion de datos de Microsoft y documentar el uso del DPF en el registro de transferencias.
Las politicas de privacidad deben nombrar expresamente a Microsoft Clarity, describir las funcionalidades de mapas de calor y session replay, listar las cookies depositadas, mencionar las transferencias a Estados Unidos bajo el DPF y enlazar a la declaracion de privacidad de Microsoft y al opt out del usuario. Si el riesgo de la grabacion de sesion no puede mitigarse a un nivel aceptable, alternativas como Plausible, simples mapas de calor de Matomo sin replay, u Hotjar con alojamiento UE, ofrecen flujos de datos mas estrechos que Clarity.
Websites using Microsoft Clarity must obtain user consent under GDPR regulations.
DPIA considerations
Microsoft Clarity captura grabaciones de sesion, movimientos del raton, clics, desplazamiento e interacciones con formularios. Este nivel de detalle constituye un seguimiento sistematico del comportamiento y puede activar la obligacion de Evaluacion de Impacto en Proteccion de Datos (EIPD) del articulo 35 del RGPD segun el contexto (volumen de usuarios, paginas sensibles, exposicion de categorias especiales). Factores de riesgo: (1) reproduccion de formularios o areas autenticadas donde podrian reconstruirse datos personales, de pago o categorias especiales; (2) combinacion con Microsoft Advertising mediante el identificador MUID, que permite perfilado cross site; (3) transferencias a EEUU pese al DPF; (4) retencion por defecto (hasta 13 meses). La mitigacion exige enmascaramiento estricto del texto, exclusion de campos sensibles, anonimizacion de IP, residencia de datos en la UE cuando este disponible y documentacion clara en el registro del articulo 30.
Sample consent text
Utilizamos Microsoft Clarity, una herramienta de analitica de comportamiento de Microsoft, para entender como los visitantes interactuan con nuestro sitio mediante mapas de calor y grabaciones de sesion anonimizadas. Clarity deposita cookies (_clck, _clsk, MUID) y transfiere datos a servidores de Microsoft en Estados Unidos en el marco del Data Privacy Framework UE EEUU. Los campos sensibles se enmascaran. Puede aceptar o rechazar en cualquier momento en las preferencias de cookies.
Third-party domains contacted
clarity.msc.clarity.mswww.clarity.msbing.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _clck | analytics | 1 year | Clarity user ID, persists across sessions to recognize returning visitors |
| _clsk | analytics | 1 day | Clarity session ID, ties events within a single session for session replay tracking |
| MUID | marketing | 1 year and 24 days | Microsoft User Identifier, shared with Bing and Microsoft Advertising for cross site identification |
| CLID | analytics | 1 year | Clarity unique identifier set on c.clarity.ms to deduplicate users across publisher sites |
| ANONCHK | analytics | 10 minutes | Validates the MUID and synchronizes telemetry with Microsoft endpoints |
Microsoft Clarity recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Clarity deposita cookies de primera parte en su propio dominio (_clck, identificador persistente de usuario Clarity con retencion de un ano; _clsk, identificador de sesion que expira a las 24 horas) e identificadores compartidos en dominios de Microsoft (CLID en c.clarity.ms durante un ano, MUID en bing.com y clarity.ms durante un ano y 24 dias, ANONCHK durante 10 minutos). La cookie MUID es la misma que utiliza Microsoft Advertising y Bing, por lo que los datos de Clarity pueden correlacionarse con el grafo publicitario mas amplio de Microsoft.
Si. Segun el articulo 5(3) de la Directiva ePrivacy, las cookies de Clarity no son estrictamente necesarias y exigen un consentimiento previo, libre, especifico, informado e inequivoco. Como Clarity tambien graba sesiones y comparte el MUID con Microsoft Advertising, las autoridades europeas lo tratan como analitica con efectos de marketing y exigen consentimiento explicito opt in. El script no debe cargarse antes de recoger el consentimiento.
La unica base legal realista es el consentimiento del articulo 6(1)(a) del RGPD. El interes legitimo del articulo 6(1)(f) no es apropiado porque Clarity captura datos de comportamiento muy detallados, graba sesiones y comparte identificadores con el ecosistema publicitario de Microsoft, algo que un usuario razonable no esperaria. El consentimiento registrado por su CMP debe cubrir tanto el deposito de la cookie (ePrivacy) como el tratamiento posterior de datos personales (RGPD).
Si, con condiciones. Microsoft Corporation esta autocertificada bajo el Data Privacy Framework UE EEUU desde julio de 2023 y la Comision Europea ha adoptado una decision de adecuacion que lo reconoce conforme al articulo 45 del RGPD. Las transferencias a entidades Microsoft certificadas ya no exigen, por defecto, Clausulas Contractuales Tipo. Debe documentar la transferencia en su registro del articulo 30, vigilar el DPF (hay un recurso pendiente ante el TJUE) y activar la residencia UE de Clarity cuando este disponible.
Frecuentemente si, porque Clarity graba sesiones, lo que las autoridades, entre ellas la AEPD, la CNIL y el Garante italiano, consideran un tratamiento de alto riesgo. Se recomienda una EIPD del articulo 35 del RGPD siempre que Clarity se despliegue en areas autenticadas, flujos de pago, portales de salud, herramientas de RRHH o sitios que traten datos de menores. La EIPD debe documentar el enmascaramiento, la retencion (por defecto hasta 13 meses), el papel del MUID y el riesgo residual de reconstruir datos personales a partir de los replays.
Bloquee el script Clarity hasta recoger consentimiento explicito opt in mediante una CMP que respete las directrices del CEPD sobre dark patterns. Active el modo Strict para enmascarar todo el texto por defecto, marque campos sensibles con data clarity mask, excluya paginas autenticadas y de pago de la grabacion, anonimice las IP, acepte el Addendum de proteccion de datos de Microsoft, documente el DPF en el registro de transferencias y mencione Clarity en la politica de privacidad con enlace a la declaracion de privacidad de Microsoft y al opt out.
Para sitios que no necesitan session replay, Plausible Analytics y configuraciones simples de Matomo (sin mapas de calor ni replay) son opciones sin cookies o con consentimiento ligero alojadas en la UE. Si necesita mapas de calor, Matomo Heatmaps y Hotjar con alojamiento UE ofrecen flujos mas estrechos que Clarity al no compartir identificadores publicitarios. Herramientas server side como Fathom, Pirsch o Umami autoalojado tambien son pertinentes cuando no se requiere replay.
Anada una entrada propia que nombre a Microsoft Clarity como herramienta de analitica de comportamiento operada por Microsoft Corporation. Liste las cookies depositadas (_clck, _clsk, CLID, MUID, ANONCHK) con su duracion y finalidad. Indique la grabacion de sesion y el modo de enmascaramiento configurado. Senale que los datos se transfieren a Estados Unidos al amparo del Data Privacy Framework UE EEUU. Enlace a la declaracion de privacidad de Microsoft y al opt out de usuario, y explique como retirar el consentimiento en cualquier momento.