¿Qué es Global Privacy Control?

Global Privacy Control (GPC) es una señal a nivel de navegador que permite a las personas indicar automáticamente a cada sitio web que visitan que no venda ni comparta sus datos personales. En lugar de hacer clic en "rechazar" en un banner de cookies sitio por sitio, el usuario activa GPC una sola vez — en su navegador o en una extensión — y esa preferencia lo acompaña por toda la web.

Piénselo como un interruptor universal de exclusión. Cuando GPC está activado, el navegador adjunta una señal a cada solicitud y la expone a JavaScript. Se espera que su sitio web lea esa señal y la trate como una elección de privacidad válida y legalmente vinculante, sin necesidad de interactuar con el banner.

Por qué GPC importa legalmente

GPC no es una mera cortesía. En un número creciente de jurisdicciones, respetarlo es una obligación legal, y los reguladores ya han tomado medidas de aplicación contra empresas que lo ignoraron.

California (CCPA/CPRA)

Bajo la CCPA modificada por la CPRA, las empresas deben tratar una señal de preferencia de exclusión como una solicitud para excluirse de la venta o el intercambio de información personal. El Fiscal General de California y la California Privacy Protection Agency han confirmado que GPC es una señal de exclusión válida que debe respetarse, y no cumplirlo ya ha dado lugar a acciones de aplicación públicas.

Otros estados de EE. UU.

Colorado, Connecticut, Texas, Oregón, Montana y varios otros estados exigen ahora el reconocimiento de mecanismos universales de exclusión. La lista crece cada año, y GPC es el estándar de facto al que apuntan estas leyes — implementar la compatibilidad una vez lo alinea con todas ellas.

Europa y el GDPR

El GDPR no menciona GPC explícitamente, pero sí exige que el consentimiento se otorgue libremente y que retirarlo sea tan fácil como darlo. Una señal de exclusión clara y automatizada encaja perfectamente en ese principio, y los reguladores de la UE muestran un interés creciente en las señales de preferencia legibles por máquina.

Cómo funciona GPC técnicamente

GPC es intencionadamente simple. Cuando un usuario lo activa, el navegador comunica la preferencia de tres formas complementarias:

• Un encabezado HTTP — cada solicitud incluye Sec-GPC: 1, de modo que su servidor puede detectar la señal antes de que se ejecute una sola línea de JavaScript de la página.
• Una propiedad de JavaScript — navigator.globalPrivacyControl devuelve true, lo que permite que los scripts del lado del cliente y las herramientas de consentimiento reaccionen en el navegador.
• Una política localizable — los sitios pueden publicar un archivo /.well-known/gpc.json que describa cómo interpretan la señal.

Dado que la señal está disponible tanto del lado del servidor como del cliente, puede aplicarla en la capa que mejor se adapte a su stack.

Cómo detectar y respetar GPC en su sitio

Respetar GPC significa aplicar automáticamente la exclusión del usuario sin obligarlo a tocar su banner. Una implementación robusta se ve así:

• Detecte pronto. Lea el encabezado Sec-GPC en el servidor, o compruebe navigator.globalPrivacyControl en cuanto se cargue su script de consentimiento.
• Aplique la exclusión. Suprima de forma predeterminada las cookies no esenciales, las etiquetas de publicidad y análisis, y cualquier venta o intercambio de datos para ese visitante.
• Refleje el estado. Muestre el banner en estado de exclusión para que el usuario vea que su elección fue comprendida, y aún pueda otorgar el consentimiento si realmente lo desea.
• Regístrelo. Anote que la decisión fue impulsada por una señal GPC, con una marca de tiempo, para que tenga una prueba auditable de cumplimiento.

GPC frente a banners de cookies: ¿sigue necesitando ambos?

Sí. GPC y los banners de consentimiento resuelven problemas que se solapan pero son diferentes. GPC es una señal de exclusión que aborda principalmente las reglas estilo EE. UU. de "no vender ni compartir", mientras que la UE opera con un modelo de inclusión en el que debe obtener un consentimiento afirmativo antes de establecer cookies no esenciales. Un sitio conforme usa GPC para preaplicar la preferencia global del usuario y un banner para capturar el consentimiento explícito donde la ley lo exige. Ambos deben reforzarse mutuamente, nunca contradecirse.

Errores comunes que evitar

• Ignorar por completo el encabezado y comprobar solo en el cliente, de modo que los datos salgan antes de que GPC siquiera se evalúe.
• Detectar GPC pero no hacer nada con él — el reconocimiento sin aplicación no es cumplimiento.
• Anular al usuario volviendo a mostrar a los visitantes con GPC un banner que los empuja de nuevo hacia el seguimiento.
• Olvidar la documentación — sin registros no puede demostrar a un regulador que la señal fue respetada.

Cómo gestiona GPC FlexyConsent

FlexyConsent detecta la señal GPC automáticamente tanto en el servidor como en el cliente, aplica la exclusión correspondiente antes de que se active cualquier script no esencial y registra un historial de consentimiento auditable para cada visitante. Obtiene compatibilidad universal con la exclusión, cobertura en múltiples jurisdicciones y prueba de cumplimiento desde el primer momento — sin escribir usted mismo la lógica de detección. Respetar Global Privacy Control se está convirtiendo rápidamente en un requisito mínimo, y los sitios que lo hacen bien construyen una confianza duradera con sus usuarios.