Qué es el MSPA — y qué no es

El MSPA es un marco privado basado en contratos publicado por el IAB. No es una ley y no reemplaza las leyes estatales. En cambio, es un acuerdo multilateral al que se adhieren los participantes — editores, agencias, redes publicitarias, SSP, DSP y proveedores de datos — para poder hacer afirmaciones legales coherentes sobre cómo fluye la información personal a través de la publicidad programática. Cuando todos en una cadena firman el mismo contrato, los proveedores aguas abajo no tienen que negociar cincuenta acuerdos bilaterales de procesamiento de datos diferentes para gestionar una sola solicitud de puja.

Piense en el MSPA como tres cosas a la vez:

• Un contrato que fluye automáticamente aguas abajo cuando un firmante transmite datos a otro firmante.
• Un vocabulario para expresar las opciones del usuario mediante cadenas codificadas por GPP, incluidas las exclusiones de venta, compartición, publicidad dirigida y procesamiento de datos sensibles.
• Un marco de asignación de riesgos que asigna a cada firmante uno de tres roles — Covered Business, Service Provider/Processor o Third Party — con las obligaciones asociadas a cada uno.

Lo que el MSPA no es: un sustituto de su aviso de privacidad, un reemplazo del consentimiento directo del usuario donde sea necesario, o una garantía de cumplimiento con ninguna ley estatal específica. Es una herramienta que, usada correctamente, hace que el cumplimiento de múltiples leyes estatales sea operativamente viable. Usada incorrectamente — por ejemplo, señalizando la participación mientras se continúa compartiendo datos tras una exclusión — amplía su responsabilidad en lugar de reducirla.

Quién debe preocuparse: Los tres roles del MSPA

Antes de firmar cualquier cosa, identifique qué rol desempeña realmente. La mayoría de los editores se sorprenden al descubrir que llevan más de un sombrero según el flujo de datos.

Covered Business

Es un Covered Business si determina los fines y medios del tratamiento de información personal sobre un usuario — típicamente el editor que opera el sitio web o la aplicación que visita el usuario. Como Covered Business, es responsable de recopilar el consentimiento, mostrar avisos, respetar las exclusiones y configurar la señal GPP en la que confían los proveedores aguas abajo. La carga orientada al usuario recae sobre usted.

Service Provider o Processor

Es un Service Provider cuando procesa información personal en nombre de un Covered Business bajo contrato y solo para fines limitados y permitidos. La mayoría de proveedores de analítica, proveedores de alojamiento y plataformas de gestión del consentimiento operan en este carril. El MSPA impone restricciones: sin ventas, sin publicidad de comportamiento cross-context por cuenta propia y reglas de retención y eliminación estrictamente definidas.

Third Party

Es una Third Party cuando recibe información personal de un Covered Business y la usa para sus propios fines — la mayoría de SSP, DSP, proveedores de identidad y corredores de datos caen aquí. Las Third Parties tienen las obligaciones contractuales más gravosas, incluido el manejo directo de derechos de usuarios y las obligaciones de flujo aguas abajo cuando comparten datos con sus propios socios.

El MSPA y la Global Privacy Platform (GPP)

El MSPA no existe en el vacío. Es la capa contractual; GPP es la capa técnica de señalización. La Global Privacy Platform del IAB Tech Lab codifica las opciones del usuario en una sola cadena que viaja con las solicitudes de puja a través del protocolo OpenRTB. Para la señalización en EE. UU., GPP lleva cadenas de sección para cada estado con una ley de privacidad integral — por ejemplo, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) y la cadena US National general para estados sin sección dedicada.

El MSPA le indica a su CMP qué campos establecer dentro de esas secciones GPP para reclamar cobertura. Los campos más importantes que los editores verán y configurarán incluyen:

• MspaCoveredTransaction — se establece en Sí cuando el editor afirma que la solicitud de puja está cubierta por el marco MSPA.
• MspaOptOutOptionMode — indica si se le ofreció al usuario una opción de exclusión clara según lo exigen las normas de transparencia del MSPA.
• MspaServiceProviderMode — se establece cuando los proveedores aguas abajo deben tratar los datos exclusivamente como service provider.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — las marcas de consentimiento granulares que leen los pujadores para decidir qué pueden hacer con la impresión.
• SensitiveDataProcessing — un array de múltiples elementos que señaliza las opciones del usuario para origen racial, creencias religiosas, salud, orientación sexual, ciudadanía, geolocalización precisa y otras categorías sensibles definidas por la ley estatal.

Si su CMP establece MspaCoveredTransaction = Sí pero el editor no ha firmado realmente el contrato MSPA, acaba de hacer una afirmación falsa en la que confiarán los firmantes aguas abajo. Eso es un camino rápido hacia una disputa contractual y, según el estado, una queja regulatoria.

Datos Sensibles: La Trampa que la Mayoría de los Editores Pasan por Alto

Cada ley integral de privacidad estatal de EE. UU. aprobada desde California ha ampliado la definición de información personal sensible, y el MSPA las integra en un campo GPP unificado. Las categorías suelen incluir:

• Identificadores gubernamentales (número de seguridad social, permiso de conducir, pasaporte).
• Credenciales de cuenta e información financiera.
• Geolocalización precisa, generalmente más estrecha que 1.750 pies.
• Origen racial o étnico, creencias religiosas, diagnósticos de salud mental o física.
• Vida sexual y orientación sexual.
• Ciudadanía y estatus migratorio.
• Datos genéticos y biométricos utilizados para identificar a una persona.
• Datos relativos a un menor conocido de 13 años — y en algunos estados, de 16 años con protecciones adicionales.

Algunos estados requieren consentimiento opt-in para el tratamiento de datos sensibles, mientras que otros permiten el tratamiento con un derecho de exclusión. La codificación GPP del MSPA le permite expresar cualquiera de los dos, pero su CMP debe saber cuál solicitar según el estado del usuario. La clasificación errónea de datos sensibles — por ejemplo, tratar la navegación por contenido de salud como datos de comportamiento ordinarios — es el único modo de fallo más común señalado por fiscales generales estatales en acciones de aplicación de 2024–2025.

Crear un Flujo de Consentimiento Listo para MSPA

Implementar el MSPA en su sitio o aplicación es un problema de coordinación entre equipos legales, de ingeniería y de operaciones publicitarias. El trabajo se divide en aproximadamente cinco flujos de trabajo.

1. Firme el MSPA y Mantenga su Estatus de Firmante

El MSPA es un contrato real que el asesor legal debe revisar y ejecutar. Declarará el rol o los roles en los que opera, los estados de EE. UU. donde hace negocios y las categorías de datos que procesa. Renueve anualmente y actualice el portal de firmantes del IAB Tech Lab cada vez que cambie su rol o jurisdicción.

2. Configure su CMP para Lógica Multiestatal

Un banner único solo para CCPA ya no es suficiente. Su CMP debe detectar el estado del usuario — típicamente mediante geolocalización por IP respaldada por un mecanismo de reserva de privacidad — y mostrar los avisos, los enlaces y los controles de exclusión correctos para esa jurisdicción. FlexyConsent y otras CMP modernas certificadas por Google incluyen plantillas multiestatales que mapean estado por estado a las cadenas de sección GPP correctas.

3. Conecte las Cadenas GPP a su Ad Stack

La cadena GPP debe insertarse en cada solicitud de puja OpenRTB originada por un usuario de EE. UU. Para usuarios de Google Ad Manager, esto significa habilitar la compatibilidad con GPP en la configuración de red; para usuarios de Prebid, significa instalar los módulos gppControl_usnat y por estado y confirmar que el adaptador consentManagement reenvía la cadena codificada. Pruebe con el decodificador GPP del IAB Tech Lab para verificar el recorrido de ida y vuelta desde la CMP hasta la solicitud de puja.

4. Respete la Señal del Global Privacy Control (GPC)

La mayoría de las leyes estatales — California, Colorado, Connecticut y una lista creciente — exigen respetar una señal GPC a nivel de navegador como una exclusión válida. El MSPA espera que los firmantes detecten GPC y preestablezcan los campos SaleOptOut, SharingOptOut y TargetedAdvertisingOptOut, incluso antes de que el usuario toque el banner. Si su CMP no puede detectar GPC y actuar sobre él, está fuera de cumplimiento independientemente de la membresía en el MSPA.

5. Audite los Proveedores Aguas Abajo

La lógica de flujo aguas abajo del MSPA solo funciona si sus proveedores también son firmantes. Antes de enviar datos a cualquier SSP, DSP o socio de datos, verifique su estado de firmante en el portal del IAB Tech Lab. Los proveedores no firmantes deben eliminarse de su ad stack para el tráfico de EE. UU. o cubrirse con DPA bilaterales separados que reflejen los términos del MSPA.

Errores de Implementación Comunes

Varios patrones de error aparecen repetidamente en las auditorías de editores:

• Señalizar la cobertura MSPA sin firmar. Establecer MspaCoveredTransaction = Sí en la cadena GPP mientras la entidad legal del editor no ha ejecutado el MSPA expone al editor a reclamaciones de falsa representación de firmantes aguas abajo que confiaron en la señal.
• Olvidar Texas, Oregón y Montana. Los editores configurados para el panorama original de cinco estados pasan por alto leyes que entraron en vigor en 2024 y 2025. Cada una tiene sus propios activadores de exclusión; el MSPA las cubre, pero solo si la lógica de detección de estados de su CMP las incluye.
• Ignorar las señales de datos sensibles en contenido de noticias y estilo de vida. Un lector de un artículo de salud, religión o LGBTQ puede estar procesando datos sensibles implícitamente. Realice una auditoría de contenido y configure anulaciones a nivel de categoría en la CMP.
• Tratar el GPC como orientativo. El regulador de California aclaró en 2024 que ignorar el GPC es una infracción por incumplimiento. El MSPA no le protege de esto — depende de usted respetar el GPC.
• Cadenas GPP obsoletas almacenadas en caché en el edge. El almacenamiento en caché de páginas en CDN o service worker puede servir a un usuario una cadena GPP obsoleta de una sesión anterior. Desactive el caché en el endpoint de consentimiento y añada un paso de obtención nueva al cambiar el consentimiento.

Cómo Afecta el MSPA a los Ingresos Publicitarios

Los editores que implementan el MSPA correctamente suelen ver caídas modestas de ingresos a corto plazo seguidas de estabilización, mientras que las implementaciones descuidadas o sobre-restringen las pujas o exponen al editor al riesgo de aplicación. Las variables que mueven el dial:

• Tasas de exclusión — En estados con enlaces de exclusión prominentes, típicamente el 5–15% de los usuarios se excluye de la venta o la compartición. Los precios de las pujas en impresiones excluidas suelen caer un 30–60% porque el targeting de comportamiento no está disponible.
• Clasificación de contenido sensible — Una clasificación errónea del contenido ordinario como sensible hará colapsar la demanda. Sea conservador y preciso por categoría.
• Mix de socios de header bidding — Los socios no firmantes del MSPA que debe deshabilitar para el tráfico de EE. UU. reducen su subasta. Reemplácelos por firmantes en lugar de operar con una demanda más escasa.
• Etiquetado del lado del servidor — Un contenedor del lado del servidor que lee la cadena GPP y activa etiquetas condicionalmente es la forma más limpia de mantener la analítica y el consentimiento sincronizados.

Lo Que Viene Después: 2026 y Más Allá

El MSPA es un acuerdo vivo. El IAB lo actualiza cada uno o dos años a medida que nuevas leyes estatales, orientaciones de fiscales generales y propuestas federales reconfiguran el panorama. Los temas a vigilar en 2026:

• Una posible ley federal de privacidad que preempte parcialmente los regímenes estatales — el MSPA incluye lógica de reserva de preempción, por lo que los firmantes no quedarán atrapados.
• Expansión de GPP para cubrir la señalización específica de salud bajo la Ley My Health My Data de Washington y leyes análogas.
• Aplicación más estricta de las normas de patrones oscuros en los flujos de exclusión por parte de la Agencia de Protección de la Privacidad de California y el Fiscal General de Texas.
• Integración con la inteligencia artificial y las divulgaciones de entrenamiento de modelos de lenguaje de gran escala, que varios parlamentos estatales están debatiendo.

Los editores que traten la implementación del MSPA como un proyecto de una sola vez se quedarán atrás. Trátelo como una higiene operativa continua, de propiedad conjunta entre legal, operaciones publicitarias e ingeniería de producto, y revisada trimestralmente. Los editores que ganan en el cumplimiento multiestatal de EE. UU. no son los que tienen más abogados — son los que su CMP, ad stack y registros de auditoría cuentan la misma historia cuando un regulador pregunta.

Conclusión

El MSPA es la respuesta práctica a un panorama de privacidad fragmentado en EE. UU. No aprobará leyes por usted, pero dará a su flujo de pujas, a sus proveedores y a su equipo legal un único lenguaje común para las exclusiones, los datos sensibles y las obligaciones aguas abajo. Combínelo con una CMP consciente del estado, señalización GPP precisa y una gestión disciplinada de proveedores, y pasará menos tiempo argumentando sobre jurisdicción y más tiempo monetizando las impresiones que tiene permitido monetizar. Ese es el único camino sostenible a través de 2026 y la ola de leyes estatales que aún aguarda detrás de él.