保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Privacidad
lowCWE-16

Tracking Sin Consentimiento

Ejecutar tracking de usuarios, fingerprinting o analytics de comportamiento sin consentimiento explícito viola GDPR, CCPA y leyes de privacidad similares.

Cómo Funciona

Herramientas como Hotjar, FullStory, Meta Pixel y algunos usos de Google Analytics constituyen tracking bajo GDPR. No deben inicializarse hasta que el usuario dé su consentimiento explícito. Las herramientas de grabación de sesión son particularmente sensibles ya que pueden capturar inputs de formularios, incluyendo contraseñas y datos de pago.

Código Vulnerable
// MAL: grabación de sesión y tracking inicializados antes del consentimiento
<script src="https://static.hotjar.com/c/hotjar-12345.js" />
// Se carga inmediatamente — graba todo incluyendo inputs de formularios antes del consentimiento
Código Seguro
// BIEN: tracking cargado solo después del consentimiento explícito
useEffect(() => {
  const consent = localStorage.getItem('analytics-consent');
  if (consent === 'accepted') {
    // Carga Hotjar solo después de que el usuario consintió
    const script = document.createElement('script');
    script.src = 'https://static.hotjar.com/c/hotjar-12345.js';
    document.head.appendChild(script);
  }
}, []);

Ejemplo Real

Las multas por tracking sin consentimiento se están acelerando bajo GDPR. En 2023, la Autoridad de Protección de Datos de Suecia multó a Spotify y CDON por usar Google Analytics sin mecanismos de consentimiento adecuados. Estas multas frecuentemente son de cientos de miles de euros.

Cómo Prevenirlo

  • Categoriza tus scripts de tracking (analytics, publicidad, grabación de sesión) y requiere consentimiento para cada categoría
  • No cargues ningún script de tracking en el HTML — cárgalos dinámicamente solo después del consentimiento
  • Configura las herramientas de grabación de sesión para enmascarar todos los inputs de formularios por defecto
  • Revisa los scripts de terceros anualmente — el tracking sombra a través de widgets incrustados es una omisión común

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Privacidad

low

Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.

CWE-16

Sin Términos de Servicio

low

Sin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.

CWE-16

Sin Eliminación de Cuenta

medium

No ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.

CWE-16

Sin Banner de Cookies

low

Establecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.

CWE-16