iOS App Tracking Transparency (ATT) i consentiment de cookies per a aplicacions híbrides el 2026
Les aplicacions mòbils híbrides —l'arquitectura en què un embolcall natiu prim envolta una vista web que renderitza la major part de la interfície d'usuari— sempre han viscut alhora en dos mons de privadesa. L'embolcall natiu es regeix pel marc App Tracking Transparency (ATT) d'Apple a iOS i per la full de ruta de Privacy Sandbox de Google a Android. La vista web interior es regeix per les mateixes normes de GDPR, ePrivacy, CCPA i CPRA que s'apliquen a qualsevol navegador. Durant cinc anys els editors han intentat cobrir la costura amb adaptadors ad hoc, i durant cinc anys els revisors de l'App Store i els reguladors de la UE han rebutjat el pedaç en una mesura aproximadament igual. El 2026 la pregunta de com ATT i el consentiment de cookies encaixen junts dins d'una aplicació híbrida ja no és una qüestió de fontaneria opcional; és la diferència entre una aplicació que s'envia, monetitza i supera una auditoria de privadesa i una que es retira de la botiga o se li imposa una multa que obliga a reconstruir-la. Aquesta guia explica què controla realment ATT, què deixa deliberadament per al consentiment web, com dissenyar el flux de permisos i consentiment perquè els dos sistemes siguin coherents en lloc de contradictoris, i els patrons d'enginyeria que sobreviuen tant el procés de revisió d'Apple com una auditoria d'un regulador.
Què Governa Realment App Tracking Transparency
ATT és una porta de permisos que Apple aplica a iOS i iPadOS. Quan una aplicació vol accedir a l'Identificador per a Anunciants (IDFA) del dispositiu o realitzar un seguiment que vinculi l'usuari a través d'aplicacions i llocs web pertanyents a altres operadors, ha de cridar requestTrackingAuthorization i mostrar un missatge del sistema que demana a l'usuari que permeti o denegui el seguiment. La resposta de l'usuari és binària, persistent fins que la canvia a Configuració i visible per a l'aplicació mitjançant l'API trackingAuthorizationStatus.
La Definició de Seguiment d'Apple
La guia per a desenvolupadors d'Apple defineix el seguiment de manera específica i estreta: vincular les dades d'usuari o dispositiu recollides de la vostra aplicació amb les dades d'usuari o dispositiu recollides d'aplicacions, llocs web o propietats fora de línia d'altres empreses amb fins de publicitat dirigida o mesurament, o compartir dades d'usuari o dispositiu amb intermediaris de dades. La definició exclou deliberadament l'ús de dades pròpies (first-party) dins de l'aplicació, les analítiques agregades anònimes i el processament per a la prevenció del frau o el compliment legal; aquestes activitats no requereixen un missatge ATT independentment de si l'usuari l'ha concedit.
Què No Fa ATT
ATT no és un sistema de gestió del consentiment en el sentit del GDPR. No recull preferències de finalitat granulars, no registra un rebut de consentiment amb versió de política, no propaga senyals als proveïdors web dins d'un WKWebView i no satisfà el requisit de base jurídica per emmagatzemar o llegir cookies al dispositiu d'un usuari. Un editor que tracta el missatge ATT com tota la seva postura de compliment per a una aplicació híbrida és a una carta de regulador de distància d'una multa, perquè la càrrega de cookies dins de la vista web és un esdeveniment separat en virtut d'ePrivacy i necessita la seva pròpia capa de consentiment.
Com S'Apliquen el GDPR i ePrivacy Dins d'un WKWebView
La vista web dins d'una aplicació híbrida no està màgicament exempta de les normes que s'apliquen a un navegador d'escriptori. En el moment en què WKWebView llegeix o escriu una cookie que no és estrictament necessària, s'activa ePrivacy. En el moment en què WKWebView envia una sol·licitud d'analítica o publicitat que porta dades personals, s'activa el GDPR. El contenidor d'Apple no canvia l'anàlisi; el que canvia és la superfície d'implementació, perquè el bàner de consentiment s'ha de renderitzar dins de la vista web i l'estat de consentiment ha de ser visible per al codi natiu que també pot llegir les mateixes dades.
El Bàner Dins de la Vista Web
El patró estàndard és renderitzar un bàner CMP dins del WKWebView de la mateixa manera que ho faríeu en un lloc web. El bàner estableix cookies a l'emmagatzematge de cookies de la vista web, dispara un esdeveniment d'actualització del consentiment al context JavaScript de la pàgina i actualitza una màquina d'estats de Google Consent Mode v2 que llegeixen les etiquetes d'analítica i publicitat de la pàgina. La implementació no és diferent d'un CMP web normal; el que és diferent és que l'emmagatzematge de cookies s'abasta al WKWebView i no és visible per a altres aplicacions ni per a Safari, cosa que és útil per a l'aïllament però no ho és si l'editor també gestiona un lloc web on l'usuari ja ha donat el consentiment.
Compartir el Consentiment Entre la Vista Web i l'Embolcall Natiu
El problema més difícil és el pont entre el WKWebView i l'embolcall natiu. L'embolcall natiu pot tenir el seu propi SDK d'analítica que llegeix l'IDFA després que l'usuari ha concedit ATT, mentre que la vista web té el seu propi bàner de consentiment que l'usuari pot o no haver acceptat. Si l'usuari concedeix ATT però rebutja el consentiment publicitari a la vista web, el SDK natiu pot llegir l'IDFA però les etiquetes de la vista web no ho han de fer. Si l'usuari denega ATT però accepta el consentiment publicitari de la vista web, el SDK natiu queda bloquejat però les etiquetes de la vista web encara han de disparar-se —tot i que l'identificador basat en IDFA del SDK natiu òbviament no pot passar pel pont. El patró més net és una única font de veritat —el CMP— exposada a través d'un pont JavaScript que l'embolcall natiu llegeix en l'inici de l'aplicació i en cada canvi de consentiment, amb un missatge ATT paral·lel que difereix a la decisió publicitària del CMP en lloc de preguntar de nou.
La Capa CPRA i dels Estats dels EUA
Per als editors dels EUA la imatge té una tercera capa. La CPRA, més el conjunt de lleis estatals que van seguir Virginia, Colorado, Connecticut i Utah, tracten l'IDFA de la mateixa manera que tracten les cookies web; ambdós són informació personal la venda o compartició de la qual activa un dret d'exclusió voluntària. La capçalera Global Privacy Control que envien els navegadors web és el senyal dirigit al consumidor, i el Multi-State Privacy Agreement (MSPA) de l'IAB amb la seva cadena de privadesa dels EUA associada és el senyal dirigit a l'editor. Una aplicació híbrida que s'envia als EUA ha de mostrar un enllaç 'No vengueu ni compartiu la meva informació personal' dins de la pròpia aplicació, redirigir l'exclusió voluntària resultant tant al CMP de la vista web com al SDK de mesurament de l'embolcall natiu, i respectar qualsevol capçalera GPC entrant que arribi a la vista web des d'un enllaç profund.
Infants i COPPA Dins d'Aplicacions Híbrides
Si l'aplicació té una classificació per a nens o hi ha una expectativa raonable d'usuaris menors d'edat, la COPPA als EUA i les disposicions GDPR-K a la UE imposen restriccions addicionals a sobre d'ATT i el consentiment estàndard. L'IDFA no s'ha de sol·licitar en absolut per als comptes infantils, el consentiment publicitari de la vista web s'ha de configurar de manera predeterminada com a denegat, i qualsevol SDK de tercers a l'embolcall natiu s'ha de confirmar que és compatible amb COPPA abans d'enviar-se. La revisió de l'App Store rebutja les aplicacions classificades per a nens que mostren el missatge ATT estàndard, que és un error d'implementació freqüent quan els equips construeixen un únic binari per a tots els públics.
El Patró d'Enginyeria que S'Envia
L'arquitectura d'aplicació híbrida que supera tant la revisió de l'App Store com una auditoria de privadesa de la UE té un petit nombre d'elements repetibles. El bàner CMP dins del WKWebView és la font de veritat per al consentiment publicitari. El missatge ATT es mostra només després que el CMP s'ha resolt, només si l'usuari ha acceptat el consentiment publicitari i només amb un pre-missatge personalitzat que explica el que el seguiment possibilitarà. Un pont JavaScript exposa l'estat de consentiment del CMP a l'embolcall natiu en l'inici de l'aplicació i emet un esdeveniment en cada canvi de consentiment. Els SDK de l'embolcall natiu estan condicionats tant al consentiment publicitari del CMP com a l'estat d'autorització ATT; que qualsevol dels dos denegui la sol·licitud és suficient per bloquejar el SDK.
Pre-Missatges i la Guia d'Apple
Apple permet —i en la pràctica espera— un pre-missatge abans del missatge del sistema ATT que expliqui en veu de l'editor per què l'aplicació vol el seguiment i què obté l'usuari a canvi. Un pre-missatge ben redactat pot augmentar substancialment les taxes d'acceptació. El que Apple no permet és un pre-missatge que intenti eludir el missatge del sistema, que representi malament les conseqüències de la denegació o que condicioni la funcionalitat de l'aplicació a l'autorització de seguiment. Els revisors rebutgen les aplicacions pels tres patrons i cada vegada més per fer servir el pre-missatge per empènyer cap a l'acceptació amb textos manipuladors.
Servidor i SKAdNetwork com a Fallbacks
Quan ATT és denegat o el consentiment publicitari és rebutjat a la vista web, l'editor pot recórrer a SKAdNetwork per a l'atribució —la xarxa que preserva la privadesa d'Apple que lliura dades de conversió sense exposar identificadors d'usuaris individuals. SKAdNetwork no està subjecte a ATT i funciona independentment de la decisió de consentiment de l'usuari, la qual cosa el converteix en el valor predeterminat correcte per al mesurament quan el camí personalitzat és tancat. Les devolucions de servidor a servidor de l'embolcall natiu a un servei d'identitat propietat de l'editor també poden emplenar el buit de mesurament, sempre que les dades siguin genuïnament de primera part i no s'uneixin amb les dades d'altres operadors d'una manera que les torni a la definició de seguiment d'Apple.
Errors Comuns que Provoquen Rebuigs o Auditories
Les aplicacions híbrides que es retiren o es multen tendeixen a fallar de la mateixa manera. El bàner CMP dins del WKWebView es dispara abans que el missatge ATT s'hagi resolt, posant cookies al dispositiu mentre el permís d'Apple continua pendent; una constatació que pot resultar en el rebuig de l'App Store. El missatge ATT es mostra sense un pre-missatge i en l'arrencada en fred, produint taxes baixes d'acceptació i una experiència d'usuari confusa que augmenta la deserció. El SDK d'analítica de l'embolcall natiu llegeix l'IDFA abans que el CMP hagi disparat el seu primer esdeveniment de consentiment, posant dades personals a la xarxa sense una base jurídica clara. L'estat de consentiment de la vista web i l'estat d'autorització de l'embolcall natiu es mantenen en emmagatzematges separats sense sincronització, produint un usuari que ha rebutjat la publicitat a la vista web però el SDK d'anuncis natiu del qual continua disparant-se. Cadascun d'aquests és una correcció d'un o dos dies d'enginyeria i una passada de prova de regressió —però cadascun és també el patró exacte amb el qual comença un auditor o un revisor.
La Conclusió
ATT i el consentiment de cookies no són capes redundants superposades. ATT és una porta de permisos limitada a una API específica d'iOS, i el consentiment de cookies és una base jurídica per al processament de dades dins de qualsevol entorn de classe navegador, inclòs un WKWebView. Una aplicació híbrida necessita totes dues, connectades de manera que l'usuari vegi una decisió coherent en lloc de dos missatges contradictoris, i de manera que l'embolcall natiu i la vista web respectin la mateixa resposta. Els editors que ho fan bé envien aplicacions que superen la revisió, monetitzen de manera fiable i no apareixen mai en el resum d'execució d'un regulador. Els editors que tracten ATT com a resposta total o que deixen que el consentiment de la vista web i l'embolcall natiu divergeixin passaran el 2026 alternant entre reunions de revisió de l'App Store i cartes de resposta a auditories. Construïu el pont una vegada, tracteu el CMP com a font de veritat i deixeu que ATT sigui el bloqueig específic d'iOS sobre una postura de privadesa que ja és coherent a la capa web.