Què és el MSPA — i el que no és

El MSPA és un marc privat basat en contractes publicat per l'IAB. No és una llei i no substitueix les lleis estatals. En canvi, és un acord multilateral en el qual els participants — editors, agències, xarxes publicitàries, SSP, DSP i proveïdors de dades — s'adhereixen per poder fer afirmacions legals coherents sobre com flueix la informació personal a través de la publicitat programàtica. Quan tothom en una cadena signa el mateix contracte, els proveïdors aigües avall no han de negociar cinquanta acords bilaterals de processament de dades per gestionar una sola sol·licitud d'oferta.

Penseu en el MSPA com tres coses alhora:

• Un contracte que flueix automàticament aigües avall quan un signant passa dades a un altre signant.
• Un vocabulari per expressar les opcions dels usuaris mitjançant cadenes codificades per GPP, incloent-hi les exclusions de venda, compartició, publicitat dirigida i processament de dades sensibles.
• Un marc d'assignació de riscos que assigna cada signant a un de tres rols — Empresa Coberta, Proveïdor de Serveis/Processador o Tercera Part — i les obligacions associades a cadascun.

El que el MSPA no és: un substitut del vostre avís de privacitat, un reemplaçament del consentiment directe de l'usuari quan sigui necessari, o una garantia de compliment amb cap llei estatal específica. És una eina que, usada correctament, fa que el compliment amb múltiples lleis estatals sigui operativament viable. Usada incorrectament — per exemple, senyalitzant la participació mentre es continua compartint dades després d'una exclusió — amplia la vostra responsabilitat en lloc de reduir-la.

Qui ha de prestar-hi atenció: els tres rols del MSPA

Abans de signar res, identifiqueu quin rol exerciu realment. La majoria dels editors es sorprenen en descobrir que porten més d'un barret depenent del flux de dades.

Empresa Coberta

Sou una Empresa Coberta si determineu els fins i els mitjans del processament d'informació personal sobre un usuari — normalment l'editor que opera el lloc web o l'aplicació que l'usuari visita. Com a Empresa Coberta, sou responsable de recollir el consentiment, mostrar avisos, respectar les exclusions i configurar el senyal GPP en el qual confien els proveïdors aigües avall. La càrrega orientada a l'usuari recau sobre vosaltres.

Proveïdor de Serveis o Processador

Sou un Proveïdor de Serveis quan processeu informació personal en nom d'una Empresa Coberta sota contracte i només per a finalitats limitades i permeses. La majoria de proveïdors d'analítiques, proveïdors d'allotjament i plataformes de gestió del consentiment operen en aquest carril. El MSPA imposa restriccions: cap venda, cap publicitat de comportament creuada per compte propi i normes de retenció i supressió estrictament definides.

Tercera Part

Sou una Tercera Part quan rebeu informació personal d'una Empresa Coberta i l'useu per a les vostres pròpies finalitats — la majoria de SSP, DSP, proveïdors d'identitat i intermediaris de dades hi cauen. Les Terceres Parts tenen les obligacions contractuals més pesades, incloent-hi la gestió directa dels drets dels usuaris i els deures de flux cap avall quan comparteixen dades amb els seus propis socis.

El MSPA i la Global Privacy Platform (GPP)

El MSPA no existeix en un buit. És la capa contractual; GPP és la capa tècnica de senyalització. La Global Privacy Platform de l'IAB Tech Lab codifica les opcions dels usuaris en una sola cadena que viatja amb les sol·licituds d'oferta a través del protocol OpenRTB. Per a la senyalització als EUA, GPP porta cadenes de secció per a cada estat amb una llei de privacitat exhaustiva — per exemple, USCA (Califòrnia), USCO (Colorado), USVA (Virgínia), USCT (Connecticut), USUT (Utah) i la cadena US National general per als estats sense secció dedicada.

El MSPA indica a la vostra CMP quins camps configurar dins d'aquestes seccions GPP per reclamar la cobertura. Els camps més importants que els editors veuran i configuraran inclouen:

• MspaCoveredTransaction — es configura en Sí quan l'editor afirma que la sol·licitud d'oferta està coberta pel marc MSPA.
• MspaOptOutOptionMode — indica si a l'usuari se li ha donat una opció d'exclusió clara tal com exigeixen les normes de transparència del MSPA.
• MspaServiceProviderMode — es configura quan els proveïdors aigües avall han de tractar les dades exclusivament com a proveïdors de serveis.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — els indicadors de consentiment granulars que llegeixen els pujadors d'ofertes per decidir el que poden fer amb la impressió.
• SensitiveDataProcessing — una matriu d'elements múltiples que senyalitza les opcions de l'usuari per a l'origen racial, les creences religioses, la salut, l'orientació sexual, la ciutadania, la geolocalització precisa i altres categories sensibles definides per la llei estatal.

Si la vostra CMP configura MspaCoveredTransaction = Sí però l'editor no ha signat realment el contracte MSPA, heu fet una afirmació falsa en la qual confiarien els signants aigües avall. Això és un camí ràpid cap a una disputa contractual i, depenent de l'estat, una queixa reguladora.

Dades Sensibles: La Trampa que la Majoria dels Editors Passen per Alt

Cada llei de privacitat estatal integral dels EUA aprovada des de Califòrnia ha ampliat la definició d'informació personal sensible, i el MSPA les inclou en un camp GPP unificat. Les categories solen incloure:

• Identificadors governamentals (número de la Seguretat Social, permís de conduir, passaport).
• Credencials de compte i informació financera.
• Geolocalització precisa, generalment inferior a 1.750 peus.
• Origen racial o ètnic, creences religioses, diagnòstics de salut mental o física.
• Vida sexual i orientació sexual.
• Ciutadania i estat migratori.
• Dades genètiques i biomètriques usades per identificar una persona.
• Dades relatives a un menor de 13 anys conegut — i en alguns estats, menor de 16 amb proteccions addicionals.

Alguns estats requereixen consentiment opt-in per processar dades sensibles, mentre que d'altres permeten el processament amb un dret d'exclusió. La codificació GPP del MSPA us permet expressar qualsevol dels dos, però la vostra CMP ha de saber quin demanar en funció de l'estat de l'usuari. La classificació errònia de les dades sensibles — per exemple, tractar la navegació per contingut de salut com a dades de comportament ordinàries — és el mode d'error únic més comú identificat pels fiscals generals estatals en les actuacions d'aplicació de 2024–2025.

Crear un Flux de Consentiment Llest per al MSPA

Implementar el MSPA al vostre lloc o aplicació és un problema de coordinació entre equips legals, d'enginyeria i d'operacions publicitàries. El treball es divideix aproximadament en cinc fluxos de treball.

1. Signeu el MSPA i Manteniu el Vostre Estat de Signant

El MSPA és un contracte real que l'assessor jurídic ha de revisar i executar. Declarareu el rol o els rols en els quals opereu, els estats dels EUA on feu negocis i les categories de dades que processeu. Renoveu anualment i actualitzeu el portal de signants de l'IAB Tech Lab sempre que canviï el vostre rol o jurisdicció.

2. Configureu la Vostra CMP per a la Lògica Multiestatal

Un banner únic només per a CCPA ja no és suficient. La vostra CMP ha de detectar l'estat de l'usuari — normalment mitjançant geolocalització per IP amb un mecanisme de reserva de privacitat — i mostrar els avisos, els enllaços i els controls d'exclusió adequats per a aquella jurisdicció. FlexyConsent i altres CMP modernes certificades per Google inclouen plantilles multiestatals que mapegen estat per estat amb les cadenes de secció GPP correctes.

3. Connecteu les Cadenes GPP al Vostre Ad Stack

La cadena GPP s'ha d'inserir en cada sol·licitud d'oferta OpenRTB originada d'un usuari dels EUA. Per als usuaris de Google Ad Manager, això significa activar el suport GPP a la configuració de xarxa; per als usuaris de Prebid, significa instal·lar els mòduls gppControl_usnat i per estat i confirmar que l'adaptador consentManagement reenvia la cadena codificada. Proveu-ho usant el descodificador GPP de l'IAB Tech Lab per verificar el viatge d'anada i tornada de la CMP a la sol·licitud d'oferta.

4. Respecteu el Senyal del Global Privacy Control (GPC)

La majoria de lleis estatals — Califòrnia, Colorado, Connecticut i una llista creixent — requereixen respectar un senyal GPC a nivell de navegador com a exclusió vàlida. El MSPA espera que els signants detectin GPC i preconfigurin els camps SaleOptOut, SharingOptOut i TargetedAdvertisingOptOut, fins i tot abans que l'usuari toqui el banner. Si la vostra CMP no pot detectar GPC i actuar-hi, esteu fora de compliment independentment de la pertinença al MSPA.

5. Auditeu els Proveïdors Aigües Avall

La lògica de flux aigües avall del MSPA només funciona si els vostres proveïdors també són signants. Abans d'enviar dades a cap SSP, DSP o soci de dades, verifiqueu el seu estat de signant al portal de l'IAB Tech Lab. Els proveïdors no signants s'han de treure del vostre ad stack per al trànsit dels EUA o bé cobrir-los amb DPA bilaterals separats que reflecteixin les condicions del MSPA.

Errors d'Implementació Habituals

Diversos patrons de fallada apareixen de manera repetida en les auditories d'editors:

• Senyalitzar la cobertura del MSPA sense signar. Configurar MspaCoveredTransaction = Sí a la cadena GPP mentre l'entitat legal de l'editor no ha executat el MSPA exposa l'editor a reclamacions de falsa representació dels signants aigües avall que han confiat en el senyal.
• Oblidar Texas, Oregon i Montana. Els editors configurats per al panorama original de cinc estats ometen les lleis que van entrar en vigor el 2024 i el 2025. Cadascuna té els seus propis activadors d'exclusió; el MSPA les cobreix, però només si la lògica de detecció d'estats de la vostra CMP les inclou.
• Ignorar els senyals de dades sensibles en contingut de notícies i estil de vida. Un lector d'un article de salut, religió o orientació LGBTQ pot estar processant dades sensibles de manera implícita. Feu una auditoria de contingut i configureu substitucions a nivell de categoria a la CMP.
• Tractar el GPC com a orientatiu. El regulador de Califòrnia va aclarir el 2024 que ignorar el GPC és una infracció per violació. El MSPA no us protegeix d'això — depèn de vosaltres respectar el GPC.
• Cadenes GPP obsoletes emmagatzemades a la memòria cau de la vora. L'emmagatzematge a la memòria cau de pàgines al CDN o al service worker pot servir a un usuari una cadena GPP obsoleta d'una sessió anterior. Desactiveu l'emmagatzematge a la memòria cau a l'extrem del consentiment i afegiu un pas de recuperació nova en el canvi de consentiment.

Com Afecta el MSPA als Ingressos Publicitaris

Els editors que implementen el MSPA correctament solen veure caigudes modestes d'ingressos a curt termini seguides d'estabilització, mentre que les implementacions descurades o restringeixen excessivament les ofertes o exposen l'editor al risc d'aplicació. Les variables que mouen el dial:

• Taxes d'exclusió — En estats amb enllaços d'exclusió destacats, entre un 5 i un 15% dels usuaris sol excloure's de la venda o la compartició. Els preus de les ofertes en impressions excloses solen caure un 30–60% perquè el targeting de comportament no està disponible.
• Classificació de contingut sensible — Una classificació errònia de contingut ordinari com a sensible farà desaparèixer la demanda. Sigueu conservadors i precisos per categoria.
• Combinació de socis de header bidding — Els socis no signants del MSPA que heu de desactivar per al trànsit dels EUA redueixen la vostra subhasta. Substituïu-los per signants en lloc d'executar amb una demanda menor.
• Etiquetatge del costat del servidor — Un contenidor del costat del servidor que llegeix la cadena GPP i activa etiquetes condicionalment és la manera més neta de mantenir l'analítica i el consentiment sincronitzats.

El Que Ve Ara: 2026 i Més Enllà

El MSPA és un acord viu. L'IAB l'actualitza cada any o dos a mesura que noves lleis estatals, orientacions dels fiscals generals i propostes federals remodelingen el panorama. Els temes a seguir el 2026:

• Una possible llei federal de privacitat que preemptaria parcialment els règims estatals — el MSPA inclou lògica de reserva de preempció, de manera que els signants no quedaran atrapats.
• Expansió de GPP per cobrir la senyalització específica de salut sota la Llei My Health My Data de Washington i lleis anàlogues.
• Aplicació més estricta de les normes de patrons foscos als fluxos d'exclusió per part de l'Agència de Protecció de la Privacitat de Califòrnia i el Fiscal General de Texas.
• Integració amb les divulgacions de formació d'IA i models de gran llengua que diversos parlaments estatals estan debatent.

Els editors que tracten la implementació del MSPA com un projecte únic quedaran enrere. Tracteu-lo com una higiene operativa contínua, de propietat conjunta per part de l'equip legal, d'operacions publicitàries i d'enginyeria de producte, i revisada trimestralment. Els editors que guanyen en compliment multiestatal als EUA no són els que tenen més advocats — sinó els que la seva CMP, ad stack i registres d'auditoria expliquen la mateixa història quan un regulador pregunta.

La Conclusió

El MSPA és la resposta pràctica a un panorama de privacitat als EUA fragmentat. No aprovarà lleis per vosaltres, però donarà al vostre flux d'ofertes, als vostres proveïdors i al vostre equip legal un únic llenguatge comú per a les exclusions, les dades sensibles i les obligacions aigües avall. Combineu-lo amb una CMP conscient de l'estat, una senyalització GPP precisa i una gestió disciplinada de proveïdors, i passareu menys temps discutint sobre jurisdicció i més temps monetitzant les impressions que teniu permís de monetitzar. Aquell és l'únic camí sostenible per superar el 2026 i l'onada de lleis estatals que s'hi encua darrere.