Cosa è effettivamente la Global Privacy Platform

GPP è un protocollo di trasporto, non un nuovo framework di consenso. È un contenitore che codifica più segnali di consenso specifici per regione in un'unica stringa Base64, esposta attraverso un'API JavaScript standard (__gpp()) che SSP, DSP e vendor di misurazione possono interrogare. Ogni regione ha la propria sezione all'interno della stringa GPP: la Sezione 2 trasporta TCF EU v2, la Sezione 6 trasporta US Privacy (deprecata), la Sezione 7 copre USNat, e le Sezioni da 8 a 12 coprono rispettivamente California, Virginia, Colorado, Utah e Connecticut. Sezioni aggiuntive per Texas, Oregon, Montana e altri stati vengono aggiunte man mano che le loro leggi entrano in vigore.

La scelta progettuale chiave è che una singola stringa GPP può trasportare più sezioni simultaneamente. Un visitatore europeo riceve i dati TCF EU; un visitatore californiano riceve i dati US-CA; un utente il cui IP si geolocalizza in entrambe le giurisdizioni (raro ma possibile tramite VPN) può avere entrambe le sezioni popolate. I vendor di ad tech leggono solo le sezioni rilevanti per loro e ignorano il resto.

Perché esiste GPP e perché è importante ora

Prima di GPP, ogni nuova legge sulla privacy degli stati statunitensi costringeva i publisher a implementare un altro segnale. La California aveva USP. Il VCDPA della Virginia richiedeva semantiche di opt-out diverse. Il CPA del Colorado riconosceva il segnale browser Global Privacy Control. Utah e Connecticut hanno ciascuno aggiunto più sfumature. I vendor di ad tech dovevano analizzare mezza dozzina di formati, spesso in modo incoerente, e il rischio di segnalare "utente ha acconsentito" in un canale mentre l'utente aveva fatto opt-out in un altro è diventato una vera esposizione di conformità.

GPP standardizza il trasporto. Una volta che un CMP imposta la stringa GPP, ogni vendor a valle legge la stessa codifica. Per i publisher, questo è importante per tre motivi: la policy di Google del 2024 ora richiede il supporto GPP per i segnali degli stati statunitensi sull'inventario di Google Ad Manager; Prebid.js 8.x e la maggior parte dei principali adapter SSP si aspettano GPP; e i regolatori fanno sempre più riferimento alla conformità GPP come prova della propagazione del segnale in buona fede.

Sezioni GPP e cosa significano

Ogni sezione GPP ha le proprie regole di codifica, che rispecchiano il framework sottostante:

Sezione 2: TCF EU v2

Identica alla stringa TCF v2.2 autonoma che già generi per il traffico europeo. Se il tuo CMP è certificato TCF, stai già producendo questa sezione — GPP la avvolge semplicemente.

Sezione 7: US National (USNat)

La sezione più recente, progettata come un singolo segnale che copre tutte le leggi sulla privacy federali e statali degli Stati Uniti. Codifica l'avviso fornito, l'opt-out alla vendita, l'opt-out alla condivisione, l'opt-out alla pubblicità mirata, l'opt-out ai dati sensibili e la gestione dei dati di bambini noti. I vendor che operano in più stati statunitensi dovrebbero preferire USNat rispetto alle sezioni per stato quando possibile.

Sezioni 8-12: Segnali statunitensi per stato

California (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) e Connecticut (US-CT). Ogni sezione porta campi specifici per la legge di quello stato — ad esempio, US-CA mantiene i vecchi opt-out di vendita e condivisione CCPA/CPRA, mentre US-CO aggiunge il flag di consenso ai dati sensibili richiesto dal Colorado Privacy Act. Texas (US-TX nella sezione 13 CPA) e Oregon (US-OR nella sezione 14 CPA) sono stati aggiunti dopo che le loro leggi sono entrate in vigore nel luglio 2024.

Come i publisher dovrebbero migrare

La maggior parte dei publisher avrà già un CMP che genera stringhe TCF per il traffico EU e stringhe USP per la California. Il percorso di migrazione verso GPP è il seguente:

Passo 1: Aggiorna il tuo CMP

Conferma che il tuo vendor CMP sia elencato sulla IAB lista CMP certificati GPP. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics e la maggior parte dei CMP certificati da Google producono ora stringhe GPP valide. Se il tuo CMP emette ancora solo TCF o USP, richiedi una roadmap per il supporto GPP — qualsiasi vendor senza un piano qui sarà lasciato indietro nel 2026.

Passo 2: Configura le sezioni GPP per geografia

Il tuo CMP dovrebbe decidere automaticamente quali sezioni GPP popolare in base alla geolocalizzazione dell'IP. I visitatori europei ricevono la Sezione 2 (TCF EU); i visitatori statunitensi ricevono la Sezione 7 (USNat) o sezioni per stato a seconda di come il tuo stack di vendor legge il segnale. Non popolare ogni sezione per ogni visitatore — è una configurazione errata comune che fa trapelare dati irrilevanti per la giurisdizione.

Passo 3: Verifica la propagazione a valle

La stringa GPP è utile solo se SSP, DSP, analytics e vendor di pixel la leggono. Controlla il tuo ad stack: in Prebid.js, conferma che il modulo gppControl sia abilitato; in Google Ad Manager, conferma che la stringa GPP venga passata tramite l'API di consenso GAM; in Google Analytics 4, conferma che Consent Mode v2 stia leggendo GPP insieme a TCF. Qualsiasi vendor che ignora silenziosamente GPP è una lacuna di conformità.

GPP, Consent Mode v2 e i requisiti di Google

L'aggiornamento della policy di Google di dicembre 2024 ha reso il supporto GPP obbligatorio per i publisher che monetizzano l'inventario statunitense tramite Google Ad Manager. Questa modifica è sottile ma importante: Consent Mode v2 usa ancora i propri segnali ad_storage e analytics_storage, ma GAM ora si aspetta che la stringa GPP sia presente nella richiesta di annuncio per qualsiasi traffico di leggi degli stati statunitensi. Le stringhe GPP mancanti o malformate possono comportare la pubblicazione di annunci in modalità limitata — con un impatto significativo su fill e ricavi — o, per i recidivi, l'esclusione dell'inventario dall'asta.

L'implicazione pratica: anche i publisher che storicamente ignoravano le leggi degli stati statunitensi perché i loro ricavi provenivano solo dalla California ora hanno bisogno di GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana e Iowa hanno tutte leggi in vigore dal 2026, e Google legge la stringa GPP per determinare se la tua richiesta di annuncio è conforme a ciascuna.

Insidie comuni nella migrazione

Quattro errori che vediamo ripetutamente quando i publisher aggiungono GPP:

Segnali duplicati. Alcuni publisher mantengono stringhe TCF e USP autonome accanto a GPP, creando tre fonti di verità che possono essere in disaccordo. Una volta che GPP è attivo, ritira le stringhe autonome.

Popolazione errata delle sezioni. Popolare US-CA per ogni visitatore statunitense indipendentemente dallo stato effettivo fa trapelare la geografia e può rivendicare falsamente i diritti di opt-out CCPA per residenti non californiani. Usa la geolocalizzazione IP per scegliere la sezione giusta.

Ignorare GPC. Il segnale browser Global Privacy Control non è una sezione GPP — è un header HTTP e una proprietà JS separati. Il tuo CMP deve leggere GPC al caricamento della pagina e rifletterlo come opt-out nelle sezioni GPP pertinenti, oppure violi le leggi del Colorado, del Connecticut e della California.

Adapter dei vendor obsoleti. I vecchi adapter Prebid e le integrazioni SSP potrebbero eliminare la stringa GPP prima che raggiunga il bidder. Testa ogni vendor nel tuo ad stack con il validatore GPP IAB prima di dichiarare la migrazione completa.

La visione a lungo termine: GPP oltre gli Stati Uniti

GPP è progettato per estendersi oltre TCF EU e le leggi degli stati statunitensi. Nuove sezioni per il Canada (PIPEDA più la Legge 25 del Quebec), il Brasile (LGPD), la Corea del Sud (PIPA) e altre giurisdizioni sono in sviluppo attivo nel gruppo di lavoro IAB. Per i publisher che servono inventario globale, GPP sta diventando il singolo transport di consenso che sostituisce ogni protocollo regionale. Investire in GPP oggi posiziona il tuo stack per assorbire la prossima ondata di leggi sulla privacy regionali senza un altro sprint di integrazione.