Banner de consentiment de cookies

Què comprova aquesta auditoria

Escaneja la pàgina renderitzada cercant (a) rastrejadors de tercers no essencials (Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag) i (b) un banner de consentiment de cookies de Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes, o un diàleg personalitzat. La comprovació falla quan hi ha rastrejadors presents però no es troba cap banner.

Per què importa

Sota la llei de la UE i del Regne Unit, les cookies no essencials i les tecnologies de seguiment similars necessiten consentiment previ, lliure, específic, informat i inequívoc abans de disparar-se. “L’ús continuat implica consentiment” no compta, i tampoc compten les caselles pre-marcades.

• Multes del RGPD. Fins al 4% dels ingressos anuals globals. Els reguladors (CNIL a França, AEPD a Espanya, Garante a Itàlia) han multat repetidament llocs per disparar Google Analytics o Meta Pixel abans del consentiment.
• Exposició a demandes col·lectives. Les lleis estatals dels EUA (CCPA/CPRA, Colorado CPA, Virginia VCDPA) i la Digital Services Act de la UE afegeixen vies separades de dret privat d’acció.
• Conversions. Sense una configuració de Consent Mode v2, Google Ads i Analytics descarten esdeveniments sense consentiment en comptes de modelar-los, els teus informes i audiències publicitàries es degraden silenciosament.

Com solucionar-ho

Tria un banner que suporti IAB TCF v2.2 + Google Consent Mode v2 (la combinació que Google exigeix des del març de 2024 per a usuaris de l’EEE):

• Cookiebot, de pagament, complet, escaneja el teu lloc setmanalment per mantenir la llista de cookies actualitzada.
• OneTrust, empresarial; el default si ja fas servir OneTrust per a gestió de privacitat.
• Iubenda, assequible, multilingüe, bo per a pimes.
• Klaro, open-source, auto-allotjat.

Exemple amb Cookiebot, posa això al <head> abans de qualsevol altre script de seguiment:

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="EL-TEU-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Posa cada rastrejador (GA4, gtag, Meta Pixel, etc.) com a type="text/plain" amb data-cookieconsent="statistics" (o "marketing"). Cookiebot els reescriurà a text/javascript només després del consentiment.

Google Consent Mode v2, inicialitza gtag('consent', 'default', { ... }) amb tot denied abans de carregar GA, després actualitza a granted des del callback del banner. Si no, GA descarta el 100% dels esdeveniments de l’EEE en comptes de fer modelat de consentiment.

Audita què estàs disparant. Obre DevTools → Application → Cookies en una finestra d’incògnit i carrega la pàgina sense clicar el banner. Si veus _ga, _fbp, _hjSessionUser_*, o qualsevol cosa d’un domini de rastrejador, estàs disparant abans del consentiment, això és la infracció.

Preguntes freqüents

Necessito un banner si només faig servir Google Analytics?

Sí. A l’EEE, al Regne Unit i a Suïssa, GA està classificat com a no essencial per totes les autoritats supervisores que s’hi han pronunciat. El mateix s’aplica si només fas servir un Meta Pixel o una eina de tests A/B de tercers.

I les analítiques sense cookies com Plausible o Fathom?

Si l’eina no guarda cookies, no fa fingerprint de dispositius i no transmet dades personals, pots argumentar que és essencial i saltar-te el banner. Plausible i Fathom es venen com a “RGPD-friendly sense banner” sobre aquesta base; comprova l’atestació actual abans de confiar-hi.

La meva auditoria ha fallat però tinc un banner, què passa?

O bé el script del banner carrega després que un rastrejador es dispari (els rastrejadors corren abans que arribi la decisió de consentiment), o bé el banner només apareix en certes regions i MetricSpot està auditant des de fora d’aquella regió, o bé la signatura de detecció no coincideix amb el proveïdor que fas servir. Confirma-ho obrint DevTools i mirant l’ordre de peticions a la primera càrrega.