Rastrejadors de tercers

Què comprova aquesta auditoria

Registra cada petició de xarxa que es fa mentre es renderitza la pàgina, les agrupa per domini registrable i reporta el recompte de hosts únics de tercers que envien JavaScript, píxels, beacons o iframes de seguiment. Els dominis de primera part (tu i els teus subdominis) s’exclouen. Les CDN que serveixen els teus propis actius (cdn.elteudomini.com) s’exclouen. Les fonts i les analítiques que coincideixen amb empremtes de rastrejador conegudes s’inclouen.

Ofensors habituals que apareixen a la llista:

• Gestors d’etiquetes: googletagmanager.com
• Analítiques: google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
• Ad tech: doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
• Session replay / heatmaps: hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
• Widgets de suport: intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
• Fonts i SDKs: fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (quan no és la teva botiga)

Tres o menys és una línia base saludable. Per sobre de set, ets un lloc de marketing típic, i tens feina real de RGPD a fer.

Per què importa

Cada domini de tercers a la teva pàgina és tres problemes alhora.

• Un salt de privacitat que has de declarar. Sota l’Article 13 del RGPD i la Directiva ePrivacy, cada receptor no essencial de tercers de dades personals ha d’estar nomenat a la teva política de privacitat i s’hi ha de consentir abans que el seu script es dispari. La CNIL ha multat llocs específicament per subdeclarar la llista de receptors.
• Un impost de rendiment que no pots controlar del tot. L’informe third-party-web d’HTTP Archive mostra consistentment que l’ad-tech, els gestors d’etiquetes i els widgets de xat són els tercers més lents del web, sovint empenyent el Largest Contentful Paint més enllà de 4 segons i l’Interaction to Next Paint a la banda de fallada. Cada script que no envies és un impost que no pagues.
• Una superfície de consentiment que es trenca fàcilment. Si fins i tot un script del teu gestor d’etiquetes es dispara abans del consentiment (perquè està hardcoded fora de la porta de consentiment, o el listener de consentiment carrega tard), incompleixes independentment de com de bo sigui el teu banner de consentiment de cookies.

Sis rastrejadors és aproximadament la mediana per a un lloc de continguts. Dotze a vint és normal per a un lloc d’e-commerce o de marketing SaaS. Quaranta o més apareixen a llocs de notícies amb anuncis programàtics, i també és on aterren la majoria de multes RGPD.

Com solucionar-ho

Inventaria el que tens. Obre la pàgina a Chrome DevTools → pestanya Network → filtra per domini. Agrupa les peticions de tercers per domini registrable i pregunta’t, per a cadascuna, “encara s’ho està guanyant?”.

# Auditoria ràpida des de la línia d'ordres amb curl + un parser de la teva tria
curl -s https://elteudomini.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Executa una auditoria Lighthouse (DevTools → Lighthouse → Generate report), el diagnòstic “Reduce the impact of third-party code” llista cada domini amb el seu temps de bloqueig.

Talla el que no necessites. Les victòries més habituals:

• Treu Google Tag Manager i posa GA4 inline directament. GTM és un hàbit, no un requisit. Si només gestiones GA + un o dos píxels, posa gtag.js inline i esborra el contenidor de GTM.
• Auto-allotja les fonts. fonts.googleapis.com és un rastrejador sota el RGPD (un tribunal alemany ho va sentenciar el 2022). Descarrega els fitxers WOFF2, serveix-los des del teu propi origen i treu la URL de Google Fonts.
• Substitueix el xat de tercers per email. Els widgets d’Intercom, Drift i Zendesk pesen cadascun 100–300 KB i fan peticions de heartbeat contínues. Un mailto: no.
• Treu píxels morts. Els equips de marketing afegeixen píxels per a campanyes i obliden treure’ls. Audita l’edat dels píxels i treu qualsevol cosa més antiga que el teu cicle de campanya típic.

Posa el que has de mantenir darrere del consentiment. Cada rastrejador no essencial que quedi ha de carregar només després que l’usuari atorgui consentiment al teu banner. Fes servir Google Consent Mode v2 + IAB TCF v2.2 o l’equivalent per al teu stack. Mira el banner de consentiment de cookies.

Carrega els widgets de suport amb lazy-load. No enviïs Intercom a cada pàgina. Carrega’l només quan l’usuari clica un botó “Xat amb nosaltres”:

<button id="open-chat">Xat amb nosaltres</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/EL_TEU_APP_ID';
    document.head.appendChild(s);
  });
</script>

Mou l’analítica al servidor. Eines com Plausible, Fathom o un Matomo auto-allotjat eliminen completament el rastrejador del costat client. GTM al servidor mou l’stack de Google al teu propi domini (continua sent GA, continua sent trackable, però només un domini de tercers al panel de xarxa).

Audita dependències, no només el teu codi. Un plugin de WordPress o una app de Shopify pot afegir silenciosament tres o quatre rastrejadors sense que ho sàpigues. Després de cada instal·lació de plugin, re-executa l’auditoria.

Preguntes freqüents

Quants són massa?

Depèn del tipus de lloc. Un lloc de marketing SaaS normalment pot viure amb 4–6: GA4 + GTM + un píxel d’anuncis + Stripe + la teva CDN. Un lloc de continguts monetitzat amb anuncis programàtics en tindrà 20+ i no hi ha manera d’evitar-ho, però aquests llocs també necessiten un banner de consentiment de cookies hermètic. El número en si no és el problema, les obligacions de consentiment i declaració que comporta sí.

Les fonts són realment rastrejadors?

Sí, quan les serveix una CDN de tercers. fonts.googleapis.com registra la IP que fa la petició. Un tribunal regional de Munic va multar el propietari d’un lloc amb 100 € el 2022 específicament per embedir Google Fonts sense consentiment (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Auto-allotja les teves fonts i el problema desapareix.

Treure rastrejadors perjudica la meva analítica?

Treure rastrejadors duplicats no, la majoria de llocs tenen dues eines d’analítica que discrepen en un 30% per pèrdua de consentiment de totes maneres. Treure un rastrejador que realment fas servir òbviament aturarà el flux de dades; en aquest cas, reemplaça’l per un equivalent privacy-friendly (Plausible, Fathom, Matomo auto-allotjat) en comptes d’esborrar-lo sense més.