Qué Gobierna Realmente App Tracking Transparency

ATT es una puerta de permisos que Apple aplica en iOS e iPadOS. Cuando una aplicación quiere acceder al Identificador para Anunciantes (IDFA) del dispositivo o realizar un seguimiento que vincule al usuario a través de aplicaciones y sitios web propiedad de otros operadores, debe llamar a requestTrackingAuthorization y mostrar un aviso del sistema que pide al usuario que permita o deniegue el seguimiento. La respuesta del usuario es binaria, persistente hasta que la cambie en Configuración y visible para la aplicación a través del API trackingAuthorizationStatus.

La Definición de Seguimiento de Apple

La documentación para desarrolladores de Apple define el seguimiento de manera específica y estrecha: vincular los datos de usuario o dispositivo recopilados de su aplicación con datos de usuario o dispositivo recopilados de aplicaciones, sitios web o propiedades fuera de línea de otras empresas con fines de publicidad dirigida o medición, o compartir datos de usuario o dispositivo con intermediarios de datos. La definición excluye deliberadamente el uso de datos propios (first-party) dentro de la aplicación, la analítica agregada anónima y el procesamiento para la prevención del fraude o el cumplimiento legal — estas actividades no requieren una solicitud ATT independientemente de si el usuario la ha concedido.

Qué No Hace ATT

ATT no es un sistema de gestión del consentimiento en el sentido del GDPR. No recopila preferencias de finalidad granulares, no registra un recibo de consentimiento con versión de política, no propaga señales a los proveedores web dentro de un WKWebView y no satisface el requisito de base legal para almacenar o leer cookies en el dispositivo de un usuario. Un editor que trata la solicitud ATT como toda su postura de cumplimiento para una aplicación híbrida está a un carta de regulador de distancia de una multa, porque la carga de cookies dentro de la vista web es un evento separado bajo ePrivacy y necesita su propia capa de consentimiento.

Cómo se Aplican GDPR y ePrivacy Dentro de un WKWebView

La vista web dentro de una aplicación híbrida no está mágicamente exenta de las reglas que se aplican a un navegador de escritorio. En el momento en que WKWebView lee o escribe una cookie que no es estrictamente necesaria, se activa ePrivacy. En el momento en que WKWebView envía una solicitud de analítica o publicidad que lleva datos personales, se activa el GDPR. El contenedor de Apple no cambia el análisis — lo que cambia es la superficie de implementación, porque el banner de consentimiento debe renderizarse dentro de la vista web y el estado de consentimiento debe ser visible para el código nativo que también puede estar leyendo los mismos datos.

El Banner Dentro de la Vista Web

El patrón estándar es renderizar un banner CMP dentro del WKWebView de la misma manera que lo haría en un sitio web. El banner establece cookies en el almacén de cookies de la vista web, dispara un evento de actualización de consentimiento en el contexto JavaScript de la página y actualiza una máquina de estados de Google Consent Mode v2 que leen las etiquetas de analítica y publicidad de la página. La implementación no es diferente de un CMP web normal — lo que es diferente es que el almacén de cookies está restringido al WKWebView y no es visible para otras aplicaciones ni para Safari, lo que es útil para el aislamiento pero no útil si el editor también gestiona un sitio web donde el usuario ya ha dado su consentimiento.

Compartir el Consentimiento Entre la Vista Web y el Contenedor Nativo

El problema más difícil es el puente entre el WKWebView y el contenedor nativo. El contenedor nativo puede tener su propio SDK de analítica que lee el IDFA después de que el usuario haya concedido ATT, mientras que la vista web tiene su propio banner de consentimiento que el usuario puede o no haber aceptado. Si el usuario concede ATT pero rechaza el consentimiento publicitario en la vista web, el SDK nativo puede leer el IDFA pero las etiquetas de la vista web no deben hacerlo. Si el usuario niega ATT pero acepta el consentimiento publicitario de la vista web, el SDK nativo queda bloqueado pero las etiquetas de la vista web deben seguir disparándose — aunque el identificador basado en IDFA del SDK nativo obviamente no puede pasar por el puente. El patrón más limpio es una única fuente de verdad — el CMP — expuesta a través de un puente JavaScript que el contenedor nativo lee al inicio de la aplicación y en cada cambio de consentimiento, con una solicitud ATT paralela que difiere a la decisión publicitaria del CMP en lugar de preguntar de nuevo.

La Capa CPRA y de los Estados de EE. UU.

Para los editores de EE. UU. la imagen tiene una tercera capa. La CPRA, más el conjunto de leyes estatales que siguieron a Virginia, Colorado, Connecticut y Utah, tratan el IDFA de la misma manera que tratan las cookies web — ambas son información personal cuya venta o intercambio activa un derecho de exclusión voluntaria. La cabecera Global Privacy Control que envían los navegadores web es la señal dirigida al consumidor, y el Multi-State Privacy Agreement (MSPA) del IAB con su US Privacy String asociada es la señal dirigida al editor. Una aplicación híbrida que se publica en EE. UU. necesita mostrar un enlace 'No vender ni compartir mi información personal' dentro de la propia aplicación, dirigir la exclusión voluntaria resultante tanto al CMP de la vista web como al SDK de medición del contenedor nativo, y respetar cualquier cabecera GPC entrante que llegue a la vista web desde un enlace profundo.

Niños y COPPA Dentro de Aplicaciones Híbridas

Si la aplicación está clasificada para niños o existe una expectativa razonable de usuarios menores, COPPA en EE. UU. y las disposiciones GDPR-K en la UE imponen restricciones adicionales sobre ATT y el consentimiento estándar. El IDFA no debe solicitarse en absoluto para cuentas de menores, el consentimiento publicitario de la vista web debe configurarse de forma predeterminada como denegado, y cualquier SDK de terceros en el contenedor nativo debe confirmarse que cumple con COPPA antes de publicarse. La revisión de la App Store rechaza las aplicaciones clasificadas para niños que muestran la solicitud ATT estándar, que es un error de implementación común cuando los equipos construyen un único binario para todos los públicos.

El Patrón de Ingeniería que se Publica

La arquitectura de aplicación híbrida que supera tanto la revisión de la App Store como una auditoría de privacidad de la UE tiene un pequeño número de elementos repetibles. El banner CMP dentro del WKWebView es la fuente de verdad para el consentimiento publicitario. La solicitud ATT se muestra solo después de que el CMP haya resuelto, solo si el usuario aceptó el consentimiento publicitario y solo con una solicitud previa personalizada que explica qué habilitará el seguimiento. Un puente JavaScript expone el estado de consentimiento del CMP al contenedor nativo al inicio de la aplicación y emite un evento en cada cambio de consentimiento. Los SDK del contenedor nativo están condicionados tanto al consentimiento publicitario del CMP como al estado de autorización ATT; que cualquiera de los dos deniegue la solicitud es suficiente para bloquear el SDK.

Solicitudes Previas y la Guía de Apple

Apple permite — y en la práctica espera — una solicitud previa antes de la solicitud del sistema ATT que explique en voz del editor por qué la aplicación quiere el seguimiento y qué obtiene el usuario a cambio. Una solicitud previa bien redactada puede elevar sustancialmente las tasas de aceptación. Lo que Apple no permite es una solicitud previa que intente eludir la solicitud del sistema, que represente incorrectamente las consecuencias del rechazo, o que condicione la funcionalidad de la aplicación a la autorización de seguimiento. Los revisores rechazan aplicaciones por los tres patrones y cada vez más por usar la solicitud previa para empujar hacia la aceptación con textos manipuladores.

Servidor y SKAdNetwork como Alternativas

Cuando ATT es denegado o el consentimiento publicitario es rechazado en la vista web, el editor puede recurrir a SKAdNetwork para la atribución — la red de Apple que preserva la privacidad y entrega datos de conversión sin exponer identificadores de usuario individuales. SKAdNetwork no está sujeto a ATT y funciona independientemente de la decisión de consentimiento del usuario, lo que lo convierte en la opción predeterminada correcta para la medición cuando la ruta personalizada está cerrada. Los postbacks de servidor a servidor del contenedor nativo a un servicio de identidad propiedad del editor también pueden llenar la brecha de medición, siempre que los datos sean genuinamente de primera parte y no se combinen con datos de otros operadores de una manera que los devuelva a la definición de seguimiento de Apple.

Errores Comunes que Provocan Rechazos o Auditorías

Las aplicaciones híbridas que se retiran o se multan tienden a fallar de la misma manera. El banner CMP dentro del WKWebView se dispara antes de que la solicitud ATT se haya resuelto, colocando cookies en el dispositivo mientras el permiso de Apple todavía está pendiente — un hallazgo que puede resultar en el rechazo de la App Store. La solicitud ATT se muestra sin una solicitud previa y en el inicio en frío, produciendo bajas tasas de aceptación y una experiencia de usuario confusa que aumenta la deserción. El SDK de analítica del contenedor nativo lee el IDFA antes de que el CMP haya disparado su primer evento de consentimiento, colocando datos personales en la red sin una base legal clara. El estado de consentimiento de la vista web y el estado de autorización del contenedor nativo se mantienen en almacenes separados sin sincronización, produciendo un usuario que ha rechazado la publicidad en la vista web pero cuyo SDK nativo de anuncios sigue disparándose. Cada uno de estos es una corrección de uno a dos días de ingeniería y un pase de prueba de regresión — pero cada uno es también el patrón exacto con el que un auditor o revisor abre.

La Conclusión

ATT y el consentimiento de cookies no son capas redundantes superpuestas. ATT es una puerta de permisos limitada a una API específica de iOS, y el consentimiento de cookies es una base legal para el procesamiento de datos en cualquier entorno de clase navegador, incluyendo un WKWebView. Una aplicación híbrida necesita ambos, conectados de manera que el usuario vea una decisión coherente en lugar de dos avisos contradictorios, y de manera que el contenedor nativo y la vista web honren la misma respuesta. Los editores que lo hacen bien publican aplicaciones que pasan la revisión, monetizan de manera fiable y nunca aparecen en el resumen de aplicación de un regulador. Los editores que tratan ATT como la respuesta completa o que dejan que el consentimiento de la vista web y el contenedor nativo diverjan pasarán 2026 alternando entre reuniones de revisión de la App Store y cartas de respuesta a auditorías. Construya el puente una vez, trate el CMP como la fuente de verdad y deje que ATT sea el bloqueo específico de iOS sobre una postura de privacidad que ya es coherente en la capa web.