MSPA zer den — eta zer ez den

MSPA IAB-k argitaratutako kontratu pribatu eta oinarritutako esparru bat da. Ez da lege bat eta ez ditu estatuetako estatutuak ordezten. Horren ordez, parte-hartzaileek — argitaratzaileek, agentzia, iragarki-sareek, SSP-ek, DSP-ek eta datu-hornitzaileek — sinatzen duten alderdi anitzeko hitzarmena da, publizitate programatikoaren bidez informazio pertsonala nola joaten den aldarrikapen legal koherenteak egiteko. Kateko guztiek kontratu bera sinatzen dutenean, beherako saltzaileek ez dute berrogeita hamar erosketa-hitzarmen bilateral negoziatu behar eskaintza-eskaera bakar bat kudeatzeko.

Pentsatu MSPA aldi berean hiru gauza bezala:

• Kontratu bat, sinatzaile batek datuak beste sinatzaile bati pasatzen dionean beherantz automatikoki dabilena.
• Hiztegia GPP-kodetutako kateak erabiliz erabiltzaile-aukerak adierazteko, salmentatik, partekatzetik, iragarki zuzendutatik eta datu sentikorraren tratamendutik ateratzeak barne.
• Arrisku-banaketa esparru bat, sinatzaile bakoitza hiru roletako batean kokatzen duena — Estaldutako Enpresa, Zerbitzu Hornitzaile/Prozesadore edo Hirugarren Alderdia — eta bakoitzari atxikitako betebeharrak.

MSPA zer ez den: zure pribatutasun-oharraren ordezko bat, beharrezkoa denean erabiltzailearen zuzeneko baimenaren ordezko bat, edo estatu-lege zehatz batekin betetzea bermatzen duena. Tresna bat da, behar bezala erabilita, hainbat estatutako legeekiko betetzea operazionalki posible egiten duena. Gaizki erabilita — adibidez, partaidetza seinaleztatu bitartean datu-trukaketa jarraitzen bada opt-out baten ostean — zure erantzukizuna handitzen du murriztu beharrean.

Nori axola zaio: MSPA-ko hiru rolak

Ezer sinatu aurretik, zein rol betetzen duzun identifikatu. Argitaratzaile gehienek harritu egiten dira datu-jarioaren arabera txapela bat baino gehiago eramaten dutela jakitean.

Estaldutako Enpresa

Estaldutako Enpresa zara erabiltzaileari buruzko informazio pertsonala prozesatzeko helburuak eta bitartekoak zuk zehazteko badira — normalean erabiltzaileak bisitatzen duen webgunea edo aplikazioa ustiatzeko argitaratzailea. Estaldutako Enpresa gisa, baimena biltzeko, oharrak erakusteko, opt-outak errespetatzeko eta beherako saltzaileek oinarritzen diren GPP seinalea konfiguratzeko ardura duzu. Erabiltzaileari begirako zamak zurekin daude.

Zerbitzu Hornitzaile edo Prozesadore

Zerbitzu Hornitzaile zara informazio pertsonala Estaldutako Enpresa baten izenean kontratu baten pean eta helburu mugatuetarako eta onargarrietarako soilik prozesatzen badituzu. Analitika saltzaile gehienek, hosting hornitzaileek eta baimen kudeaketa plataformek ildo honetan funtzionatzen dute. MSPAk murrizketak ezartzen ditu: ez saltzea, ez zure izenean testuinguru arteko portaera-publizitaterik, eta ondo definitutako atxikipen eta ezabatze arauak.

Hirugarren Alderdia

Hirugarren Alderdia zara Estaldutako Enpresa batetik informazio pertsonala jasotzen eta zure helburu propioetarako erabiltzen baduzu — SSP, DSP, identitate-saltzaile eta datu-artekari gehienek hemen sartzen dira. Hirugarren Alderdiek kontratu-betebehar astunagoak dituzte, erabiltzaileen eskubideen zuzeneko kudeaketa eta beherako datu-trukaketa-betebeharrak barne, beren bazkideekin datuak partekatzen dituztenean.

MSPA eta Global Privacy Platform (GPP)

MSPA ez da hutsunean existitzen. Kontratu-geruza da; GPP seinaleztapen geruza teknikoa da. IAB Tech Lab-en Global Privacy Platformak erabiltzaile-aukerak katea bakarrean kodetzen ditu, OpenRTB protokoloaren bidez eskaintza-eskaerekin bidaiatzen duena. AEBetako seinaleztapenerako, GPP-k estatu-kateak daramatza pribatutasun lege integralarekin estatuetako bakoitzerako — adibidez, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) eta atal dedikatuari gabeko estaturako AEB Nazional katea.

MSPAk zure CMP-ri esaten dio GPP atal horietan zein arlo ezarri estaldura aldarrikatzeko. Argitaratzaileek ikusiko eta konfiguratuko dituzten arlo garrantzitsuenak honako hauek dira:

• MspaCoveredTransaction — Yes-era ezarrita argitaratzaileak eskaintza-eskaera MSPA esparruak estaltzen duela aldarrikatzen duenean.
• MspaOptOutOptionMode — erabiltzaileak MSPA-ren gardentasun arauen arabera behar bezalako opt-out aukera eman zaion adierazten du.
• MspaServiceProviderMode — beherako saltzaileek datuak zerbitzu-hornitzaile gisa soilik tratatu behar dituztenean ezarrita.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — eskaintzaileek inpresioarekin zer egin dezaketen erabakitzeko irakurtzen dituzten baimen-bandera zehatzak.
• SensitiveDataProcessing — erabiltzailearen aukerak seinaleztatzeko elementu anitzeko array bat jatorri arraza, erlijio-sinesmen, osasun, sexu-orientazio, herritartasun, kokapen zehatza eta estatuko legeak definitutako beste kategoria sentikorretarako.

Zure CMP-ak MspaCoveredTransaction = Yes ezartzen badu baina argitaratzaileak ez badu benetan MSPA kontratua sinatu, seinaleztapenean oinarritu diren beherako sinatzaileek aldarrikapen faltsu bat egin duzu. Kontratu-eztabaida baterako eta, estatuaren arabera, erregulatzaile-kexu baterako bide azkarra da.

Datu Sentikorrak: Argitaratzaile Gehienek Galtzen Duten Trantza

Californiatik aurrera onartutako AEBetako estatuetako pribatutasun lege integralak informazio pertsonal sentikorraren definizioa zabaldu du, eta MSPAk hauek GPP eremu bateratu batean biltzen ditu. Kategoriek normalean honakoak biltzen dituzte:

• Gobernuaren identifikatzaileak (Gizarte Segurantzako zenbakia, gidabaimena, pasaportea).
• Kontuetako kredentzialak eta finantza-informazioa.
• Kokapen zehatza, oro har 533 metro baino estuagoa.
• Jatorri arraza edo etniko, erlijio-sinesteak, osasun mental edo fisikoko diagnostikoak.
• Sexu-bizitza eta sexu-orientazioa.
• Herritartasuna eta immigrazio-egoera.
• Pertsona bat identifikatzeko erabilitako datu genetikoak eta biometrikoak.
• 13 urte baino gutxiagoko haur ezagun bati buruzko datuak — eta estatu batzuetan, 16 urte baino gutxiagokoen babesa gehigarria dutenak.

Hainbat estatuk datu sentikorren tratamendurako opt-in baimena eskatzen dute, beste batzuk berriz opt-out eskubidearekin tratamendua onartzen dute. MSPA-ren GPP kodeketak biak adierazten uzten dizu, baina zure CMP-k erabiltzailearen estatuan oinarrituta zein eskatu jakin behar du. Datu sentikorren sailkapen okerra — adibidez, osasun-edukia arakatzea portaera-datu arrunt gisa tratatzea — 2024–2025eko betearazpen-ekintzetan estatuetako fiskal nagusiek nabarmendu duten porrot modu ohikoena da.

MSPA-Prest Baimen-Fluxua Eraikitzea

MSPAren inplementazioa zure gunean edo aplikazioan koordinazio-problema bat da lege, ingeniaritza eta iragarki-eragiketen artean. Lana gutxi gorabehera bost lan-ildo bitan banatzen da.

1. Sinatu MSPA eta Mantendu Zure Sinatzaile Egoera

MSPA benetako kontratu bat da, aholkularitza juridikoak berrikusi eta exekutatu behar duena. Zuk aritzen zaren rol edo rolak, AEBetako estatuak non egiten duzun negozio eta prozesatzen dituzun datu-kategoriak adieraziko dituzu. Berritu urtero eta eguneratu IAB Tech Lab-en sinatzaile portala zure rola edo jurisdikzioa aldatzen denean.

2. Konfiguratu Zure CMP Estatu Anitzeko Logikarako

CCPA-ko banner bakarrak ez du nahikoa. Zure CMP-k erabiltzailearen estatua detektatu behar du — normalean pribatutasun babes baten bidez babesten den IP geolokalizazioaren bidez — eta jurisdikzio horretarako ohar, esteka eta opt-out kontrol egokiak aurkeztu. FlexyConsent eta Google-k ziurtatutako beste CMP moderno batzuek estatu-estatu txantiloiak dituzte, estatu-estatu GPP atal-katea zuzenak mapeatzen dituztenak.

3. Konektatu GPP Kateak Zure Iragarki Pilara

GPP katea AEBetako erabiltzaile batetik datozen OpenRTB eskaintza-eskaera guztietan sartu behar da. Google Ad Manager erabiltzaileentzat, horrek GPP euskarria sareko ezarpenetan gaitzea esan nahi du; Prebid erabiltzaileentzat, gppControl_usnat eta estatuko moduluak instalatzea eta consentManagement egokitzailea kodetutako katea birbidaltzen ari den berrestea esan nahi du. IAB Tech Lab GPP dekoderrera erabiliz CMP-tik eskaintza-eskaerara bidaia osoa egiaztatu.

4. Global Privacy Control (GPC) Seinalea Errespetatu

Estatu-lege gehienek — California, Colorado, Connecticut eta hazten ari den zerrenda batek — nabigatzaile-mailako GPC seinalea opt-out baliogarri gisa errespetatzea eskatzen dute. MSPAk sinatzaileei GPC detektatzea eta SaleOptOut, SharingOptOut eta TargetedAdvertisingOptOut arloak horren arabera aurrez ezartzea espero du, erabiltzaileak banerra ukitu aurretik ere. Zure CMP-k GPC detektatu eta horretan jardun ezin badu, MSPA kidea izanda ere ez zara bete-betean.

5. Beherako Saltzaileak Auditatu

MSPA-ren beherako fluxu-logika funtzionatzen du zure saltzaileak ere sinatzaileak badira soilik. SSP, DSP edo datu-bazkide bati datuak bidali aurretik, egiaztatu haien sinatzaile egoera IAB Tech Lab portalean. Sinatzaile ez diren saltzaileak AEBetako trafikorako zure iragarki pilatik kendu behar dira edo MSPA baldintzak islatzen dituzten DPA bilateral bereiziak bidez estali.

Inplementazio Ohiko Arazoak

Hainbat porrot eredu agertzen dira behin eta berriz argitaratzaile auditetan:

• MSPA estaldura seinaleztatzea sinatu gabe. GPP katean MspaCoveredTransaction = Yes ezartzea argitaratzailearen entitate juridikoak MSPA exekutatu ez duenean seinaleztapenean oinarritu diren beherako sinatzaile aurrean argitaratzaileari ordezkatze-aldarrikapenak agertarazi diezazkioke.
• Texas, Oregon eta Montana ahaztea. Jatorrizko bost estatuko paisaiarako konfiguratutako argitaratzaileek 2024 eta 2025ean indarrean sartu diren legeak galtzen dituzte. Bakoitzak bere opt-out abiaratzaileak ditu; MSPAk hauek estaltzen ditu, baina zure CMP-ren estatu-detekzio logikak hauek barne hartzen baditu soilik.
• Datu sentikorreko seinaleak baztertzea albiste eta bizi-estilo edukietan. Osasun, erlijio edo LGBTQ-ko gai bateko artikulu irakurle batek ezin-bestean datu sentikorrak prozesa ditzake. Edukien auditoria bat egin eta CMP-n kategoria-mailako gainidatziak konfiguratu.
• GPC aholkugarri gisa tratatzea. Californiako erregulatzaileak 2024an argitu zuen GPC baztertzea urraketa bakoitzeko arau-haustea dela. MSPAk ez zaitu hori ezkutatzen — GPC errespetatzea zure gain dago.
• Ertzetako kaché GPP katea zaharkituak. CDN edo zerbitzu-langileak orrien katxea-gordeketaz erabiltzaile bati aurreko saio batetik GPP katea zaharkitua serba dakioke. Desgaitu katxea baimenen amaierako puntuan eta gehitu freskatu-pausoa baimen aldaketan.

Nola Eragiten Dion MSPAk Iragarki Sarrerari

MSPAa behar bezala ezartzen duten argitaratzaileek normalean diru-sarrera murrizketa txiki labur baten ondotik egonkortasuna ikusten dute, inplementazio lohikoa biek eskaintzak gehiegi mugatzen duten bitartean edo argitaratzailea betearazpen arriskuari agerian uzten duten bitartean. Aldagaiak:

• Opt-out tasak — Opt-out esteka nabarmenak dituzten estatuetan, erabiltzaile-en %5-15 normalean salmentatik edo partekatzetik ateratzen da. Opt-out egindako inpresioen eskaintza-prezioak normalean %30-60 jaisten dira portaera-zuzendaria eskuragarri ez dagoelako.
• Eduki sentikorraren sailkapena — Eduki arrunta sentikor gisa sailkatzeak eskaera kolapsatuko du. Izan kontserbadore eta kategoria-zehatz.
• Header bidding bazkide nahasketa — AEBetako trafikorako desgaitu behar dituzun MSPA sinatzaile ez diren bazkideek zure enkantea murrizten dute. Ordeztu hauek sinatzaileekin eta ez exekutatu eskari-eskasiarekin.
• Zerbitzari-aldeko etiketatzea — GPP katea irakurtzen duen eta baldintzapean etiketak pizten dituen zerbitzari-aldeko kontenedore bat analitika eta baimena sinkronian mantentzeko modurik garbiena da.

Hurrengoa Zer Da: 2026 eta Aurrera

MSPA bizidun hitzarmena da. IABk urtero edo biz eguneratzen du estatuko lege berri, fiskal nagusiaren gida eta proposamen federalek paisaia birformatzen duten heinean. 2026an begiratzeko gaiak:

• Estatuetako araubideak partzialki ordeztu litzakeen lege federal pribatutasunezko bat — MSPAk preenpzio babes logika du, beraz sinatzaileak ez dira abandonatuta geldituko.
• GPP-aren zabaltzea Washington My Health My Data Aktak eta antzeko estatutuen peko osasun-seinale espezifikoak estaltzeko.
• California Privacy Protection Agency-k eta Texas-ko fiskal nagusiak opt-out fluxuetan arau ilun-patroi arau zorroztuago betearazpena.
• Integrazio AI eta hizkuntza-eredu handien prestakuntza adierazpenekin, hainbat estatu-legebiltzarrek eztabaidatzen ari direnak.

MSPA inplementazioa proiektu bakarreko proiektu gisa tratatzen duten argitaratzaileak atzean geldituko dira. Tratatu etengabeko higiene operazional gisa, lege, iragarki-eragiketak eta produktu-ingeniaritzak batera jabetuta, hiru hilean behin berrikusita. AEBetako estatu anitzeko betepenean irabazten ari diren argitaratzaileak ez dira abokatu gehien dituztenak — euren CMP, iragarki pila eta ikuskaritza-erregistroak erregulatzaileak galdetzen duenean istorio bera kontatzen dutenak dira.

Ondorioa

MSPA AEBetako paisaia pribatutasun zatituari erantzun praktikoa da. Ez ditu legeak zure izenean onartuko, baina zure eskaintza-korronte, saltzaile eta lege-taldeari opt-out, datu sentikor eta beherako betebeharretarako hizkuntza komun bakarra emango die. Estatu-jakintsu CMP, GPP seinaleztapen zehatza eta saltzaile kudeaketa diziplinatua elkartu, eta jurisdikzio inguruko eztabaida gutxiagoan eta monetizatzeko baimena duzun inpresioetan denbora gehiago emango duzu. Hori da 2026 eta haren atzean lerrotutako estatuko legeen uholdearen bidean bide iraunkor bakarra.