Consentiment en el flux de puja programàtica el 2026: La guia de SSP i DSP per a TCF, pèrdua de senyal i la bretxa de privacitat de les subhastes
Cada vegada que un usuari carrega una pàgina amb inventari programàtic, s'envia una sol·licitud de puja a desenes de plataformes de demanda, que normalment porta l'adreça IP de l'usuari, un identificador de dispositiu o galeta, l'URL de la pàgina, senyals de categoria de contingut, informació de geolocalització i, en moltes configuracions de subhasta actuals, una cadena de consentiment TCF. Cadascuna d'aquestes sol·licituds de puja és una transmissió de dades personals entre controladors. Multipliqueu pels centenars de milers de milions d'impressions diàries que flueixen per les principals plataformes de subministrament i el flux de puja programàtica es converteix en un dels fluxos de dades personals més grans i opacs d'internet. Durant la major part de la dècada, el sector va operar amb la suposició que el marc IAB TCF era suficient per cobrir els requisits reguladors. Aquesta suposició ha anat erosionant-se durant el 2024 i el 2025. El cas de l'autoritat belga de protecció de dades contra IAB Europe ha produït obligacions en cascada. Diverses altres autoritats europees de protecció de dades han obert les seves pròpies investigacions sobre els fluxos de dades de les subhastes. Les orientacions de l'EDPB del 2025 van deixar clar que la transmissió de dades personals en el moment de la subhasta sense una base jurídica vàlida no es pot reparar únicament amb la cadena TCF. I el 2026 és l'any en què la bretxa de privacitat de les subhastes deixa de ser tolerada en la pràctica i comença a ser executada. Aquesta guia recorre la realitat del flux de puja del 2026, on es troba realment l'exposició legal, com haurien de pensar els SSP, els DSP i els editors sobre la imatge combinada de senyal i compliment, i com és el manual de treball del 2026 per als operadors que volen mantenir-se en el costat correcte dels reguladors sense col·lapsar el rendiment.
Què conté realment el flux de puja programàtica
Entendre el panorama de compliment comença per ser honests sobre com és una sol·licitud de puja el 2026.
La càrrega útil d'OpenRTB
Una sol·licitud de puja típica d'OpenRTB 2.6 conté: l'adreça IP de l'usuari (o IP amb hash en algunes configuracions), un identificador d'usuari comprador o un identificador basat en galetes, el tipus de dispositiu i el sistema operatiu, un senyal de geolocalització (normalment fins al nivell de ciutat o codi postal), l'URL de la pàgina, la taxonomia de categories de contingut, el format i les dimensions de l'inventari, el preu de sòl, i, de manera crítica, els senyals GDPR i GPP juntament amb qualsevol cadena de consentiment i propòsits aplicables.
La capa d'enriquiment
La majoria de SSP enriqueixen la càrrega útil bàsica d'OpenRTB amb dades de públic: segments de públic proporcionats per l'editor, identificadors de primera part com correus electrònics amb hash, identificadors universals com RampID o ID5 on estiguin disponibles, senyals contextuals derivats del contingut de la pàgina, prediccions de visibilitat i classificacions de seguretat de marca. Cada enriquiment és un atribut de dades personals addicional que surt del control directe de l'editor.
El problema del fan-out
Una sola impressió pot distribuir-se a 50-200 DSP depenent de la configuració de la subhasta. Cada DSP rep la sol·licitud de puja completa, inclosos els atributs de dades personals. La majoria no guanyen la subhasta. La majoria conserven les dades de la sol·licitud d'alguna manera per a l'entrenament de models de puja, informes o detecció de frau, de vegades durant períodes prolongats. Aquest fan-out és el nucli del que els reguladors anomenen bretxa de privacitat de les subhastes: les dades personals es transmeten a centenars d'organitzacions per a la majoria d'impressions, i molt poques d'aquestes organitzacions compren res en la impressió.
El problema de la base jurídica
El marc TCF va ser dissenyat per portar un senyal de consentiment a través del flux de puja i, per a la majoria de propòsits, el marc funciona. El problema és que el consentiment és una base jurídica i diversos components del procés de subhasta poden no encaixar nítidament dins de la llista de propòsits de consentiment tal com s'estructura actualment.
La cascada de l'autoritat belga de protecció de dades
La constatació de l'autoritat belga de protecció de dades del 2022 contra IAB Europe, confirmada fins al 2024 en qüestions substancials, va establir que IAB Europe és un responsable del tractament respecte de l'arquitectura TCF i que la cadena TC és dada personal. IAB Europe ha estat treballant en un pla d'acció que va evolucionar durant el 2023, el 2024 i el 2025. La postura del 2026 és que el TCF és un marc més robust del que era però encara requereix un ús operacional correcte per part de cada participant per ser compatible.
La qüestió de l'interès legítim
Diversos propòsits de tecnologia publicitària han confiat històricament en l'interès legítim com a base jurídica en lloc del consentiment. L'EDPB ha estat cada vegada més escèptic respecte de l'interès legítim com a base per a la publicitat comportamental, i diverses resolucions del 2025 han restringit el seu abast. La suposició de treball del 2026 és que el consentiment és la base més segura per a qualsevol perfilatge o ús d'identificador publicitari, amb l'interès legítim reservat per a propòsits operacionals més limitats.
La superposició de la transferència transfronterera
La majoria dels fluxos de dades del flux de puja creuen fronteres: les sol·licituds de puja europees arriben a DSP als Estats Units, l'Àsia-Pacífic i altres llocs. Cada flux transfronterer requereix un mecanisme de transferència vàlid en virtut del Capítol V del GDPR, i la postura de l'EDPB del 2026 és que els mecanismes de transferència han de cobrir la realitat del fan-out, no només la part contractual designada.
On es troba realment l'exposició legal del 2026
Entendre qui porta l'exposició és important perquè el camí de remediació és diferent per a cada rol.
L'exposició de l'editor
L'editor és el responsable del tractament per a la recollida inicial de dades personals i és responsable d'obtenir el consentiment vàlid, de la generació correcta de la cadena TCF o el senyal equivalent, i de la divulgació inicial als proveïdors de tecnologia publicitària. L'exposició de l'editor se centra en: la configuració del CMP, el disseny de la bàner i l'evitació de patrons foscos, la precisió de la llista de divulgació de proveïdors i el mecanisme jurídic per al flux de dades inicial.
L'exposició del SSP
El SSP normalment és un encarregat del tractament per a l'editor i un responsable del tractament per als seus propis propòsits de tecnologia publicitària. L'exposició del SSP se centra en: el fan-out de sol·licituds de puja, la retenció de dades de sol·licituds, la capa d'enriquiment de públic i les obligacions de flux de baixada contractual.
L'exposició del DSP
El DSP és el responsable del tractament per al processament del costat de l'anunciant i pot ser un responsable conjunt del tractament amb l'editor per a certs propòsits. L'exposició del DSP se centra en: la retenció de dades de puja perduda, els fluxos de dades d'entrenament de models de puja, les transferències transfrontereres a empreses matriu i filials, i el compliment dels públics subministrats pels anunciants.
La realitat del responsable conjunt del tractament
Les resolucions del 2024 i el 2025 han empès gran part de l'ecosistema de tecnologia publicitària cap a caracteritzacions de responsabilitat conjunta del tractament per a almenys algunes activitats de tractament. Els responsables conjunts del tractament han de tenir un acord que assigni responsabilitat per als drets dels interessats i un resum transparent disponible per als individus. La majoria dels contractes de tecnologia publicitària fins al 2024 no abordaven la responsabilitat conjunta del tractament clarament, i el treball de neteja del 2026 ha estat una partida de pressupost de compliment recurrent a tot el sector.
El manual operacional del 2026
El sector s'ha unit al voltant de diversos patrons operacionals que funcionen en les dimensions de compliment i comercials.
La línia de base de la pèrdua de senyal
Accepteu que la pèrdua de senyal és un fet permanent de la programàtica del 2026. Les galetes de tercers han quedat obsoletes a Chrome, la prevenció intel·ligent de seguiment és estàndard a Safari i Firefox, els restabliments d'identificadors mòbils són freqüents i la caiguda impulsada per el consentiment és una fracció significativa del volum de la subhasta. L'estratègia comercial ha de funcionar amb l'inventari adreçable restant, no fingir que les pèrdues són temporals.
La pila de doble senyal TCF i GPP
Executeu el senyal TCF v2.3 per al trànsit de la UE i el Regne Unit i l'IAB GPP per a altres jurisdiccions, inclosa Califòrnia, el Canadà, Virgínia, Colorado i la llista creixent de marcs estatals dels EUA. La pila de doble senyal és ara la predeterminada per als editors seriosos i les eines ja estan prou madures per implementar-se de manera fiable.
Enriquiment de primera part del costat del servidor
Moveu l'enriquiment de públic dels disparaments de píxels del costat del navegador als fluxos de dades de primera part del costat del servidor. L'enriquiment encara ha de ser eligible per al consentiment, però la postura de dades de primera part és més resistent a la pèrdua de senyal del costat del navegador i produeix rastres d'auditoria de consentiment més nets.
Identificadors universals amb auditoria de consentiment
Els identificadors universals com RampID, ID5, UID2 i les altres ofertes principals de resolució d'identitat continuen implementant-se, però l'expectativa del 2026 és que el rastre de consentiment per al correu electrònic o l'identificador subjacent sigui auditable. Diverses accions d'execució del 2025 van examinar exactament això.
Fan-out de proveïdors reduït
El sector racionalitza constantment el nombre de proveïdors en el fan-out del flux de puja. Els editors executen programes de revisió de proveïdors que eliminen socis de demanda marginals, reduint la superfície de transmissió de dades i simplificant la narrativa de compliment. L'optimització del camí de subministrament és ara tant una disciplina d'enginyeria de privacitat com una disciplina d'optimització del rendiment.
Sala neta i mesurament agregat
Quan el mesurament requereix la unió de dades entre parts, les sales netes i les API de mesurament agregat s'han convertit en el patró preferit. Aquestes eines exposen les conclusions sense l'intercanvi d'identificadors en brut, i la pila de mesurament del 2026 depèn cada vegada més d'elles.
La qüestió de la transparència en el moment de la subhasta
Una de les preguntes recurrents del 2026 és quant detall del moment de la subhasta s'ha de transmetre a la sol·licitud de puja. El patró anterior al 2024 era transmetre una càrrega útil rica amb IP, identificador, geolocalització, URL de la pàgina i categoria de contingut. El patró del 2026 és més conservador.
Hash i ofuscació d'IP
Diversos SSP ara transmeten adreces IP amb hash o truncades a les sol·licituds de puja a usuaris sense consentiment, amb la IP completa disponible només per a subhastes amb consentiment. Això és una millora concreta d'enginyeria de privacitat respecte a la línia de base del 2023.
Ofuscació d'URL per a inventari sensible
Per als editors amb inventari a pàgines de temes sensibles, com ara salut, política o contingut religiós, la transmissió de l'URL complet de la pàgina en si pot ser una transmissió de dades sensibles. El patró del 2026 per a l'inventari sensible és transmetre un identificador de categoria de contingut en lloc de l'URL en brut.
Agregació de geolocalització
La geolocalització a nivell de ciutat o codi postal sovint és més precisa del que es necessita per a la decisió de puja. L'agregació a un nivell geogràfic més gros per a l'inventari sense consentiment o de poc valor redueix l'exposició de dades personals sense impactar significativament el rendiment.
La llista de verificació d'auditoria del 2026
- El CMP és certificat, les cadenes TCF v2.3 s'emeten correctament i els senyals GPP cobreixen tots els marcs estatals dels EUA aplicables
- Les càrregues útils de sol·licituds de puja respecten l'estat de consentiment: les subhastes sense consentiment no transmeten atributs de dades personals més enllà del que és estrictament necessari
- La llista de proveïdors al CMP coincideix amb el fan-out real i s'ha racionalitzat per eliminar els socis no utilitzats o marginals
- Els mecanismes de transferència transfronterera cobreixen el flux de baixada complet, no només la part contractual designada
- Hi ha acords de responsabilitat conjunta del tractament amb els socis de SSP i DSP on la relació de tractament ho justifica
- Les polítiques de retenció per a les dades de sol·licituds de puja estan documentades i aplicades a tot l'ecosistema de socis SSP i DSP
- Les URL d'inventari sensible estan ofuscades o categoritzades a la capa de subhasta
- Els socis d'identificadors universals poden demostrar registres d'origen nets de consentiment per als gràfics de correus electrònics amb hash que mantenen
- El flux de treball de sol·licituds d'interessats pot eliminar un usuari de la identificació en el moment de la subhasta, els segments de públic i els models de puja de baixada
- Els registres de consentiment estan marcats amb la data i hora, es poden exportar i es conserven durant el període aplicable, inclòs el registre de transmissió en el moment de la subhasta
Les perspectives del 2026
El flux de puja programàtica no desapareixerà, però la versió del 2026 sembla significativament diferent de la versió del 2022. El fan-out és més estret, la càrrega útil és més lleugerada, els senyals de consentiment es respecten amb més cura i la narrativa de mesurament és més centrada en la sala neta. Per als SSP, DSP i editors que han fet la feina, l'impacte comercial és manejable i la postura de compliment ha millorat dràsticament. Per als que encara operen amb suposicions d'abans del 2024, el 2026 és l'any en què les pressions dels reguladors i de la política dels navegadors convergeixen i el marge per al retard estratègic s'exhaureix. La bretxa de privacitat de les subhastes s'està tancant, i els editors i operadors de tecnologia publicitària que la tanquin deliberadament trobaran un negoci més sostenible que els que la tinguin tancada per accions d'execució.