Que é o sinal Global Privacy Control?

O Global Privacy Control é un sinal baseado no navegador que comunica a preferencia dun usuario de excluírse da venda ou compartición da súa información persoal. Transmítese de dúas formas: como cabeceira de solicitude HTTP (Sec-GPC: 1) enviada con cada solicitude saínte, e como propiedade JavaScript (navigator.globalPrivacyControl) que devolve un booleano. Cando calquera dos dous está presente e estabelecido, o usuario expresou unha preferencia xurídicamente significativa que certas leis de privacidade esixen que respectes.

O GPC foi deseñado para substituír o fallido experimento Do Not Track (DNT). O DNT non tiña respaldo legal, o que significaba que os anunciantes e editores o ignoraban sen consecuencias. O GPC é diferente porque os reguladores de California escribírono directamente na elaboración de regras do CPRA, e as leis estatais posteriores seguiron ese camiño.

Que navegadores envían GPC hoxe?

A partir de 2026, o GPC está soportado de forma nativa ou dispoñible a través de extensión en todos os navegadores principais:

• Firefox — nativo, activable nos axustes de privacidade
• Brave — activado de forma predeterminada para todos os usuarios
• DuckDuckGo navegador e aplicacións móbiles — activado de forma predeterminada
• Safari — dispoñible a través de extensións e configuración de privacidade de iOS
• Chrome e Edge — dispoñibles a través da extensión oficial de GPC e varios complementos de privacidade

As estimacións suxiren que entre o 8 e o 15 por cento do tráfico web de EUA leva agora un sinal GPC, con taxas significativamente máis altas en demografías favorables á privacidade. Para un editor de tamaño mediano, iso representa unha parte non trivial do inventario que non se pode monetizar mediante segmentación comportamental tradicional sen violar os dereitos de exclusión.

Que leis de privacidade fan que o GPC sexa legalmente vinculante?

O GPC non é un único requisito federal. A súa aplicabilidade está fragmentada entre as leis estatais, cada unha con alcances e penalizacións lixeiramente diferentes.

California — CPRA e CCPA

Os regulamentos finais do CCPA do fiscal xeral de California esixen explicitamente ás empresas que traten o GPC como unha exclusión válida de venda e compartición. O acordo Sephora de 2022, que resultou nunha penalización de 1,2 millóns de dólares, citou especificamente o incumprimento de procesar o GPC como sinal de exclusión como unha das violacións fundamentais. A Axencia de Protección da Privacidade de California continuou cunha aplicación agresiva ao longo de 2024 e 2025, sendo o manexo do GPC agora un foco de auditoría estándar.

Colorado Privacy Act

O CPA esixe aos controladores que recoñezan un Universal Opt-Out Mechanism (UOOM) a partir do 1 de xullo de 2024. O fiscal xeral de Colorado designou expresamente o GPC como un UOOM aprobado nas súas especificacións técnicas.

Connecticut Data Privacy Act

O CTDPA entrou en vigor o 1 de xaneiro de 2025 cun requisito de recoñecemento UOOM idéntico en espírito ao de Colorado. As empresas que operan en Connecticut deben respectar o GPC para as exclusións de publicidade dirixida e a venda de datos persoais.

Estados adicionais de EUA en 2026

• Oregon — A Lei de Privacidade do Consumidor de Oregon recoñece os mecanismos universais de exclusión
• Texas — O TDPSA esixe o recoñecemento da exclusión universal a partir do 1 de xaneiro de 2025
• Delaware, New Jersey, New Hampshire — disposicións similares de UOOM en vigor ou en implantación gradual
• Montana — en vigor desde outubro de 2024, inclúe requisitos de recoñecemento de GPC

E Europa e o GDPR?

O GPC non é explicitamente esixido polo RGPD da UE nin pola Directiva de privacidade electrónica. Non obstante, algúns reguladores europeos sinalaron informalmente que respectar unha exclusión clara a nivel de navegador está aliñado co espírito da lei. Na práctica, os editores que atenden a públicos globais deberían tratar un sinal GPC procedente de usuarios da UE como, como mínimo, un sinal forte para suprimir os píxeles de seguimento que carecen de base xurídica.

Como interactúa o GPC co teu CMP e o modo de consentimento

A implementación correcta do GPC require integración coa túa plataforma de xestión do consentimento, o teu sistema de xestión de etiquetas e a túa infraestrutura de seguimento no servidor. Unha integración naïf que só bloquea as cookies do lado do cliente non satisfará a maioría dos requisitos legais estatais, que tamén se aplican ao intercambio de datos de servidor a servidor.

Os catro pasos dun fluxo GPC conforme

1. Detectar o sinal na carga da páxina lendo navigator.globalPrivacyControl e, no lado do servidor, inspeccionando a cabeceira de solicitude Sec-GPC.
2. Suprimir o banner para os residentes de EUA onde o GPC actúa como pre-exclusión, ou mostrar o banner cos opt-outs relevantes xa aplicados.
3. Propagar a exclusión ao teu xestor de etiquetas, configuración do modo de consentimento, puntos finais de seguimento do servidor e calquera asociación de intercambio de datos (redes publicitarias, SSP, provedores de análises).
4. Rexistrar o sinal como artefacto de cumprimento con marca de tempo, identificador de usuario onde corresponda e as exclusións específicas aplicadas.

GPC e Google Consent Mode v2

Google Consent Mode v2 introduciu dous sinais que se mapean claramente co GPC: ad_user_data e ad_personalization. Cando se detecta un sinal GPC, ambos deben establecerse en denegado durante a sesión do usuario. Isto asegura que os datos que chegan ás propiedades de Google se clasifiquen para modelado sen cookies en lugar de usarse para publicidade personalizada. Non propagar o GPC ao modo de consentimento é un dos erros de implementación máis comúns que vemos nas auditorías de editores.

API do lado do servidor e de medición

O GPC aplícase a todo o procesamento, non só ás cookies do navegador. Se o teu stack usa Meta Conversions API, TikTok Events API ou o Measurement Protocol de Google, esas chamadas tamén deben respectar a exclusión. Un patrón de fallo común: o banner do lado do cliente bloquea o Meta Pixel, pero unha integración do lado do servidor continúa disparando eventos con datos de correo electrónico cifrados. Esta é unha violación de manual do dereito CCPA de exclusión da venda.

Erros de implementación comúns

Os fallos de cumprimento de GPC máis frecuentes que vemos durante as auditorías de editores caen en categorías predicibles.

Erro 1: tratar o GPC só como exclusión de cookies

Moitos CMP só desactivan as cookies non esenciais cando se detecta o GPC. Pero as leis estatais definen «venda» e «compartición» para incluír transferencias de datos do lado do servidor, creación de perfís de programas de fidelidade e sindicalización de datos de primeira parte. Se o teu banner de cookies respecta o GPC pero o teu backend continúa enviando perfís de usuarios a un corredor de datos, non estás cumprindo.

Erro 2: ignorar o GPC para usuarios autenticados

Se un usuario iniciou sesión, o sinal GPC segue aplicándose. Algúns editores tratan as relacións autenticadas como un substituto implícito. Os reguladores non están de acordo. A exclusión flúe cara ás exportacións de CRM, o intercambio de listas de correo electrónico e as cargas de audiencia de retargeting.

Erro 3: sen lóxica de alcance xeográfico

O GPC só é legalmente vinculante para os usuarios nos estados con leis de exclusión. Se o aplicas globalmente como un bloqueo duro, perdes a monetización no tráfico de xurisdicións onde non ten efecto legal. Unha implementación correctamente delimitada usa a xeolocalización IP como filtro de primeira pasada, aplica o GPC para os residentes dos estados onde é vinculante e presenta un fluxo de consentimento normal noutros lugares.

Erro 4: esquecer confirmar a exclusión

Algunhas leis, especialmente en California, esperan que os usuarios reciban confirmación de que a súa exclusión foi procesada. Unha pequena notificación — «Detectamos un sinal Global Privacy Control e excluímoste da venda da túa información persoal» — é un artefacto de cumprimento de baixo custo con grande valor regulatorio.

Impacto nos ingresos publicitarios

O impacto nos ingresos do GPC depende en gran medida do teu mix de tráfico, estratexia de monetización e da elegancia con que o teu stack manexa o inventario sen cookies. Nos editores con que traballamos, os usuarios que emiten sinal GPC normalmente monetizan ao 40 a 70 por cento dos usuarios con consentimento total cando se lles sirve con anuncios contextuais e non personalizados. Os editores con fortes estratexias de datos de primeira parte, header bidding do lado do servidor e socios de demanda diversificados pechan esa brecha máis.

A resposta incorrecta ao GPC é ignoralo, porque a parte negativa regulatoria — multas de varios millóns de dólares, accións colectivas civís ao abeiro do dereito de acción privada do CCPA e dano reputacional — supera amplamente a perda de RPM a curto prazo. A resposta correcta é construír unha vía de monetización sen cookies que trate aos usuarios GPC como un público contextual premium en lugar de inventario perdido.

Lista de accións para editores en 2026

• Auditar o teu CMP para confirmar que detecta tanto navigator.globalPrivacyControl como a cabeceira HTTP Sec-GPC
• Mapear a propagación do GPC en Google Consent Mode v2, Meta Conversions API e calquera punto final de seguimento do servidor
• Aplicar o alcance xeográfico para que o GPC sexa tratado como vinculante nos estados de EUA aplicables e como un sinal forte noutros lugares
• Rexistrar cada detección de GPC e as exclusións aplicadas, conservar os rexistros durante a duración requirida pola lei aplicable (normalmente 24 meses)
• Mostrar unha mensaxe de confirmación visible cando se detecte e respecte o GPC
• Revisar o teu stack de anuncios para alternativas de ingresos sen cookies: segmentación contextual, audiencias definidas polo vendedor, ID de acordos con parámetros contextuais
• Incluír o manexo do GPC na túa revisión anual da política de privacidade e DPIA onde corresponda

O GPC non vai desaparecer. A traxectoria é clara: máis estados de EUA adoptarán requisitos universais de exclusión, os navegadores continuarán enviando o GPC por defecto e os reguladores continuarán tratando o incumprimento de respectar o sinal como prioridade de aplicación de primeiro nivel. Os editores que integren o manexo do GPC no núcleo do seu stack de consentimento e monetización en 2026 estarán ben posicionados para a próxima onda de lexislación de privacidade. Os que o traten como algo secundario atoparanse defendendo accións de aplicación que poderían terse evitado con poucos días de traballo de enxeñería.