La Llei de Supressió de Califòrnia i la desinscripció universal: guia de compliment per a editors el 2026
La Llei de Supressió de Califòrnia (SB 362) és la norma de regulació d'intermediaris de dades dels EUA amb més repercussió operativa des del CCPA original. Signada com a llei l'octubre del 2023 i desplegada per etapes durant el 2025 i fins al 2026, la Llei crea un registre de supressió centralitzat gestionat per l'estat que permet a un consumidor californià presentar una única sol·licitud que es propaga a tots els intermediaris de dades registrats que operen a l'estat. El 2026, la California Privacy Protection Agency (CPPA) té el registre operatiu, ha registrat aproximadament cinc-cents intermediaris de dades sota l'amenaça de sancions substancials, i ha emès les normes operatives que determinen amb quina freqüència els intermediaris han de consultar el registre per detectar noves sol·licituds de supressió, com interactuen aquestes sol·licituds amb les dades pròpies dels editors, i com el senyal de desinscripció universal del capçal Global Privacy Control s'insereix en el nou règim. Per als editors —especialment aquells el model de monetització dels quals depèn de la resolució d'identitat, l'ampliació d'audiència, el mesurament programàtic o qualsevol intercanvi de dades amb un intermediari registrat— la Llei de Supressió no és un problema d'intermediaris de dades de rereguarda. És el mecanisme pràctic amb el qual els consumidors californians podran, per primera vegada, sortir de tot l'ecosistema de dades comercials amb un sol clic. Aquesta guia analitza el que la Llei exigeix realment, el que han de fer els editors per mantenir el compliment, i com ha d'evolucionar l'arquitectura de CMP i pila publicitària per gestionar el nou patró d'atricció d'identitat que produeix el registre.
Què fa realment la Llei de Supressió
La Llei de Supressió és una addició estructural al règim de registre d'intermediaris de dades de Califòrnia, vigent des del 2020. Si el marc original simplement obligava els intermediaris a registrar-se anualment a l'estat i a divulgar les seves categories d'informació personal, la Llei de Supressió hi afegeix un mecanisme de supressió centralitzat amb terminis estrictes, obligacions d'auditoria i sancions per incompliment.
El Registre de Supressió Centralitzat
El registre és una plataforma operada per la CPPA on els consumidors californians presenten una única sol·licitud de supressió que es propaga automàticament a tots els intermediaris de dades registrats. Els intermediaris han de consultar el registre almenys cada quaranta-cinc dies, identificar les noves sol·licituds que coincideixin amb persones dels seus conjunts de dades i suprimir els registres coincidents dins el termini que especifiquen les regulacions. Els consumidors no necessiten saber quins intermediaris guarden les seves dades: el registre gestiona la difusió.
Qui compta com a intermediari de dades
La Llei defineix un intermediari de dades com una empresa que recull i ven intencionadament informació personal sobre un consumidor amb qui l'empresa no té una relació directa. La definició és més estreta del que sembla: els editors de primera part que venen la seva pròpia audiència no són intermediaris, els processadors que gestionen dades en nom d'un responsable no són intermediaris, però la definició abasta els proveïdors de gràfics d'identitat, les plataformes de publicitat entre contextos, els serveis de cerca de persones i una gran part de la capa d'ampliació d'audiència per la qual els editors encaminen les dades programàtiques.
El Registre i la Llista Pública
Cada intermediari cobert ha de registrar-se anualment, pagar una taxa i aparèixer en una llista pública que manté la CPPA. El 2026, la llista és el punt de referència pràctic per als editors que auditen els seus fluxos de dades descendents: qualsevol proveïdor de la llista és un intermediari de dades als efectes de la Llei de Supressió, i les obligacions contractuals de l'editor amb aquell proveïdor han de reflectir la realitat de la propagació de la supressió.
El cicle de quaranta-cinc dies i les seves conseqüències operatives
La norma operativa central és la cadència del cicle de supressió. Cada quaranta-cinc dies, cada intermediari registrat ha de consultar el registre i suprimir tots els registres coincidents. La cadència crea un nou tipus d'atricció d'identitat per a la qual els editors han d'estar preparats.
Com decauen les audiències amb el cicle
Una audiència construïda sobre l'enriquiment amb dades d'intermediaris es reduirà aproximadament cada sis setmanes a mesura que els consumidors californians que han presentat sol·licituds de supressió es propaguen a través de la xarxa d'intermediaris. Els editors que realitzen mesuraments als EUA basats en la resolució d'identitat —segmentació programàtica d'audiència, finestres d'atribució que depenen d'identificadors entre llocs, models de similitud que usen llavors proporcionades per intermediaris— veuran com les mides d'audiència a Califòrnia baixen amb un patró de dents de serra: cada cicle elimina un tram i els visitants incrementals el tornen a omplir fins al cicle següent.
La Reidentificació Està Prohibida
La Llei prohibeix explícitament als intermediaris reidentificar un consumidor que ha estat suprimit, fins i tot si l'intermediari obté posteriorment les mateixes dades d'una font diferent. La prohibició tanca la llacuna evident i significa que els editors no poden recórrer a les seves pròpies dades de primera part per reinserir consumidors suprimits en audiències encaminades pels intermediaris. La supressió ha de ser duradora i el programa d'auditoria del regulador és dissenyat per detectar patrons de reidentificació.
Les Dades de Primera Part de l'Editor Queden Fora del Cicle
Les dades de primera part pròpies de l'editor —usuaris registrats, subscriptors de butlletí, membres de programes de fidelitat— no estan subjectes al cicle de supressió de la Llei de Supressió perquè l'editor no és un intermediari de dades per a aquests registres. L'editor continua subjecte als drets de supressió del CCPA i el CPRA, que són separats. Els dos règims poden interaccionar: una supressió en virtut de la Llei de Supressió a nivell d'intermediari pot deixar intacte el registre de primera part de l'editor, i l'editor ha de continuar atenent la sol·licitud de supressió separada del consumidor en virtut del CCPA a través del propi sistema de recepció de l'editor.
El Senyal Global Privacy Control en el Nou Món
La Llei de Supressió s'intersecta amb el capçal Global Privacy Control (GPC) que envien els navegadors i les extensions de privacitat per indicar que l'usuari ha establert una preferència de desinscripció universal. Les regulacions de la CPPA confirmen que els editors i els intermediaris han de respectar el GPC com a desinscripció vàlida del CCPA, i el registre centralitzat de la Llei de Supressió afegeix un camí paral·lel per al mateix resultat.
Dos Senyals, Un Resultat
Un consumidor californià té dues maneres de sortir de l'ecosistema de dades comercials: enviar el capçal GPC des de cada navegador que utilitza, o presentar una única sol·licitud al registre de la Llei de Supressió. Els dos camins produeixen resultats equivalents per a la majoria de casos d'ús però difereixen en abast. El GPC governa la venda i la compartició contínues a cada lloc que visita el consumidor. El registre suprimeix els registres existents en poder dels intermediaris. Els editors han de tractar tots dos com a senyals autoritatius, i el CMP s'ha de configurar per reconèixer qualsevol dels dos.
El Paper del CMP en Visibilitzar Tots Dos Camins
El CMP conforme per a audiències californianes el 2026 mostra l'estat de respecte al GPC (el visitant té el GPC activat, la desinscripció és activa), l'enllaç de desinscripció propi de l'editor (el consumidor pot rebutjar la venda i la compartició específicament en aquest lloc) i un indicador clar cap al registre de la CPPA per als consumidors que volen el resultat de supressió dels intermediaris. L'arquitectura no és tècnicament exigent —tres controls a la interfície de consentiment en lloc d'un— però la redacció importa i l'actuació de la CPPA ha estat activa en relació amb els camins de desinscripció enganyosos o ocults.
El Que Han de Fer els Editors
La Llei de Supressió és una norma dirigida als intermediaris, no als editors, però les conseqüències operatives per als editors són reals i requereixen canvis específics en l'arquitectura de consentiment i dades.
Auditar la Pila de Proveïdors Contra el Registre d'Intermediaris
Cada proveïdor de la pila publicitària i analítica de l'editor s'ha de comprovar de forma creuada amb la llista pública d'intermediaris de la CPPA. Els proveïdors de la llista estan subjectes al règim de la Llei de Supressió i els contractes de l'editor amb aquells proveïdors han de reflectir la propagació de la supressió, la conservació dels registres d'auditoria i la cadència del cicle de quaranta-cinc dies. La majoria dels principals proveïdors de resolució d'identitat i alguns SSP grans ja estan a la llista; l'auditoria no és dolorosa però sí que cal fer-la almenys anualment.
Actualitzar l'Avís de Privacitat i la Interfície de Consentiment
L'avís de privacitat de l'editor ha d'explicar el camí del registre de la Llei de Supressió al costat del dret de supressió existent del CCPA, amb un enllaç directe al registre de la CPPA. La interfície de consentiment ha de mostrar l'estat de respecte al GPC quan el visitant té el capçal activat, i els controls de desinscripció s'han de dissenyar amb la mateixa prominència que els controls d'acceptació: les decisions d'actuació del fiscal general durant el 2024 i el 2025 van fer explícita la prova dels patrons foscos.
Planificar les Dents de Serra d'Audiència
Els equips de mesurament i segmentació d'audiència necessiten saber que les mètriques d'audiència de Califòrnia seguiran un patró de dents de serra de sis setmanes impulsat per la cadència del cicle. Els quadres de comandament i els models de cadència d'oferta s'han d'ajustar al patró en lloc de tractar cada caiguda com un error. Els editors que realitzen atribució rigorosa també haurien de modelar el camí de supressió d'intermediaris com a font d'atricció separada, de manera que les xifres posteriors al cicle puguin conciliar-se nítidament.
Errors Habituals de la Llei de Supressió que Generen Conclusions
La primera onada d'actuació de la CPPA en virtut de la Llei de Supressió durant el 2025 ha produït un patró clar de conclusions per part dels editors. L'avís de privacitat de l'editor descriu el camí de desinscripció del CCPA però mai no menciona el registre de la Llei de Supressió. El bàner de consentiment respecta el GPC per a venda i compartició però no propaga el senyal al sistema de recepció de supressió de primera part de l'editor. L'editor contracta amb un intermediari registrat i mai no actualitza el contracte per reflectir les obligacions de propagació de supressió de la Llei de Supressió. El CMP mostra un panell de gestió de preferències que amaga la desinscripció tres clics per sota d'un botó més fosc que l'acceptació total. Cada un d'aquests és una correcció de documentació o de UX i no un canvi d'arquitectura profund, però és exactament el que la CPPA empra per obrir una investigació.
La Conclusió
La Llei de Supressió dóna als consumidors californians un únic botó per sortir de l'ecosistema de dades comercials i, el 2026, el registre és operatiu, la llista d'intermediaris és pública i el programa d'aplicació és actiu. Per als editors, les implicacions són reals però acotades: la Llei de Supressió no obliga l'editor a fer res dràstic, però sí que l'obliga a saber quins proveïdors descendents són intermediaris, a actualitzar l'avís de privacitat i la interfície de consentiment per mostrar el nou camí, a respectar el GPC de manera consistent i a planificar les dents de serra d'audiència que genera el cicle de quaranta-cinc dies. Res d'això és tècnicament difícil. Tot és operativament específic. Els editors que van fer una auditoria neta el 2024 i el 2025 ara executen una arquitectura consolidada; els editors que van tractar la Llei de Supressió com un problema d'intermediaris de dades que no els afectava estan passant el 2026 responent cartes i revisant avisos de privacitat sota el termini del regulador.