Što Delete Act zapravo čini

Delete Act strukturalni je dodatak postojećem kalifornijskom sustavu registracije posrednika podataka koji je na snazi od 2020. Dok je izvorni okvir jednostavno zahtijevao od posrednika da se godišnje registriraju pri državi i objave kategorije osobnih podataka, Delete Act dodaje centralizirani mehanizam brisanja s čvrstim rokovima, obvezama revizije i kaznama za neusklađenost.

Centralizirani registar brisanja

Registar je platforma kojom upravlja CPPA, gdje kalifornijski potrošači podnose jedan zahtjev za brisanje koji se automatski širi na sve registrirane posrednike podataka. Posrednici moraju provjeravati registar najmanje svakih četrdeset pet dana, identificirati sve nove zahtjeve koji odgovaraju pojedincima u njihovim skupovima podataka te u roku koji propisi određuju izbrisati odgovarajuće zapise. Potrošači ne moraju znati koji posrednici posjeduju njihove podatke — registar upravlja rasprostiranjem.

Tko se smatra posrednikom podataka

Zakon posrednika podataka definira kao poduzeće koje namjerno prikuplja i prodaje osobne podatke o potrošaču s kojim nema izravni odnos. Definicija je uža nego što zvuči — nakladnici prve strane koji prodaju vlastitu publiku nisu posrednici; procesori koji obrađuju podatke u ime voditelja obrade nisu posrednici — ali obuhvaća pružatelje grafova identiteta, platforme za oglašavanje u više konteksta, usluge pretraživanja osoba te velik dio sloja proširenja publike kroz koji nakladnici usmjeravaju programatske podatke.

Registracija i javni popis

Svaki obuhvaćeni posrednik mora se godišnje registrirati, platiti naknadu i biti naveden na javnom popisu koji CPPA vodi. Do 2026. popis je praktična referentna točka za nakladnike koji provjeravaju svoje nizvodne tokove podataka: svaki dobavljač na popisu posrednik je podataka za potrebe Delete Acta, a ugovorne obveze nakladnika prema tom dobavljaču moraju odražavati stvarnost rasprostiranja brisanja.

Četrdeset pet dana brisanja i operativne posljedice

Ključno operativno pravilo je ritam ciklusa brisanja. Svakih četrdeset pet dana svaki registrirani posrednik mora provjeriti registar i izbrisati sve odgovarajuće zapise. Ritam stvara novu vrstu gubitka identiteta za koji nakladnici moraju planirati.

Kako publike opadaju unutar ciklusa

Publika izgrađena na obogaćivanju posrednicima podataka smanjivat će se u otprilike šestotjednom ritmu dok se kalifornijski potrošači koji su podnijeli zahtjeve za brisanje šire kroz mrežu posrednika. Nakladnici koji provode US mjerenje koje ovisi o razrješavanju identiteta — programatsko ciljanje publike, prozori atribucije koji ovise o međudomenskim identifikatorima, lookalike modeliranje koje koristi sjemena dobavljača posrednika — primijetit će da veličine publike u Kaliforniji padaju u obrascu testerine pile: svaki ciklus uklanja dio, zatim novi posjetitelji popunjavaju do sljedećeg ciklusa.

Ponovna identifikacija je zabranjena

Zakon izričito zabranjuje posrednicima da ponovo identificiraju potrošača koji je izbrisan, čak i ako posrednik naknadno dobije iste podatke iz drugog izvora. Zabrana zatvara očitu rupu i znači da se nakladnici ne mogu osloniti na vlastite podatke prve strane kako bi izbrisane potrošače ponovno uključili u publike usmjerene kroz posrednike. Brisanje je zamišljeno kao trajno, a program revizije regulatora izgrađen je za otkrivanje obrazaca ponovne identifikacije.

Podaci prve strane nakladnika izvan su ciklusa

Vlastiti podaci prve strane nakladnika — registrirani korisnici, pretplatnici newslettera, članovi programa lojalnosti — nisu podložni ciklusu Delete Acta jer nakladnik nije posrednik podataka za te zapise. Nakladnik ostaje podložan pravima brisanja prema CCPA-u i CPRA-u, koji su odvojeni. Dva sustava mogu stupati u interakciju: brisanje prema Delete Actu na razini posrednika može ostaviti zapis prve strane nakladnika netaknut, a nakladnik mora nastaviti poštivati zasebni zahtjev potrošača za brisanje prema CCPA-u putem vlastite ulazne točke.

Signal Global Privacy Control u novom svijetu

Delete Act preklapa se sa zaglavljem Global Privacy Control (GPC) koje preglednici i dodaci za privatnost šalju kako bi naznačili da je korisnik postavio univerzalnu opt-out preferenciju. CPPA-ove uredbe potvrđuju da nakladnici i posrednici moraju poštivati GPC kao valjani CCPA opt-out, a centralizirani registar Delete Acta dodaje paralelni put za isti ishod.

Dva signala, jedan ishod

Kalifornijski potrošač ima dva načina izlaska iz komercijalnog podatkovnog ekosustava: slanje GPC zaglavlja iz svakog preglednika koji koristi ili podnošenje jednog zahtjeva Delete Act registru. Oba puta daju jednakovrijedne ishode za većinu slučajeva upotrebe, ali razlikuju se po opsegu. GPC uređuje tekuću prodaju i dijeljenje na svakoj stranici koju potrošač posjeti. Registar briše postojeće zapise koje posrednici čuvaju. Nakladnici bi trebali oba tretirati kao mjerodavne signale, a CMP treba biti konfiguriran da prepozna i jedan i drugi.

Uloga CMP-a u prikazivanju oba puta

Usklađeni CMP za kalifornijsku publiku u 2026. prikazuje status poštivanja GPC-a (posjetitelj ima GPC postavljen, opt-out je aktivan), vlastitu opt-out vezu nakladnika (potrošač može odbiti prodaju i dijeljenje upravo na ovoj stranici) te jasnu uputu na CPPA registar za potrošače koji žele ishod brisanja od posrednika. Arhitektura nije tehnički zahtjevna — tri kontrole u korisničkom sučelju za pristanak umjesto jedne — ali formulacija je važna, a CPPA je bila aktivna u provedbi po pitanju obmanjujućih ili skrivenih putova za opt-out.

Što nakladnici trebaju napraviti

Delete Act regulativa je usmjerena na posrednike, a ne na nakladnike, ali operativne posljedice za nakladnike su stvarne i zahtijevaju specifične promjene u arhitekturi pristanka i podataka.

Revizija sustava dobavljača u odnosu na registar posrednika

Svaki dobavljač u oglasnom i analitičkom sustavu nakladnika treba se unakrsno provjeriti s javnim popisom posrednika CPPA-a. Dobavljači na popisu podložni su sustavu Delete Acta, a ugovori nakladnika s tim dobavljačima moraju odražavati rasprostiranje brisanja, čuvanje revizijskog dnevnika i ritam ciklusa od četrdeset pet dana. Većina velikih dobavljača razrješavanja identiteta i nekoliko velikih SSP-ova sada je na popisu; revizija nije bolna, ali mora se provoditi najmanje jednom godišnje.

Ažuriranje obavijesti o privatnosti i korisničkog sučelja za pristanak

Obavijest nakladnika o privatnosti trebala bi objasniti put Delete Act registra uz postojeće pravo brisanja prema CCPA-u, s izravnom vezom na CPPA registar. Korisničko sučelje za pristanak trebalo bi prikazivati status poštivanja GPC-a kada posjetitelj ima zaglavlje postavljeno, a kontrole za opt-out trebale bi biti istaknute jednako kao i kontrole za prihvaćanje — odluke glavnog državnog odvjetnika u provedbi kroz 2024. i 2025. godinu eksplicitno su definirale test tamnih obrazaca.

Planiranje za testerinu pilu publike

Timovi za mjerenje i ciljanje publike trebaju znati da će metrike publike u Kaliforniji slijediti šestotjedni obrazac testerine pile koji pokreće ritam ciklusa. Nadzorne ploče i modeli tempa licitiranja trebaju biti usklađeni s obrascem, a ne svaki pad tretirati kao grešku. Nakladnici koji provode rigoroznu atribuciju trebali bi modelirati i put brisanja posrednika kao zasebni izvor gubitka kako bi se brojevi nakon ciklusa mogli uredno uskladiti.

Uobičajene pogreške Delete Acta koje pokreću nalaze

Prvi val CPPA-ove provedbe prema Delete Actu kroz 2025. godinu iznjedrio je jasan obrazac nalaza na strani nakladnika. Obavijest nakladnika o privatnosti opisuje put za CCPA opt-out, ali nikada ne spominje Delete Act registar. Baner za pristanak poštuje GPC za prodaju i dijeljenje, ali ne prosljeđuje signal na ulaznu točku za brisanje prve strane nakladnika. Nakladnik sklapa ugovor s registriranim posrednikom i nikada ne ažurira ugovor kako bi odražavao obveze rasprostiranja brisanja prema Delete Actu. CMP nudi ploču za upravljanje preferencijama koja zakopava opt-out tri klika duboko iza tamnijeg gumba nego što je prihvati-sve. Svako od ovih je popravak dokumentacije ili korisničkog iskustva, a ne duboka arhitekturna promjena — ali svako je i točno ono čime CPPA otvara istragu.

Zaključak

Delete Act daje kalifornijskim potrošačima jedan gumb koji ih vodi iz komercijalnog podatkovnog ekosustava, a do 2026. registar je operativan, popis posrednika javan, a program provedbe aktivan. Za nakladnike su posljedice stvarne, ali ograničene: Delete Act ne zahtijeva od nakladnika ništa dramatično, ali zahtijeva da nakladnik zna koji su nizvodni dobavljači posrednici, da ažurira obavijest o privatnosti i korisničko sučelje za pristanak kako bi prikazao novi put, da dosljedno poštuje GPC te da planira testerinu pilu publike koju ciklus od četrdeset pet dana stvara. Ništa od toga nije tehnički teško. Sve je operativno specifično. Nakladnici koji su proveli čistu reviziju 2024. i 2025. sada izvršavaju ustaljenu arhitekturu; nakladnici koji su Delete Act tretirali kao problem posrednika podataka koji ih se ne tiče, provode 2026. pišući odgovore i revidirajući obavijesti o privatnosti pod rokom regulatora.