Cómo eliminar píxeles de seguimiento de WordPress (RGPD)

Los píxeles de seguimiento (también llamados píxeles de conversión o etiquetas) son pequeños fragmentos de código que servicios como Facebook, LinkedIn, TikTok, Pinterest y Twitter incrustan en tu sitio para rastrear el comportamiento de los visitantes. Según el RGPD, cargar estos píxeles sin el consentimiento explícito del usuario constituye una infracción, incluso si el usuario nunca interactúa con ellos. Esta guía explica cómo encontrar píxeles de seguimiento en tu sitio WordPress, comprender los riesgos legales y eliminarlos por completo o supeditarlos a un consentimiento adecuado.

Cómo funcionan los píxeles de seguimiento en sitios WordPress

Cada píxel de seguimiento es un pequeño fragmento de JavaScript o una imagen invisible de 1x1 que dispara una petición HTTP a un servidor remoto en el momento en que se carga la página. Esto es lo que hacen las principales plataformas entre bastidores:

• Facebook Pixel (Meta Pixel): Carga la librería fbevents.js desde connect.facebook.net. Rastrea vistas de página, clics en botones, envíos de formularios y eventos de compra. Facebook utiliza estos datos para crear audiencias publicitarias y medir conversiones de anuncios. El píxel también establece la cookie _fbp con un identificador único de navegador.
• LinkedIn Insight Tag: Carga JavaScript desde snap.licdn.com. Recopila la URL de la página, el referente, la dirección IP, las características del dispositivo y del navegador y una marca de tiempo. LinkedIn lo utiliza para informar de métricas de conversión y para habilitar el retargeting de sitios web para LinkedIn Ads. Establece las cookies li_sugr y UserMatchHistory.
• TikTok Pixel: Se carga desde analytics.tiktok.com. Captura eventos de vista de página, eventos de clic y eventos de conversión personalizados. TikTok utiliza los datos para optimizar anuncios y crear audiencias. El píxel establece la cookie _ttp.
• Twitter/X Pixel: Se carga desde static.ads-twitter.com. Rastrea conversiones de anuncios de Twitter, incluidas vistas de página y eventos específicos que tú definas. Establece cookies como muc_ads y personalization_id.
• Pinterest Tag: Se carga desde ct.pinterest.com. Mide las acciones que los visitantes realizan después de ver un Pin de Pinterest, como visitas a la página, registros y compras. Establece la cookie _pinterest_sess.
• Snapchat Pixel: Se carga desde sc-static.net. De forma similar a otros píxeles, rastrea vistas de página y eventos personalizados para optimizar Snap Ads.
• Google Ads Remarketing Tag: Aunque no siempre se le llame "píxel", esta etiqueta de googleads.g.doubleclick.net funciona de forma idéntica. Rastrea visitantes para audiencias de remarketing de Google Ads.

Todos estos píxeles comparten un patrón común: cargan JavaScript externo, establecen cookies y transmiten datos personales (dirección IP, huella del navegador, comportamiento de navegación) a servidores fuera de la UE. Desde la perspectiva del RGPD, todos y cada uno requieren un consentimiento explícito e informado antes de cargarse.

Por qué los píxeles de seguimiento infringen el RGPD sin consentimiento

El RGPD y la Directiva ePrivacy plantean varios problemas legales con los píxeles de seguimiento que se cargan sin consentimiento:

• Establecimiento de cookies sin consentimiento: El artículo 5(3) de la Directiva ePrivacy exige el consentimiento antes de almacenar o acceder a información en el dispositivo del usuario. Los píxeles de seguimiento establecen cookies inmediatamente al cargar la página, antes de que el usuario tenga oportunidad de consentir.
• Transferencia de datos a terceros países: La mayoría de los proveedores de píxeles de seguimiento son empresas estadounidenses. Desde que la sentencia Schrems II invalidó el Privacy Shield UE-EE. UU., las transferencias de datos a EE. UU. requieren salvaguardas adicionales. El simple hecho de cargar un píxel que envía datos a servidores de Facebook o Google en EE. UU. puede ser una infracción de transferencia.
• Sin interés legítimo para el seguimiento publicitario: Los tribunales y las autoridades de protección de datos de toda la UE han dictaminado de manera consistente que la publicidad y el retargeting no se consideran "interés legítimo" según el artículo 6(1)(f) del RGPD. Necesitas consentimiento explícito (artículo 6(1)(a)).
• Falta de transparencia: Muchos propietarios de sitios ni siquiera saben que hay píxeles de seguimiento en su sitio. Plugins, temas y widgets de terceros suelen inyectarlos de forma silenciosa. Esto hace imposible proporcionar la transparencia que exigen los artículos 13 y 14 del RGPD.

Las multas por estas infracciones son reales. Las autoridades europeas de protección de datos han impuesto sanciones significativas a sitios web que cargan píxeles de seguimiento sin consentimiento, con la CNIL francesa y la DSB austriaca a la cabeza en acciones de cumplimiento.

Dónde se esconden los píxeles de seguimiento en WordPress

Uno de los mayores retos es simplemente encontrar todos los píxeles de seguimiento de tu sitio. Pueden inyectarse desde muchos lugares distintos:

• Plugins de píxeles dedicados: Plugins como "PixelYourSite", "Facebook for WooCommerce", "Insert Headers and Footers" o "Head, Footer and Post Injections" están diseñados para inyectar códigos de seguimiento. Comprueba la lista de plugins instalados en busca de cualquier cosa relacionada con seguimiento, analítica o publicidad.
• Ajustes del tema: Muchos temas premium incluyen campos para los IDs de píxeles de seguimiento directamente en su panel de opciones del tema. Busca en los ajustes de tu tema campos etiquetados como "Facebook Pixel ID", "Analytics" o "Tracking Code".
• Extensiones de WooCommerce: Si tienes una tienda WooCommerce, las extensiones para Facebook Shop, Pinterest Catalog o TikTok Shopping suelen inyectar sus propios píxeles para rastrear conversiones. Estos píxeles se cargan en cada página, no solo en las de producto.
• Módulos de constructores de páginas: Algunos constructores de páginas (Elementor, Divi, WPBakery) incorporan seguimiento integrado o complementos de terceros que inyectan píxeles.
• Google Tag Manager: Si alguien configuró GTM en tu sitio, podrían estar cargándose multitud de píxeles de seguimiento a través del contenedor sin que haya un plugin de WordPress visible.
• Código manual en functions.php: A veces los desarrolladores añaden código de píxeles de seguimiento directamente al archivo functions.php del tema o de un tema hijo. Busca hooks de acción wp_head o wp_footer que generen etiquetas script.
• Plugins de comentarios y de compartir en redes sociales: Los plugins que añaden botones de compartir en redes sociales, sistemas de comentarios (como Disqus) o funciones de inicio de sesión social a menudo cargan scripts de seguimiento de Facebook, Twitter y otras plataformas.
• Codificado en archivos de plantilla: En instalaciones más antiguas, los píxeles de seguimiento podrían estar pegados directamente en los archivos de plantilla header.php o footer.php.

Utiliza InspectWP para analizar tu sitio automáticamente. Detecta Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel, Twitter Pixel, Pinterest Tag y muchos otros scripts de seguimiento de terceros, incluso cuando están profundamente ocultos en el código de plugins o temas.

Método 1: Eliminación completa de los píxeles de seguimiento

Si no realizas campañas de publicidad de pago o no necesitas seguimiento de conversiones, el enfoque más sencillo es eliminar por completo todos los píxeles de seguimiento. Aquí tienes un proceso sistemático:

1. Audita tus plugins: Ve a Plugins > Plugins instalados en el escritorio de WordPress. Busca cualquier cosa que contenga "pixel", "tracking", "analytics", "tag manager", "facebook", "linkedin", "tiktok" o "pinterest". Desactiva y elimina cualquier plugin que ya no necesites.
2. Comprueba los ajustes del tema: Ve al panel de opciones de tu tema (normalmente en Apariencia > Opciones del tema o Personalizar). Busca cualquier campo que contenga IDs de píxeles o códigos de seguimiento. Borra esos campos y guarda.
3. Inspecciona functions.php: Abre el archivo functions.php de tu tema hijo. Busca cadenas como fbq(, _linkedin_partner_id, ttq.load, twq( o pintrk(. Elimina cualquier bloque de código relacionado con el seguimiento.
4. Comprueba las inyecciones de cabecera y pie: Si usas un plugin de inyección de cabecera/pie, ve a sus ajustes y elimina cualquier script de píxel de seguimiento.
5. Revisa Google Tag Manager: Si GTM está activo en tu sitio, accede a tu cuenta de GTM y revisa todas las etiquetas del contenedor. Elimina cualquier etiqueta de Facebook, LinkedIn, TikTok, Twitter, Pinterest u otras plataformas de seguimiento. Si solo usabas GTM para los píxeles de seguimiento y ya no lo necesitas, elimina también el plugin de GTM de WordPress.
6. Vacía todas las cachés: Tras eliminar los píxeles, vacía la caché de página, la caché de la CDN y la caché del navegador para asegurarte de que se purgan las páginas antiguas en caché con scripts de seguimiento.

Método 2: Carga condicional con un plugin de gestión de consentimiento

Si necesitas píxeles de seguimiento para tus campañas publicitarias, el enfoque correcto es bloquearlos hasta que el usuario dé su consentimiento explícito. Una Plataforma de Gestión de Consentimiento (CMP) se encarga de ello por ti:

1. Elige una CMP: Las CMP compatibles con WordPress más populares son Real Cookie Banner, Complianz, Cookiebot y Borlabs Cookie. Real Cookie Banner y Complianz son las opciones más populares en el mercado germanohablante, mientras que Cookiebot se utiliza ampliamente a nivel internacional.
2. Instala y configura la CMP: Tras la instalación, el plugin analizará tu sitio en busca de cookies y scripts de seguimiento. La mayoría de las CMP detectan automáticamente los píxeles más comunes.
3. Categoriza los píxeles de seguimiento: Asigna todos los píxeles de seguimiento a la categoría de cookies "Marketing" o "Publicidad". Esto garantiza que solo se carguen después de que el usuario acepte explícitamente las cookies de marketing. Nunca coloques píxeles de seguimiento en la categoría "Esenciales" o "Funcionales", ya que estas se cargan sin consentimiento.
4. Habilita el bloqueo de scripts: La mayoría de las CMP ofrecen dos métodos de bloqueo. El primero es el bloqueo automático de scripts, en el que el plugin detecta y bloquea los scripts de seguimiento conocidos. El segundo es el bloqueo manual mediante atributos type="text/plain" en las etiquetas script, que la CMP convierte de nuevo a JavaScript ejecutable tras el consentimiento.
5. Prueba la implementación: Abre tu sitio en una ventana de incógnito, rechaza todas las cookies y comprueba la pestaña Red de las herramientas de desarrollador del navegador. No debería haber peticiones a dominios de seguimiento como connect.facebook.net, snap.licdn.com o analytics.tiktok.com. Después acepta las cookies de marketing y verifica que los píxeles se cargan correctamente.

Aquí tienes un ejemplo de cómo funciona el bloqueo manual de scripts con el enfoque del atributo type:

<!-- Antes: el píxel se carga inmediatamente (infracción del RGPD) -->
<script>
  !function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
  fbq('init', 'YOUR_PIXEL_ID');
  fbq('track', 'PageView');
</script>

<!-- Después: el píxel se bloquea hasta que se otorga el consentimiento -->
<script type="text/plain" data-cookie-consent="marketing">
  !function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
  fbq('init', 'YOUR_PIXEL_ID');
  fbq('track', 'PageView');
</script>

Método 3: Google Tag Manager con Consent Mode v2

Si gestionas tus píxeles de seguimiento a través de Google Tag Manager, puedes utilizar Google Consent Mode v2 para supeditar la carga de píxeles al consentimiento del usuario. Esta es la configuración que Google ahora exige para el tráfico de la UE:

1. Configura el estado de consentimiento por defecto: En tu contenedor de GTM, añade una etiqueta de Consent Initialization que establezca el estado de consentimiento por defecto. Para los visitantes de la UE, todos los parámetros de consentimiento deben tener "denied" como valor por defecto:

gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'region': ['EU']
});

2. Conecta tu CMP a GTM: La mayoría de las CMP (Cookiebot, Complianz, Real Cookie Banner) tienen integraciones nativas con GTM que actualizan automáticamente las señales de consentimiento cuando el usuario toma una decisión.
3. Configura los ajustes de consentimiento de las etiquetas: Para cada etiqueta de píxel de seguimiento en GTM, ve a los ajustes de la etiqueta y configura "Ajustes de consentimiento". En "Comprobaciones de consentimiento adicionales", exige el consentimiento de ad_storage y ad_user_data. Esto evita que la etiqueta se dispare hasta que el usuario acepte.
4. Habilita el Consent Mode en cada etiqueta: Para las etiquetas de píxel de Facebook, LinkedIn, TikTok y otras, asegúrate de que respetan las señales de consentimiento. Las etiquetas propias de Google lo hacen automáticamente. Para etiquetas de terceros, puede que necesites añadir activadores basados en el consentimiento.
5. Verifica con el modo de vista previa de GTM: Utiliza el modo de vista previa de GTM para cargar tu sitio. Deberías ver que las etiquetas de seguimiento muestran el estado "No disparada" cuando se deniega el consentimiento, y "Disparada" tras concederlo.

Método 4: Seguimiento del lado del servidor como alternativa más amigable con el RGPD

El seguimiento del lado del servidor es una alternativa cada vez más popular que te da más control sobre qué datos se envían a terceros. En lugar de cargar un píxel en el navegador del visitante, tu servidor envía los datos de conversión directamente a la API de la plataforma:

• Facebook Conversions API: Envía eventos desde tu servidor a Facebook en lugar de utilizar el píxel del navegador. Tú controlas exactamente qué datos se incluyen. Esto elimina por completo las cookies y el JavaScript de terceros.
• Google Tag Manager Server-Side: Un contenedor de GTM del lado del servidor procesa los eventos de seguimiento en tu propio servidor antes de reenviarlos. Puedes eliminar datos personales, anonimizar IPs y controlar el flujo de datos.
• LinkedIn Conversions API: De forma similar al enfoque de Facebook, envía eventos de conversión desde tu servidor.

El seguimiento del lado del servidor no te hace cumplir automáticamente con el RGPD. Sigues necesitando una base legal para procesar los datos y sigues teniendo que informar a los usuarios. Sin embargo, reduce la cantidad de datos compartidos con terceros y elimina el problema de que se establezcan cookies en el navegador sin consentimiento. Funciona bien combinado con una CMP: el píxel del navegador solo se carga tras el consentimiento, mientras que la API del lado del servidor se encarga de la medición básica de conversiones con datos anonimizados.

Dominios habituales de píxeles de seguimiento a vigilar

Al auditar tu sitio, comprueba si hay peticiones salientes a estos dominios en la pestaña Red de tu navegador:

• Facebook/Meta: connect.facebook.net, www.facebook.com/tr/
• LinkedIn: snap.licdn.com, px.ads.linkedin.com
• TikTok: analytics.tiktok.com, business-api.tiktok.com
• Twitter/X: static.ads-twitter.com, analytics.twitter.com, t.co
• Pinterest: ct.pinterest.com, s.pinimg.com
• Snapchat: sc-static.net, tr.snapchat.com
• Google Ads: googleads.g.doubleclick.net, www.googleadservices.com

Si alguno de estos dominios aparece en peticiones de red antes de que el usuario haya dado su consentimiento, tienes un problema con el RGPD que es necesario corregir.

Tras eliminar los píxeles de seguimiento: lista de verificación

1. Ejecuta InspectWP: Analiza tu sitio de nuevo para confirmar que todos los píxeles de seguimiento se han eliminado o están adecuadamente supeditados al consentimiento. La sección del informe RGPD de InspectWP marca cualquier script de seguimiento de terceros que quede.
2. Prueba en modo incógnito: Abre tu sitio en una ventana privada del navegador. Antes de interactuar con cualquier banner de consentimiento, abre las herramientas de desarrollador del navegador y comprueba la pestaña Red. Filtra las peticiones a dominios de seguimiento. No debería haber ninguna.
3. Comprueba las cookies: En las herramientas de desarrollador, ve a Aplicación > Cookies. No deberían existir cookies de seguimiento de plataformas de terceros antes del consentimiento.
4. Prueba el flujo de consentimiento: Acepta el banner de consentimiento y verifica que los píxeles de seguimiento se cargan correctamente. Comprueba que los píxeles aparecen en la pestaña Red y que se establecen las cookies correctas.
5. Verifica en varias páginas: No pruebes solo la página de inicio. Comprueba páginas de producto, entradas de blog, páginas de aterrizaje y cualquier página donde se hayan podido añadir píxeles de seguimiento específicamente.
6. Prueba con extensiones del navegador: Herramientas como "Facebook Pixel Helper" (extensión de Chrome) o "Tag Assistant Legacy" pueden verificar que los píxeles se cargan correctamente tras el consentimiento y no se cargan antes.
7. Actualiza tu política de privacidad: Si has eliminado los píxeles de seguimiento por completo, actualiza tu política de privacidad para reflejarlo. Si utilizas seguimiento supeditado al consentimiento, asegúrate de que tu política de privacidad enumera todos los servicios de seguimiento, su finalidad, los datos que recopilan y los tiempos de vida de las cookies.