Que é o MSPA — e que non é

O MSPA é un marco privado baseado en contrato publicado polo IAB. Non é unha lei e non substitúe os estatutos estatais. En cambio, é un acordo multilateral ao que se adhiren os participantes — editores, axencias, redes publicitarias, SSPs, DSPs e provedores de datos — para facer afirmacións legais coherentes sobre como flúe a información persoal a través da publicidade programática. Cando todos os membros dunha cadea asinan o mesmo contrato, os provedores posteriores non precisan negociar cincuenta acordos de procesamento de datos bilaterais distintos para xestionar unha soa solicitude de oferta.

Pensa no MSPA como tres cousas á vez:

• Un contrato que flúe automaticamente cara abaixo cando un asinante pasa datos a outro asinante.
• Un vocabulario para expresar as eleccións dos usuarios mediante cadeas codificadas GPP, incluíndo exclusións de venda, compartición, publicidade dirixida e procesamento de datos sensibles.
• Un marco de asignación de riscos que mapea cada asinante a un dos tres roles — Empresa cuberta, Provedor de servizos/Procesador ou Terceiro — e as obrigas ligadas a cada un.

O que o MSPA non é: un substituto do teu aviso de privacidade, un substituto do consentimento directo do usuario onde sexa necesario, ou unha garantía de cumprimento con ningún estatuto estatal específico. É unha ferramenta que, usada correctamente, fai operativamente viable o cumprimento con múltiples leis estatais. Usada incorrectamente — por exemplo, sinalando participación mentres se continúa compartindo datos despois dun opt-out — amplía a túa responsabilidade en vez de reducila.

A quen lle importa: os tres roles do MSPA

Antes de asinar nada, identifica o papel que realmente xogas. A maioría dos editores sorpréndense ao descubrir que levan máis dun sombreiro segundo o fluxo de datos.

Empresa cuberta

Es unha Empresa cuberta se determinas as finalidades e os medios do procesamento de información persoal sobre un usuario — normalmente o editor que opera o sitio web ou aplicación que o usuario visita. Como Empresa cuberta, es responsable de recompilar o consentimento, mostrar avisos, respectar os opt-outs e configurar o sinal GPP no que confían os provedores posteriores. A carga cara ao usuario recae sobre ti.

Provedor de servizos ou Procesador

Es un Provedor de servizos cando procesas información persoal en nome dunha Empresa cuberta baixo contrato e só para finalidades limitadas e permitidas. A maioría dos provedores de analítica, provedores de aloxamento e plataformas de xestión do consentimento operan neste rol. O MSPA impón restricións: sen vendas, sen publicidade comportamental entre contextos en nome propio, e regras de retención e eliminación rigorosamente definidas.

Terceiro

Es un Terceiro cando recibes información persoal dunha Empresa cuberta e a usas para os teus propios fins — a maioría dos SSPs, DSPs, provedores de identidade e corredores de datos encaixan aquí. Os Terceiros teñen as obrigas contractuais máis pesadas, incluíndo a xestión directa dos dereitos dos usuarios e as obrigas de fluxo posterior cando comparten datos cos seus propios socios.

O MSPA e a Global Privacy Platform (GPP)

O MSPA non existe no baleiro. É a capa contractual; o GPP é a capa de sinalización técnica. A Global Privacy Platform do IAB Tech Lab codifica as eleccións dos usuarios nunha única cadea que viaxe coas solicitudes de oferta a través do protocolo OpenRTB. Para a sinalización nos EUA, o GPP transporta cadeas de sección para cada estado cunha lei de privacidade completa — por exemplo, USCA (California), USCO (Colorado), USVA (Virxinia), USCT (Connecticut), USUT (Utah) e a cadea nacional dos EUA para estados sen sección dedicada.

O MSPA dille ao teu CMP que campos establecer dentro desas seccións GPP para reclamar cobertura. Os campos máis importantes que os editores verán e configurarán inclúen:

• MspaCoveredTransaction — establecido en Yes cando o editor afirma que a solicitude de oferta está cuberta polo marco MSPA.
• MspaOptOutOptionMode — indica se ao usuario se lle deu unha opción de opt-out clara como require as regras de transparencia do MSPA.
• MspaServiceProviderMode — establecido cando os provedores posteriores deben tratar os datos só como proveedor de servizos.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — as marcas de consentimento granulares que len os licitadores para decidir o que poden facer coa impresión.
• SensitiveDataProcessing — un array de múltiples elementos que sinala as eleccións do usuario para orixe racial, crenzas relixiosas, saúde, orientación sexual, cidadanía, xeolocalización precisa e outras categorías sensibles definidas pola lei estatal.

Se o teu CMP establece MspaCoveredTransaction = Yes pero o editor non asinou realmente o contrato MSPA, acabas de facer unha afirmación falsa na que confiarán os asinantes posteriores. É un camiño rápido cara a unha disputa contractual e, dependendo do estado, unha denuncia regulatoria.

Datos sensibles: a trampa que a maioría dos editores pasan por alto

Cada lei de privacidade estatal dos EUA aprobada dende California expandiu a definición de información persoal sensible, e o MSPA intégraas nun campo GPP unificado. As categorías normalmente inclúen:

• Identificadores gobernamentais (número de seguridade social, carné de conducir, pasaporte).
• Credenciais de conta e información financeira.
• Xeolocalización precisa, xeralmente máis estreita que 533 metros.
• Orixe racial ou étnica, crenzas relixiosas, diagnósticos de saúde mental ou física.
• Vida sexual e orientación sexual.
• Cidadanía e situación migratoria.
• Datos xenéticos e biométricos usados para identificar a unha persoa.
• Datos relativos a un neno coñecido menor de 13 anos — e nalgúns estados, menores de 16 anos con proteccións adicionais.

Varios estados requiren consentimento opt-in para o procesamento de datos sensibles, mentres que outros permiten o procesamento cun dereito a opt-out. A codificación GPP do MSPA permíteche expresar calquera deles, pero o teu CMP debe saber cal pedir en función do estado do usuario. A clasificación incorrecta dos datos sensibles — por exemplo, tratar a navegación de contido de saúde como datos de comportamento ordinarios — é o modo de fallo máis común sinalado polos fiscais xerais dos estados nas accións de execución de 2024-2025.

Construír un fluxo de consentimento listo para o MSPA

Implementar o MSPA no teu sitio ou aplicación é un problema de coordinación entre os departamentos xurídico, de enxeñería e de operacións publicitarias. O traballo divídese en aproximadamente cinco fluxos de traballo.

1. Asina o MSPA e mantén o teu estado de asinante

O MSPA é un contrato real que o asesor xurídico debe revisar e executar. Declararás o rol ou os roles en que operas, os estados dos EUA onde fas negocios e as categorías de datos que procesas. Renova anualmente e actualiza o portal de asinantes do IAB Tech Lab cada vez que cambie o teu rol ou xurisdición.

2. Configura o teu CMP para a lóxica multiestadual

Un único banner CCPA xa non é suficiente. O teu CMP debe detectar o estado do usuario — normalmente a través de xeolocalización IP respaldada por un mecanismo de privacidade de reserva — e mostrar os avisos, ligazóns e controis de opt-out correctos para esa xurisdición. FlexyConsent e outros CMP modernos certificados por Google inclúen plantillas multiestado que mapean estado a estado ás cadeas de sección GPP correctas.

3. Integra as cadeas GPP no teu stack publicitario

A cadea GPP debe inserirse en cada solicitude de oferta OpenRTB procedente dun usuario dos EUA. Para os usuarios de Google Ad Manager, isto significa activar o soporte GPP nos parámetros de rede; para os usuarios de Prebid, significa instalar os módulos gppControl_usnat e por estado e confirmar que o adaptador consentManagement está reenviando a cadea codificada. Proba co decodificador GPP do IAB Tech Lab para verificar o percorrido de ida e volta do CMP á solicitude de oferta.

4. Respecta o sinal Global Privacy Control (GPC)

A maioría das leis estatais — California, Colorado, Connecticut e unha lista crecente — requiren respectar un sinal GPC a nivel do navegador como un opt-out válido. O MSPA espera que os asinantes detecten o GPC e preestablezcan os campos SaleOptOut, SharingOptOut e TargetedAdvertisingOptOut en consecuencia, incluso antes de que o usuario toque o banner. Se o teu CMP non pode detectar o GPC e actuar en consecuencia, estás fóra de cumprimento independentemente da adhesión ao MSPA.

5. Audita os provedores posteriores

A lóxica de fluxo posterior do MSPA só funciona se os teus provedores tamén son asinantes. Antes de enviar datos a calquera SSP, DSP ou socio de datos, verifica o seu estado de asinante no portal do IAB Tech Lab. Os provedores non asinantes deben ser eliminados do teu stack publicitario para o tráfico dos EUA ou estar cubertos por acordos de tratamento de datos bilaterais separados que reflictan os termos do MSPA.

Erros comúns de implementación

Varios patróns de fracaso aparecen repetidamente nas auditorías dos editores:

• Sinalar a cobertura MSPA sen asinar. Establecer MspaCoveredTransaction = Yes na cadea GPP mentres a entidade xurídica do editor non executou o MSPA expón o editor a reclamacións por falsa representación por parte dos asinantes posteriores que confiaron no sinal.
• Esquecer Texas, Oregón e Montana. Os editores configurados para o panorama orixinal de cinco estados pasan por alto as leis que entraron en vigor en 2024 e 2025. Cada un ten os seus propios activadores de opt-out; o MSPA cubréos, pero só se a lóxica de detección de estado do teu CMP os inclúe.
• Ignorar os sinais de datos sensibles en contido de noticias e estilo de vida. Un lector dun artigo de saúde, relixión ou LGBTQ pode estar procesando datos sensibles implicitamente. Realiza unha auditoría de contido e configura anulacións a nivel de categoría no CMP.
• Tratar o GPC como consultivo. O regulador de California aclarou en 2024 que ignorar o GPC é unha infracción por cada violación. O MSPA non te protexe disto: depende de ti para respectar o GPC.
• Cadeas GPP obsoletas en caché nos extremos da rede. O almacenamento en caché de CDN ou de service worker das páxinas pode servir ao usuario unha cadea GPP obsoleta dunha sesión anterior. Deshabilita o caché no endpoint do consentimento e engade un paso de obtención fresca ao cambiar o consentimento.

Como afecta o MSPA aos ingresos publicitarios

Os editores que implementan o MSPA correctamente adoitan ver caídas de ingresos modestas a curto prazo seguidas de estabilización, mentres que as implementacións descoidadas ou restrinxen en exceso as ofertas ou expoñen ao editor ao risco de execución. As variables que moven a agulla:

• Taxas de opt-out — En estados con ligazóns de opt-out prominentes, o 5-15 % dos usuarios normalmente opta por excluírse da venda ou do intercambio. Os prezos das ofertas nas impresións con opt-out adoitan caer un 30-60 % porque a orientación por comportamento non está dispoñible.
• Clasificación de contido sensible — Clasificar incorrectamente contido ordinario como sensible derrumba a demanda. Sé conservador e preciso nas categorías.
• Composición de socios de header bidding — Os socios non asinantes do MSPA que tes que desactivar para o tráfico dos EUA reducen a túa poxa. Substitúeos por asinantes en lugar de operar con demanda máis escasa.
• Etiquetado do lado do servidor — Un contedor do lado do servidor que le a cadea GPP e dispara etiquetas condicionalmente é a forma máis limpa de manter a analítica e o consentimento sincronizados.

O que vén a continuación: 2026 e máis alá

O MSPA é un acordo vivo. O IAB actualízao cada un ou dous anos a medida que as novas leis estatais, as orientacións dos fiscais xerais e as propostas federais remodelan o panorama. Os temas a vixiar en 2026:

• Unha posible lei federal de privacidade que preemptaría parcialmente os réximes estatais — o MSPA inclúe lóxica de reserva de preempción, polo que os asinantes non quedarán sen saída.
• Expansión do GPP para cubrir a sinalización específica de saúde baixo a Washington My Health My Data Act e estatutos análogos.
• Aplicación máis estrita das regras de patróns escuros en fluxos de opt-out por parte da California Privacy Protection Agency e o fiscal xeral de Texas.
• Integración con divulgacións de adestramento de IA e modelos de linguaxe de gran tamaño, que varios parlamentos estatais están debatendo.

Os editores que tratan a implementación do MSPA como un proxecto único quedarán atrás. Trátao como hixiene operativa continua, de propiedade conxunta xurídica, operacións de anuncios e enxeñería de produto, e revisada trimestralmente. Os editores que gañan no cumprimento multiestadual dos EUA non son os que teñen máis avogados — son aqueles cuxo CMP, stack publicitario e rexistros de auditoría contan a mesma historia cando un regulador pregunta.

A conclusión

O MSPA é a resposta práctica a un panorama de privacidade dos EUA fragmentado. Non aprobará leis por ti, pero dará ao teu fluxo de ofertas, aos teus provedores e ao teu equipo xurídico unha lingua común única para as exclusións, os datos sensibles e as obrigas posteriores. Combínao cun CMP que teña conciencia do estado, sinalización GPP precisa e xestión disciplinada dos provedores, e pasarás menos tempo discutindo sobre xurisdición e máis tempo monetizando as impresións que che está permitido monetizar. Ese é o único camiño sostible a través de 2026 e a onda de leis estatais que aínda están en cola detrás del.