El Estado de Privacy Sandbox en 2026

La realidad práctica a principios de 2026 es que la depreciación de las cookies de terceros de Chrome se ha ejecutado parcialmente, diferido parcialmente y comercializado completamente, dependiendo de la interpretación. Los editores deben entender la forma actual antes de tomar decisiones arquitectónicas.

Qué se entregó, qué se detuvo

Las tres API relevantes para editores que se entregaron completamente — Topics, Protected Audience y Attribution Reporting — son las que importan para los ingresos en 2026. Shared Storage y Fenced Frames se entregan como infraestructura debajo de ellas. Algunas propuestas adyacentes — en particular las versiones anteriores de FLoC y algunas de las herramientas de partición de cookies CHIPS — han sido reemplazadas o integradas en otras partes de la pila.

La Ruta de Depreciación

La depreciación de las cookies de terceros de Chrome ha avanzado a través de restricciones graduales en lugar de un único evento de cambio de interruptor. Una parte significativa de los usuarios de Chrome ahora tiene las cookies de terceros desactivadas o restringidas de forma predeterminada, con la parte restante siguiendo durante 2026 y 2027 bajo el modelo de elección del usuario que reemplazó el plan de depreciación dura original. El efecto práctico para los editores es que las cookies de terceros ya son poco confiables a escala y estarán efectivamente muertas en los próximos dos años: Privacy Sandbox es adonde va la direccionabilidad.

Supervisión Regulatoria

La Autoridad de Competencia y Mercados del Reino Unido y la Comisión Europea extendieron ambas su supervisión de Privacy Sandbox hasta 2026. Esto da forma al calendario de lanzamiento y a los compromisos que Google asume sobre cómo las API pueden y no pueden usarse — incluyendo compromisos específicos sobre no dar preferencia a los propios productos publicitarios de Google y sobre permitir la innovación de editores y terceros sobre los primitivos de Sandbox. Los editores deberían leer Privacy Sandbox como un bien común regulado, no como un producto propietario de Google.

Las API Principales que un Editor Realmente Usa

Privacy Sandbox comprende una larga lista de propuestas, pero las cuatro que importan para los ingresos del editor en 2026 son Topics, Protected Audience, Attribution Reporting y Shared Storage.

Topics API

La Topics API proporciona señales de interés gruesas derivadas del historial de navegación reciente del usuario, calculadas completamente en el dispositivo. Cuando un usuario visita un sitio, el navegador puede devolver hasta tres temas de una taxonomía de varios cientos de entradas — cosas como Deportes / Fútbol o Viajes / Viajes de negocios. Los temas se rotan semanalmente, nunca son más detallados que el nivel de taxonomía y se calculan sin salir del dispositivo. Para los editores, Topics es el reemplazo de la segmentación amplia basada en intereses que antes era impulsada por perfiles de cookies de terceros. La prima CPM para el inventario habilitado con Topics se ha estabilizado significativamente por encima del solo contextual en 2026.

Protected Audience API

Protected Audience — el sucesor de lo que brevemente se llamó FLEDGE — soporta el remarketing en el dispositivo y la activación de audiencias personalizadas. Los anunciantes añaden usuarios a grupos de interés almacenados en el navegador durante las visitas al sitio, y las subastas para espacios publicitarios se ejecutan parcialmente en el dispositivo, seleccionando anuncios basados en la pertenencia al grupo de interés sin filtrar la pertenencia de vuelta a la página o al anunciante. Protected Audience es la pieza arquitectónicamente más ambiciosa de Sandbox y es la más difícil de integrar, pero es donde se produce la recuperación de CPM al estilo remarketing en 2026 para editores con la pila de socios adecuada.

Attribution Reporting API

Attribution Reporting proporciona medición de conversiones que preserva la privacidad. Los anunciantes registran fuentes y disparadores, y el navegador produce informes agregados o ruidosos a nivel de evento que atribuyen conversiones a exposiciones de anuncios sin revelar los viajes individuales de los usuarios. Esta es la columna vertebral de medición bajo Sandbox y es adonde se mueve la atribución de bucle cerrado después de las cookies. Los niveles de ruido y los umbrales de agregación se han ajustado durante 2025 y son viables para cualquier campaña por encima de un umbral de tráfico modesto.

Shared Storage y Fenced Frames

Shared Storage permite a los proveedores de tecnología publicitaria mantener estado entre sitios en el dispositivo sin exponerlo a la página, y Fenced Frames proporcionan un límite de renderizado que impide que el anuncio incrustado lea o sea leído por la página circundante. Estos son infraestructura: los editores raramente interactúan directamente con ellos, pero son los que hacen que la subasta en el dispositivo de Protected Audience funcione de forma segura.

Cómo se Aplica Realmente el Consentimiento a Privacy Sandbox

Un mito persistente durante 2024 y 2025 fue que Privacy Sandbox es una zona libre de consentimiento porque los datos permanecen en el dispositivo. Esto es incorrecto, y el Comité Europeo de Protección de Datos, el ICO del Reino Unido y varios otros reguladores han sido explícitos al respecto.

Topics y consentimiento

Los topics pueden calcularse en el dispositivo, pero el acto de devolver un tema a una página es tratamiento de datos personales bajo el GDPR. El tema se deriva del historial de navegación del usuario, está vinculado al dispositivo y se usa para influir en qué publicidad ve el usuario. Los editores y proveedores de tecnología publicitaria que ejecutan Topics requieren una base legal, y en la práctica eso significa consentimiento para fines publicitarios y de audiencia a través del CMP. Llamar a la Topics API sin una señal de consentimiento es la configuración predeterminada incorrecta en una jurisdicción GDPR.

Protected Audience y consentimiento

La pertenencia al grupo de interés son datos personales en el momento en que se asocian con un usuario de una manera que puede vincularse de vuelta — incluso en el dispositivo — a la actividad publicitaria. Añadir un usuario al grupo de interés de un anunciante y ejecutar una subasta en el dispositivo que usa esa pertenencia son ambas actividades de tratamiento que requieren consentimiento para la personalización publicitaria. La infraestructura de Sandbox proporciona protecciones de privacidad; no elimina el requisito de consentimiento.

Attribution Reporting y consentimiento

Attribution Reporting realiza medición, que es un propósito de tratamiento distinto del perfilado o la activación. Los marcos de consentimiento deben modelar la medición como un propósito con consentimiento separado — reflejando cómo el TCF lo define — y Attribution Reporting solo debe dispararse para usuarios que han consentido la medición. Varias cartas de aplicación de 2025 citaron editores que disparaban fuentes de Attribution Reporting para todos los usuarios independientemente del estado de consentimiento.

La Superficie Práctica de Consentimiento

La superficie de consentimiento de Privacy Sandbox no es una nueva interfaz de usuario — es el CMP TCF o equivalente existente, con propósitos específicamente mapeados a las API. Un CMP de 2026 bien configurado expone publicidad, perfilado, construcción de audiencias y medición como propósitos diferenciados, y las llamadas a la API de Sandbox se bloquean en las señales de consentimiento relevantes. Los editores que anteriormente ejecutaban un único propósito publicitario general ahora necesitarán una taxonomía más fina.

Patrones de Integración para Editores

Hay tres patrones amplios de integración para Privacy Sandbox en 2026, y cada uno tiene características de consentimiento, medición y comerciales diferentes.

La Vía por SSP

El patrón más común: el editor delega la integración de Privacy Sandbox a los SSP y los socios de puja de cabecera en la pila. El SSP gestiona las llamadas a Topics, el incorporación de Protected Audience y el registro de Attribution Reporting en nombre del editor. El CMP del editor es la fuente de verdad del consentimiento, y se espera que el SSP lea la señal de consentimiento y actúe en consecuencia. Este es el camino de menor esfuerzo y es la configuración predeterminada correcta para editores que no tienen un equipo de ingeniería de tecnología publicitaria dedicado.

La Vía Directa

Los editores grandes con capacidad interna de tecnología publicitaria integran las API de Privacy Sandbox directamente — llaman a Topics, ejecutan subastas de Protected Audience con su propia lógica de puntuación y registran fuentes de Attribution Reporting desde su propia infraestructura de servidor. Esto es más trabajo, pero le da al editor control granular sobre la dinámica de la subasta y le permite al editor conservar el margen que de otro modo iría a los intermediarios.

La Vía Híbrida

El patrón que ejecutan la mayoría de los editores premium en 2026: el flujo programático principal pasa por los SSP como de costumbre, pero el editor ejecuta una integración directa de Protected Audience para sus propios segmentos de audiencia de primera parte — vendiendo activaciones de audiencia similar o expandida por semilla contra su propio inventario. La vía directa captura precios premium para los segmentos de audiencia donde importa; la vía por SSP maneja la cola larga.

Medición después de las Cookies

La historia de la medición bajo Privacy Sandbox es significativamente diferente del valor predeterminado de la era de las cookies, y los editores necesitan ajustar sus prácticas de medición.

Informes Agregados versus a Nivel de Evento

Attribution Reporting soporta tanto informes agregados — que dan cifras precisas por encima de un umbral — como informes a nivel de evento, que son ruidosos pero utilizables para depurar muestras pequeñas. La mayoría de los casos de uso de editores en producción se basan en informes agregados, y los editores deben esperar que sus paneles de medición se actualicen en una cadencia más larga que la atribución en tiempo real de la era de las cookies.

Conciliación con la Medición de Primera Parte

La medición de Privacy Sandbox tiende a producir cifras de conversión más bajas que la medición basada en cookies, principalmente porque las cifras de la era de las cookies estaban infladas por la identidad entre sitios que Privacy Sandbox rompe intencionadamente. Los editores necesitan conciliar la medición de Sandbox con la medición de primera parte — seguimiento directo de confirmación de pedido, cargas de conversión del lado del servidor y donde corresponda medición en sala limpia — en lugar de comparar las cifras de Sandbox con la línea base de la era de las cookies. La pregunta de referencia de 2026 es el incremento de rendimiento, no el recuento absoluto de conversiones.

Integración de Sala Limpia

Para los editores que ejecutan programas de medición de sala limpia, Privacy Sandbox es complementario en lugar de competidor. Attribution Reporting proporciona la vista de exposición en la parte superior del embudo y la conversión agregada; la sala limpia proporciona resolución de bucle cerrado contra los propios datos de primera parte del anunciante. La combinación es lo que parece la medición direccionable en 2026.

Rendimiento en el Mundo Real

Se han acumulado suficientes datos a principios de 2026 para decir algo concreto sobre cómo funciona Privacy Sandbox frente a la línea base de la era de las cookies.

Rendimiento de Topics

El inventario habilitado con Topics manda una prima CPM sobre el inventario solo contextual de aproximadamente mediados de los diez a principios de los veinte por ciento para editores del mercado medio, con editores premium que ven un mayor incremento. Esto está significativamente por debajo de la prima que mandaban los segmentos de cookies de terceros premium, pero significativamente por encima del suelo contextual sin cookies.

Rendimiento de Protected Audience

El remarketing de Protected Audience recupera aproximadamente la mitad hasta dos tercios de la prima CPM que el remarketing basado en cookies entregaba anteriormente, para editores con una pila madura de Protected Audience. Esta es una cifra significativa — el remarketing era un contribuidor significativo al rendimiento programático, y una recuperación del cincuenta al sesenta y cinco por ciento es la diferencia entre viable y no viable para muchas líneas de ingresos de editores.

Fiabilidad de Attribution Reporting

Attribution Reporting produce medición agregada precisa por encima de umbrales de tráfico modestos. Por debajo de esos umbrales, el ruido hace que Attribution Reporting sea inadecuado, y los editores necesitan medición alternativa. En la práctica, el umbral es manejable para cualquier editor con más de unos pocos cientos de miles de conversiones mensuales a nivel de campaña.

Modos de Fallo Comunes

Los programas de Publisher Privacy Sandbox fallan por razones que suelen ser operativas en lugar de técnicas.

• Desajuste de señal de consentimiento — el CMP expone un propósito publicitario grueso y las llamadas a la API de Sandbox están bloqueadas en un sub-propósito específico que el CMP no captura realmente, dejando que las llamadas de Sandbox se disparen contra usuarios que nunca consintieron el propósito específico
• Sincronización de puja de cabecera — las subastas de Protected Audience tienen características de sincronización diferentes a la puja basada en cookies, y los envoltorios de puja de cabecera del editor ajustados para la sincronización de la era de las cookies pierden ingresos cuando la vía de Sandbox es más lenta
• Brecha de medición — el editor apaga la medición basada en cookies antes de que Attribution Reporting esté funcionando, pierde visibilidad y no puede defender la transición comercialmente
• Asimetría de SSP — un SSP en la pila maneja bien Sandbox y otro lo maneja mal, lo que lleva a un rendimiento inconsistente y dificultad para aislar la causa
• Colapso de audiencia — los grupos de interés de Protected Audience no se reconstruyeron después de que los datos de audiencia de la era de las cookies quedaron obsoletos, y el editor tiene escala en papel pero no en la práctica

La Lista de Verificación de Auditoría de 2026

• El CMP expone publicidad, perfilado, construcción de audiencias y medición como propósitos diferenciados alineados con la taxonomía TCF o equivalente
• Las llamadas a la API de Sandbox están bloqueadas en las señales de consentimiento correspondientes, no en un indicador general grueso
• La política de privacidad describe explícitamente la participación en Privacy Sandbox, incluyendo Topics, Protected Audience y Attribution Reporting
• Los socios SSP están contractualmente obligados a respetar la señal de consentimiento del editor para las llamadas de Sandbox y pueden demostrar ese comportamiento en registros
• Los grupos de interés de Protected Audience están etiquetados con los propósitos de consentimiento que los crearon, y los grupos se reconstruyen en los cambios de consentimiento
• Attribution Reporting solo se dispara para usuarios que han consentido la medición y se concilia con los datos de conversión de primera parte al menos semanalmente
• Los paneles de medición distinguen las conversiones medidas por Sandbox de las conversiones medidas de primera parte y de las conversiones medidas en sala limpia
• El rendimiento se rastrea frente a la línea base solo contextual sin cookies, no frente a la línea base de la era de las cookies, de modo que la historia comercial trata sobre el incremento de rendimiento en lugar de la recuperación absoluta nominal
• El flujo de trabajo de solicitud de sujeto de datos puede eliminar a un usuario de los grupos de interés de Protected Audience y de las fuentes de Attribution Reporting de extremo a extremo

Las Perspectivas de 2026

Privacy Sandbox en 2026 ya no es la construcción teórica que era en 2022. Es una pila en producción con impacto en los ingresos medible, supervisión regulatoria y una superficie de consentimiento más granular que el valor predeterminado de la era de las cookies pero más sostenible. Los editores que tratan Sandbox como una migración técnica pura — intercambiando una API por otra, manteniendo las prácticas de consentimiento y medición que funcionaban con cookies — encuentran que obtienen recuperación parcial y auditorías persistentes. Los que lo tratan como una disciplina de ingeniería de consentimiento primero y una integración de tecnología publicitaria segundo encuentran que la recuperación es más completa, los reguladores se mantienen callados y la historia comercial se sostiene. Privacy Sandbox no es la última transición de privacidad que atravesará el ecosistema publicitario — pero es la más grande en la memoria reciente, y los editores que lo hagan bien en 2026 acumularán esa ventaja en todo lo que venga después.