Que é o Global Privacy Control?

O Global Privacy Control (GPC) é un sinal a nivel de navegador que permite ás persoas indicar automaticamente a cada sitio web que visitan que non vendan nin compartan os seus datos persoais. En lugar de facer clic en "rexeitar" nun banner de cookies sitio a sitio, o usuario activa o GPC unha soa vez — no seu navegador ou nunha extensión — e esa preferencia viaxa con el por toda a web.

Pénsao como un interruptor universal de exclusión. Cando o GPC está activado, o navegador engade un sinal a cada solicitude e exponno a JavaScript. Espérase que o teu sitio web lea ese sinal e o trate como unha elección de privacidade válida e xuridicamente vinculante, sen necesidade de ningunha interacción co banner.

Por que o GPC importa xuridicamente

O GPC non é unha mera cortesía. Nun número crecente de xurisdicións, respectalo é unha obriga legal, e os reguladores xa tomaron medidas de cumprimento contra empresas que o ignoraron.

California (CCPA/CPRA)

Baixo a CCPA modificada pola CPRA, as empresas deben tratar un sinal de preferencia de exclusión como unha solicitude de exclusión da venda ou compartición de información persoal. O Fiscal Xeral de California e a California Privacy Protection Agency confirmaron que o GPC é un sinal de exclusión válido que debe respectarse, e non respectalo xa derivou en medidas de cumprimento públicas.

Outros estados dos EUA

Colorado, Connecticut, Texas, Oregón, Montana e varios outros estados esixen agora o recoñecemento de mecanismos universais de exclusión. A lista medra cada ano, e o GPC é o estándar de facto ao que apuntan estas leis — crear a compatibilidade unha soa vez aliñate con todas elas.

Europa e GDPR

O GDPR non nomea o GPC de forma explícita, pero esixe que o consentemento se outorgue libremente e que retiralo sexa tan sinxelo como concedelo. Un sinal de exclusión claro e automatizado encaixa de cheo nese principio, e os reguladores da UE amosan un interese crecente nos sinais de preferencia lexibles por máquina.

Como funciona o GPC tecnicamente

O GPC é deliberadamente sinxelo. Cando un usuario o activa, o navegador comunica a preferencia de tres formas complementarias:

• Unha cabeceira HTTP — cada solicitude inclúe Sec-GPC: 1, de modo que o teu servidor pode detectar o sinal antes de que se execute unha soa liña de JavaScript da páxina.
• Unha propiedade de JavaScript — navigator.globalPrivacyControl devolve true, permitindo que os scripts do lado do cliente e as ferramentas de consentemento reaccionen no navegador.
• Unha política descubrible — os sitios poden publicar un ficheiro /.well-known/gpc.json que describe como interpretan o sinal.

Como o sinal está dispoñible tanto no lado do servidor como no do cliente, podes aplicalo na capa que mellor se adapte á túa stack.

Como detectar e respectar o GPC no teu sitio

Respectar o GPC significa aplicar automaticamente a exclusión do usuario sen obrigalo a tocar o teu banner. Unha implementación robusta ten este aspecto:

• Detecta cedo. Le a cabeceira Sec-GPC no servidor, ou comproba navigator.globalPrivacyControl en canto se cargue o teu script de consentemento.
• Aplica a exclusión. Suprime por defecto as cookies non esenciais, as etiquetas de publicidade e analítica, e calquera venda ou compartición de datos para ese visitante.
• Reflicte o estado. Amosa o banner nun estado de exclusión para que o usuario vexa que se entendeu a súa elección, e que aínda poida outorgar o consentemento se de verdade o desexa.
• Rexístrao. Rexistra que a decisión se motivou nun sinal GPC, cunha marca de tempo, para que dispoñas dunha proba de cumprimento auditable.

GPC fronte a banners de cookies: aínda precisas ambos?

Si. O GPC e os banners de consentemento resolven problemas que se solapan pero son distintos. O GPC é un sinal de exclusión que aborda principalmente as regras de estilo estadounidense de "non vender nin compartir", mentres que a UE opera nun modelo de inclusión no que debes recoller o consentemento afirmativo antes de establecer cookies non esenciais. Un sitio conforme usa o GPC para preaplicar a preferencia global do usuario e un banner para captar o consentemento explícito onde a lei o esixe. Ambos deben reforzarse mutuamente, nunca contradicirse.

Erros comúns que evitar

• Ignorar a cabeceira por completo e comprobar só no cliente, de xeito que os datos saen antes de que o GPC chegue a avaliarse.
• Detectar o GPC pero non facer nada con el — o recoñecemento sen aplicación non é cumprimento.
• Anular o usuario volvendo preguntar aos visitantes con GPC mediante un banner que os empuxa de novo cara ao seguimento.
• Esquecer a documentación — sen rexistros non podes demostrarlle a un regulador que o sinal foi respectado.

Como xestiona o GPC FlexyConsent

FlexyConsent detecta o sinal GPC automaticamente tanto no servidor como no cliente, aplica a exclusión correspondente antes de que se execute calquera script non esencial, e rexistra un rexistro de consentemento auditable para cada visitante. Obtés compatibilidade universal coa exclusión, cobertura multixurisdicional e proba de cumprimento listas para usar — sen escribir ti mesmo a lóxica de detección. Respectar o Global Privacy Control estase a converter rapidamente nun requisito básico, e os sitios que o fan ben constrúen unha confianza duradeira cos seus usuarios.