Què és el senyal Global Privacy Control?

El Global Privacy Control és un senyal basat en el navegador que comunica la preferència d'un usuari d'excloure's de la venda o compartició de la seva informació personal. Es transmet de dues maneres: com a capçalera de sol·licitud HTTP (Sec-GPC: 1) enviada amb cada sol·licitud sortint, i com a propietat JavaScript (navigator.globalPrivacyControl) que retorna un booleà. Quan qualsevol d'aquests és present i establert, l'usuari ha expressat una preferència legalment significativa que certes lleis de privadesa us requereixen respectar.

El GPC va ser dissenyat per substituir el fallit experiment Do Not Track (DNT). El DNT no tenia suport legal, la qual cosa significava que els anunciants i editors l'ignoraven sense conseqüències. El GPC és diferent perquè els reguladors de Califòrnia el van escriure directament en la regulació de la CPRA, i les lleis estatals posteriors ho han seguit.

Quins navegadors envien GPC avui?

A partir del 2026, el GPC és compatible de manera nativa o disponible mitjançant extensió en tots els principals navegadors:

• Firefox — natiu, commutable en la configuració de privadesa
• Brave — activat per defecte per a tots els usuaris
• DuckDuckGo — navegador i aplicacions mòbils, activat per defecte
• Safari — disponible mitjançant extensions i configuració de privadesa d'iOS
• Chrome i Edge — disponible mitjançant l'extensió oficial de GPC i diversos complements de privadesa

Les estimacions suggereixen que entre el 8 i el 15 per cent del trànsit web dels EUA ara porta un senyal GPC, amb taxes significativament més altes en els segments demogràfics orientats a la privadesa. Per a un editor de mida mitjana, això representa una part no trivial de l'inventari que no es pot monetitzar mitjançant la segmentació conductual tradicional sense violar els drets d'exclusió voluntària.

Quines lleis de privadesa fan que el GPC sigui legalment vinculant?

El GPC no és un requisit federal únic. La seva aplicabilitat és un mosaic de lleis estatals, cadascuna amb àmbits i sancions lleugerament diferents.

Califòrnia — CPRA i CCPA

Les regulacions finals del Fiscal General de Califòrnia sobre la CCPA requereixen explícitament que les empreses tractin el GPC com un opt-out vàlid de venda i compartició. L'acord de Sephora del 2022, que va resultar en una multa d'1,2 milions de dòlars, va citar específicament el fet de no processar el GPC com a senyal d'opt-out com una de les infraccions principals. L'Agència de Protecció de la Privadesa de Califòrnia ha continuat amb una aplicació agressiva al llarg del 2024 i 2025, amb la gestió del GPC com a focus estàndard d'auditoria.

Llei de Privadesa de Colorado

La CPA requereix que els controladors reconeguin un Mecanisme Universal d'Exclusió (UOOM) a partir de l'1 de juliol del 2024. El Fiscal General de Colorado va designar explícitament el GPC com un UOOM aprovat en les seves especificacions tècniques.

Llei de Privadesa de Dades de Connecticut

La CTDPA va entrar en vigor l'1 de gener del 2025 amb un requisit de reconeixement de UOOM idèntic en esperit al de Colorado. Les empreses que operen a Connecticut han d'honor el GPC per als opt-outs de publicitat dirigida i la venda de dades personals.

Estats addicionals dels EUA el 2026

• Oregon — La Llei de Privadesa del Consumidor d'Oregon reconeix els mecanismes universals d'exclusió
• Texas — La TDPSA requereix el reconeixement universal d'opt-out abans de l'1 de gener del 2025
• Delaware, Nova Jersey, New Hampshire — disposicions UOOM similars en vigor o implantades progressivament
• Montana — efectiva a partir d'octubre del 2024, inclou requisits de reconeixement de GPC

Què passa amb Europa i el GDPR?

El GPC no és explícitament requerit sota el GDPR de la UE o la Directiva sobre privadesa electrònica. No obstant això, alguns reguladors europeus han senyalat informalment que respectar un opt-out clar a nivell de navegador s'alinea amb l'esperit de la llei. A la pràctica, els editors que atenen audiències globals han de tractar un senyal GPC dels usuaris de la UE com, almenys, un senyal fort per suprimir els píxels de seguiment que manquen de base legal.

Com interactua el GPC amb el vostre CMP i el mode de consentiment

La implementació correcta del GPC requereix la integració amb la vostra plataforma de gestió del consentiment, el vostre sistema de gestió d'etiquetes i la vostra infraestructura de seguiment del costat del servidor. Una integració simple que només bloqueja les galetes del costat del client no satisfarà la majoria dels requisits de la llei estatal, que s'apliquen també a l'intercanvi de dades de servidor a servidor.

Els quatre passos d'un flux GPC compatible

1. Detecteu el senyal en la càrrega de la pàgina llegint navigator.globalPrivacyControl i, al costat del servidor, inspeccionant la capçalera de sol·licitud Sec-GPC.
2. Suprimiu el bàner per als residents dels EUA on el GPC actua com a opt-out previ, o mostreu el bàner amb les exclusions voluntàries rellevants ja aplicades.
3. Propageu l'opt-out al vostre gestor d'etiquetes, la configuració del mode de consentiment, els punts finals de seguiment del costat del servidor i qualsevol associació per compartir dades (xarxes publicitàries, SSP, proveïdors d'analítiques).
4. Registreu el senyal com a artefacte de compliment amb marca de temps, identificador d'usuari quan sigui aplicable i els opt-outs específics que s'han aplicat.

GPC i Google Consent Mode v2

Google Consent Mode v2 va introduir dos senyals que s'apliquen clarament al GPC: ad_user_data i ad_personalization. Quan es detecta un senyal GPC, tots dos s'han d'establir a denied durant la sessió de l'usuari. Això garanteix que les dades que arriben a les propietats de Google es reduïn al modelatge sense galetes en lloc d'utilitzar-se per a publicitat personalitzada. No propagar el GPC al mode de consentiment és una de les llacunes d'implementació més habituals que veiem en les auditories d'editors.

API del costat del servidor i de mesurament

El GPC s'aplica a tot el processament, no només a les galetes del navegador. Si la vostra pila utilitza Meta Conversions API, TikTok Events API o el Measurement Protocol de Google, aquestes crides també han de respectar l'opt-out. Un patró d'error habitual: el bàner del costat del client bloqueja el Meta Pixel, però una integració del costat del servidor continua disparant esdeveniments amb dades de correu electrònic encriptades. Aquesta és una infracció de manual del dret de la CCPA a l'exclusió de la venda.

Errors habituals d'implementació

Els errors de compliment de GPC més freqüents que veiem durant les auditories d'editors cauen en categories previsibles.

Error 1: tractar el GPC com a exclusió de galetes únicament

Molts CMP només desactiven les galetes no essencials quan es detecta el GPC. Però les lleis estatals defineixen «venda» i «compartició» per incloure les transferències de dades del costat del servidor, la creació de perfils de programes de fidelitat i la sindicació de dades de primera part. Si el vostre bàner de galetes respecta el GPC però el vostre backend continua enviant perfils d'usuaris a un intermediari de dades, no esteu en compliment.

Error 2: ignorar el GPC per als usuaris autenticats

Si un usuari ha iniciat sessió, el senyal GPC s'aplica igualment. Alguns editors tracten les relacions autenticades com una substitució implícita. Els reguladors no hi estan d'acord. L'exclusió voluntària s'estén a les exportacions de CRM, l'intercanvi de llistes de correu electrònic i les càrregues de públic per a retargeting.

Error 3: sense lògica d'abast geogràfic

El GPC és ara legalment vinculant només per als usuaris dels estats amb lleis d'exclusió. Si l'apliqueu globalment com a bloqueig dur, perdereu la monetització del trànsit de jurisdiccions on no té cap efecte legal. Una implementació adequadament delimitada utilitza la geolocalització IP com a filtre de primera passada, aplica el GPC als residents dels estats on és vinculant i mostra un flux de consentiment normal en altres llocs.

Error 4: oblidar de confirmar l'opt-out

Algunes lleis, particularment a Califòrnia, esperen que els usuaris rebin confirmació que el seu opt-out ha estat processat. Un petit avís — «Hem detectat un senyal Global Privacy Control i us hem exclòs de la venda de la vostra informació personal» — és un artefacte de compliment de baix cost amb un valor regulador enorme.

Impacte en els ingressos publicitaris

L'impacte dels ingressos del GPC depèn en gran mesura de la vostra combinació de trànsit, l'estratègia de monetització i de com la vostra pila gestiona l'inventari sense galetes. En els editors amb els quals treballem, els usuaris amb senyal GPC solen monetitzar al 40 al 70 per cent dels usuaris amb consentiment complet quan se'ls serveix amb anuncis contextuals no personalitzats. Els editors amb estratègies sòlides de dades de primera part, licitació d'encapçalaments del costat del servidor i socis de demanda diversificats redueixen encara més aquesta diferència.

La resposta incorrecta al GPC és ignorar-lo, perquè el desavantatge regulador — multes de milions de dòlars, accions col·lectives civils en virtut del dret d'acció privada de la CCPA i danys reputacionals — eclipsa la pèrdua de RPM a curt termini. La resposta correcta és construir un circuit de monetització sense galetes que tracti els usuaris de GPC com a audiència contextual premium en lloc d'inventari perdut.

Llista de verificació d'accions per als editors el 2026

• Auditeu el vostre CMP per confirmar que detecta tant navigator.globalPrivacyControl com la capçalera HTTP Sec-GPC
• Mapeeu la propagació del GPC a Google Consent Mode v2, Meta Conversions API i qualsevol punt final de seguiment del costat del servidor
• Apliqueu l'abast geogràfic perquè el GPC es tracti com a vinculant als estats dels EUA aplicables i com a senyal fort en altres llocs
• Registreu cada detecció de GPC i els opt-outs aplicats, conserveu els registres durant el temps requerit per la llei aplicable (normalment 24 mesos)
• Mostreu un missatge de confirmació visible quan es detecti i es respecti el GPC
• Reviseu la vostra pila d'anuncis per a ingressos alternatius sense galetes: segmentació contextual, audiències definides pel venedor, ID de tracte amb paràmetres contextuals
• Incloeu la gestió del GPC en la vostra revisió anual de la política de privadesa i DPIA quan sigui aplicable

El GPC no desapareixerà. La trajectòria és clara: més estats dels EUA adoptaran requisits d'exclusió universal, els navegadors continuaran enviant GPC per defecte i els reguladors continuaran tractant el fet de no respectar el senyal com una prioritat d'aplicació de primer nivell. Els editors que integrin la gestió del GPC en el nucli de la seva pila de consentiment i monetització el 2026 estaran ben posicionats per a la pròxima onada de legislació sobre privadesa. Els que el tractin com una cosa secundària es trobaran defensant accions coercitives que haurien pogut evitar-se amb uns quants dies de treball d'enginyeria.