Más allá de Google: Meta, LinkedIn y TikTok ante el consentimiento
Consent Mode v2 acapara la conversación, pero tus obligaciones no terminan en Google. Cada píxel de marketing que cargas —Meta, LinkedIn, TikTok— procesa datos personales y necesita una base legal. Y ojo: el problema no se resuelve solo bloqueando cookies en el navegador, porque buena parte del rastreo se ha mudado al servidor.
Meta: el píxel y la Conversions API
Meta ofrece su propio Consent Mode, que pide consentimiento antes de activar el Meta Pixel (lado cliente) y la Conversions API / CAPI (lado servidor). El matiz crítico está en la CAPI: al enviarse desde tu servidor, puede transmitir datos hasheados (email, teléfono) aunque el usuario haya rechazado las cookies en el navegador.
Por eso una implementación que cumple debe bloquear ambos: el píxel del
navegador y la CAPI del servidor, y propagar los cambios de consentimiento a
mitad de sesión si el usuario cambia de opinión. La deduplicación entre píxel y
CAPI (vía event_id) está bien para no contar dos veces, pero no sustituye al
control de consentimiento: ambos canales deben respetarlo por separado.
El error más común: creer que rechazar cookies detiene el rastreo, mientras la Conversions API sigue enviando eventos de compra desde el servidor sin verificar el consentimiento. Es justo el tipo de tratamiento que las autoridades han sancionado.
LinkedIn: Insight Tag
El Insight Tag de LinkedIn funciona como un píxel de seguimiento para retargeting B2B y medición de conversiones. En la UE/EEE debes bloquearlo hasta que el usuario opte por aceptar a través de tu CMP o tu gestor de etiquetas, y solo entonces permitir que se ejecute. El retargeting contra visitantes de tu web —incluso en un contexto profesional— debe estar divulgado y consentido igual que en publicidad de consumo.
TikTok: píxel y Events API
TikTok replica el patrón de Meta: además del píxel de cliente, su Events API comparte conversiones desde el servidor. Ese envío server-side debe divulgarse de forma explícita y separada del consentimiento del píxel de cliente, porque es un tratamiento distinto con su propia base legal.
El problema de las cookies de terceros
Estos píxeles instalan o leen cookies de terceros: las más vigiladas por las autoridades y, además, las que los navegadores están eliminando (Safari y Firefox ya las bloquean; Chrome avanza en su propia hoja de ruta de privacidad). Esto significa dos presiones simultáneas:
- Legal: sin una capa de consentimiento que las gobierne, te expones a sanciones. La autoridad sueca multó con 15 millones de euros a cadenas de farmacias por usar el píxel de Meta sin base legal.
- Técnica: aunque tuvieras permiso, las cookies de terceros pierden alcance, y por eso las plataformas empujan sus APIs de servidor —que, de nuevo, deben respetar el consentimiento.
Cómo comprobar que tu rastreo respeta el consentimiento
Una verificación rápida que cualquiera puede hacer: abre las herramientas de
desarrollo del navegador, rechaza el consentimiento en el banner y vigila la
pestaña Network. No deberías ver peticiones a facebook.com, linkedin.com ni
tiktok.com cargando píxeles. Para el lado servidor es más difícil de ver desde el
navegador: ahí necesitas confirmar en tu CAPI / Events API que cada evento
incluye el estado de consentimiento del usuario y que tu servidor descarta los
eventos de quienes rechazaron. Si tu implementación no hace esa comprobación
server-side, estás enviando datos sin base legal aunque el banner parezca correcto.
Una sola fuente de verdad para todos los píxeles
| Plataforma | Lado cliente | Lado servidor | Acción requerida |
|---|---|---|---|
| Meta | Pixel | Conversions API | Bloquear ambos hasta consentir |
| Insight Tag | Conversions API | Bloquear hasta opt-in | |
| TikTok | Pixel | Events API | Divulgar y consentir server-side |
| gtag / GTM | Server-side tagging | Consent Mode v2 (4 permisos) |
Gestionar cada plataforma por separado es frágil: basta con que el equipo de marketing añada un píxel nuevo para abrir un agujero de cumplimiento. La solución robusta es tener una capa de consentimiento que gobierne todos los rastreadores. Conma detecta cada píxel con su scanner —incluidos los que aparecen sin avisar— y bloquea su ejecución, en cliente y servidor, hasta que el usuario decide, con un registro firmado de cada elección. Es la diferencia entre cumplir con Google y cumplir de verdad.