Qué es realmente la Global Privacy Platform

GPP es un protocolo de transporte, no un nuevo marco de consentimiento. Es un contenedor que codifica múltiples señales de consentimiento específicas de región en una única cadena Base64, expuesta a través de una API JavaScript estándar (__gpp()) que pueden consultar SSP, DSP y proveedores de medición. Cada región tiene su propia sección dentro de la cadena GPP: Section 2 lleva TCF EU v2, Section 6 lleva US Privacy (en desuso), Section 7 cubre USNat, y Sections 8 a 12 cubren California, Virginia, Colorado, Utah y Connecticut respectivamente. Se añaden secciones adicionales para Texas, Oregon, Montana y otros estados a medida que entran en vigor sus leyes.

La decisión de diseño clave es que una única cadena GPP puede llevar múltiples secciones simultáneamente. Un visitante europeo recibe datos TCF EU; un visitante de California recibe datos US-CA; un usuario cuya IP geolocaliza en ambas jurisdicciones (raro pero posible mediante VPN) puede tener ambas secciones rellenas. Los proveedores de ad tech leen solo las secciones relevantes para ellos e ignoran el resto.

Por qué existe GPP y por qué importa ahora

Antes de GPP, cada nueva ley de privacidad estatal de EE. UU. obligaba a los editores a implementar otra señal. California tenía USP. La VCDPA de Virginia requería una semántica de exclusión diferente. La CPA de Colorado reconoció la señal del navegador Global Privacy Control. Utah y Connecticut añadieron más matices. Los proveedores de ad tech tenían que analizar media docena de formatos, a menudo de forma inconsistente, y el riesgo de señalizar «el usuario ha dado su consentimiento» en un canal mientras el usuario se había dado de baja en otro se convirtió en una exposición real de cumplimiento.

GPP estandariza el transporte. Una vez que un CMP establece la cadena GPP, todos los proveedores posteriores leen la misma codificación. Para los editores, esto importa por tres razones: la política de Google de 2024 ahora exige soporte GPP para señales de estados de EE. UU. en el inventario de Google Ad Manager; Prebid.js 8.x y la mayoría de los adaptadores SSP principales esperan GPP; y los reguladores hacen referencia cada vez más al cumplimiento de GPP como evidencia de propagación de señales de buena fe.

Las secciones de GPP y lo que significan

Cada sección de GPP tiene sus propias reglas de codificación, que reflejan el marco subyacente:

Section 2: TCF EU v2

Idéntica a la cadena TCF v2.2 independiente que ya genera para el tráfico europeo. Si su CMP está certificado por TCF, ya está produciendo esta sección — GPP simplemente la envuelve.

Section 7: US National (USNat)

La sección más nueva, diseñada como una única señal que cubre todas las leyes de privacidad federales y estatales de EE. UU. Codifica el aviso dado, la exclusión de ventas, la exclusión de compartición, la exclusión de publicidad dirigida, la exclusión de datos sensibles y el manejo de datos de menores conocidos. Los proveedores que operan en múltiples estados de EE. UU. deben preferir USNat sobre las secciones por estado cuando sea posible.

Sections 8-12: Señales de EE. UU. por estado

California (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) y Connecticut (US-CT). Cada sección lleva campos específicos para la ley de ese estado — por ejemplo, US-CA conserva las exclusiones de venta y compartición más antiguas de CCPA/CPRA, mientras que US-CO añade la marca de consentimiento de datos sensibles que requiere la Ley de Privacidad de Colorado. Texas (US-TX bajo CPA section 13) y Oregon (US-OR bajo CPA section 14) se añadieron después de que sus leyes entraran en vigor en julio de 2024.

Cómo deberían migrar los editores

La mayoría de los editores ya contarán con un CMP que genera cadenas TCF para el tráfico de la UE y cadenas USP para California. El camino de migración a GPP tiene este aspecto:

Paso 1: Actualice su CMP

Confirme que su proveedor de CMP figura en la lista de CMP certificados GPP de IAB. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics y la mayoría de los CMP certificados por Google producen ahora cadenas GPP válidas. Si su CMP todavía solo genera TCF o USP, solicite una hoja de ruta para el soporte GPP — cualquier proveedor sin un plan aquí se quedará atrás en 2026.

Paso 2: Configure las secciones GPP por geografía

Su CMP debería decidir automáticamente qué secciones GPP rellenar según la geolocalización IP. Los visitantes europeos reciben Section 2 (TCF EU); los visitantes de EE. UU. reciben Section 7 (USNat) o secciones por estado dependiendo de cómo lea la señal su pila de proveedores. No rellene todas las secciones para cada visitante — es una configuración incorrecta habitual que filtra datos irrelevantes para la jurisdicción.

Paso 3: Verifique la propagación posterior

La cadena GPP solo es útil si SSP, DSP, analíticas y proveedores de píxeles la leen. Audite su pila de anuncios: en Prebid.js, confirme que el módulo gppControl está habilitado; en Google Ad Manager, confirme que la cadena GPP se pasa a través de la API de consentimiento de GAM; en Google Analytics 4, confirme que Consent Mode v2 lee GPP junto con TCF. Cualquier proveedor que ignore GPP en silencio es una brecha de cumplimiento.

GPP, Consent Mode v2 y los requisitos de Google

La actualización de política de Google de diciembre de 2024 hizo obligatorio el soporte GPP para los editores que monetizan inventario de EE. UU. a través de Google Ad Manager. Este cambio es sutil pero importante: Consent Mode v2 sigue usando sus propias señales ad_storage y analytics_storage, pero GAM ahora espera que la cadena GPP esté presente en la solicitud de anuncio para cualquier tráfico sujeto a leyes estatales de EE. UU. Las cadenas GPP ausentes o malformadas pueden dar lugar a anuncios que se sirven en modo restringido — con un impacto significativo en el relleno y los ingresos — o, para los infractores reincidentes, a que el inventario quede excluido de la subasta.

La implicación práctica: incluso los editores que históricamente han ignorado las leyes estatales de EE. UU. porque sus ingresos eran solo de California ahora necesitan GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana e Iowa tienen todas leyes en vigor a partir de 2026, y Google lee la cadena GPP para determinar si su solicitud de anuncio cumple con cada una de ellas.

Errores habituales en la migración

Cuatro errores que vemos repetidamente cuando los editores añaden GPP:

Señales duplicadas. Algunos editores mantienen cadenas TCF y USP independientes junto con GPP, creando tres fuentes de verdad que pueden discrepar. Una vez que GPP esté activo, retire las cadenas independientes.

Relleno de sección incorrecto. Rellenar US-CA para todos los visitantes de EE. UU. independientemente del estado real filtra geografía y puede reclamar falsamente derechos de exclusión de CCPA para residentes fuera de California. Use la geolocalización IP para elegir la sección correcta.

Ignorar GPC. La señal del navegador Global Privacy Control no es una sección de GPP — es un encabezado HTTP separado y una propiedad JS. Su CMP debe leer GPC al cargar la página y reflejarlo como una exclusión en las secciones GPP relevantes, o viola la ley de Colorado, Connecticut y California.

Adaptadores de proveedores obsoletos. Los adaptadores Prebid más antiguos y las integraciones SSP pueden eliminar la cadena GPP antes de que llegue al postor. Pruebe todos los proveedores de su pila de anuncios con el validador GPP de IAB antes de declarar la migración completada.

La visión a largo plazo: GPP más allá de EE. UU.

GPP está diseñado para extenderse más allá de TCF EU y las leyes de estados de EE. UU. Nuevas secciones para Canadá (PIPEDA más la Ley 25 de Quebec), Brasil (LGPD), Corea del Sur (PIPA) y otras jurisdicciones están en desarrollo activo por parte del grupo de trabajo de IAB. Para los editores que prestan servicio a inventario global, GPP se está convirtiendo en el único transporte de consentimiento que reemplaza todos los protocolos regionales. Invertir en GPP hoy posiciona su pila para absorber la próxima oleada de leyes de privacidad regionales sin otro sprint de integración.