Cos'è l'MSPA — e cosa non è

L'MSPA è un framework privato basato su contratto pubblicato dall'IAB. Non è una legge e non sostituisce le normative statali. È invece un accordo multilaterale che i partecipanti — editori, agenzie, reti pubblicitarie, SSP, DSP e fornitori di dati — sottoscrivono per poter formulare affermazioni legali coerenti su come le informazioni personali scorrono attraverso la pubblicità programmatica. Quando tutti nella catena firmano lo stesso contratto, i fornitori a valle non devono negoziare cinquanta diversi accordi bilaterali di trattamento dei dati per gestire una singola richiesta di offerta.

Considera l'MSPA come tre cose insieme:

• Un contratto che scorre automaticamente a valle quando un firmatario trasmette dati a un altro firmatario.
• Un vocabolario per esprimere le scelte degli utenti tramite stringhe codificate GPP, incluse le rinunce a vendita, condivisione, pubblicità mirata e trattamento dei dati sensibili.
• Un framework di allocazione del rischio che assegna ogni firmatario a uno dei tre ruoli — Covered Business, Service Provider/Processor o Third Party — con gli obblighi relativi a ciascuno.

Cosa l'MSPA non è: un sostituto dell'informativa sulla privacy, un rimpiazzo del consenso diretto dell'utente dove richiesto, o una garanzia di conformità a qualsiasi legge statale specifica. È uno strumento che, se usato correttamente, rende operativamente fattibile la conformità a più leggi statali. Usato in modo errato — per esempio, segnalando la partecipazione mentre si continua a condividere dati dopo un opt-out — aumenta la responsabilità invece di ridurla.

Chi deve preoccuparsene: i tre ruoli MSPA

Prima di firmare qualsiasi cosa, identifica il ruolo che ricopri effettivamente. La maggior parte degli editori è sorpresa di scoprire di avere più di un cappello da indossare a seconda del flusso di dati.

Covered Business

Sei un Covered Business se determini le finalità e i mezzi del trattamento delle informazioni personali di un utente — tipicamente l'editore che gestisce il sito web o l'app che l'utente visita. Come Covered Business, sei responsabile della raccolta del consenso, della visualizzazione degli avvisi, del rispetto degli opt-out e della configurazione del segnale GPP su cui si basano i fornitori a valle. L'onere verso l'utente è tuo.

Service Provider o Processor

Sei un Service Provider quando tratti informazioni personali per conto di un Covered Business in base a un contratto e solo per finalità limitate e consentite. La maggior parte dei fornitori di analitiche, provider di hosting e piattaforme di gestione del consenso operano in questa categoria. L'MSPA impone restrizioni: nessuna vendita, nessuna pubblicità comportamentale cross-context per conto proprio e regole di conservazione ed eliminazione strettamente definite.

Third Party

Sei un Third Party quando ricevi informazioni personali da un Covered Business e le usi per le tue finalità — la maggior parte degli SSP, DSP, fornitori di identità e data broker rientra qui. I Third Party hanno gli obblighi contrattuali più pesanti, inclusa la gestione diretta dei diritti degli utenti e gli obblighi di trasmissione a valle quando condividono dati con i propri partner.

L'MSPA e la Global Privacy Platform (GPP)

L'MSPA non esiste nel vuoto. È il livello contrattuale; il GPP è il livello tecnico di segnalazione. La Global Privacy Platform di IAB Tech Lab codifica le scelte degli utenti in una singola stringa che viaggia con le richieste di offerta attraverso il protocollo OpenRTB. Per la segnalazione negli Stati Uniti, il GPP trasporta stringhe di sezione per ogni stato con una legge sulla privacy completa — ad esempio, USCA (California), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) e la stringa US National onnicomprensiva per gli stati senza una sezione dedicata.

L'MSPA indica al tuo CMP quali campi impostare all'interno di quelle sezioni GPP per dichiarare la copertura. I campi più importanti che gli editori vedranno e configureranno includono:

• MspaCoveredTransaction — impostato su Sì quando l'editore afferma che la richiesta di offerta è coperta dal framework MSPA.
• MspaOptOutOptionMode — indica se all'utente è stata offerta una chiara opzione di opt-out come richiesto dalle regole di trasparenza dell'MSPA.
• MspaServiceProviderMode — impostato quando i fornitori a valle devono trattare i dati solo come service provider.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — i flag di consenso granulari che i bidder leggono per decidere cosa possono fare con l'impression.
• SensitiveDataProcessing — un array multi-elemento che segnala le scelte dell'utente per origine razziale, credenze religiose, salute, orientamento sessuale, cittadinanza, geolocalizzazione precisa e altre categorie sensibili definite dalle leggi statali.

Se il tuo CMP imposta MspaCoveredTransaction = Sì ma l'editore non ha effettivamente firmato il contratto MSPA, hai appena fatto un'affermazione falsa su cui i firmatari a valle faranno affidamento. Questa è una via rapida verso una controversia contrattuale e, a seconda dello stato, un reclamo normativo.

Dati sensibili: la trappola che la maggior parte degli editori manca

Ogni legge statale completa sulla privacy approvata dalla California in poi ha ampliato la definizione di informazioni personali sensibili, e l'MSPA le raccoglie in un campo GPP unificato. Le categorie includono tipicamente:

• Identificativi governativi (numero di previdenza sociale, patente di guida, passaporto).
• Credenziali degli account e informazioni finanziarie.
• Geolocalizzazione precisa, generalmente inferiore a 533 metri.
• Origine razziale o etnica, credenze religiose, diagnosi di salute mentale o fisica.
• Vita sessuale e orientamento sessuale.
• Cittadinanza e status di immigrazione.
• Dati genetici e biometrici usati per identificare una persona.
• Dati riguardanti un minore noto di età inferiore a 13 anni — e in alcuni stati, inferiore a 16 anni con protezioni aggiuntive.

Alcuni stati richiedono il consenso opt-in per il trattamento dei dati sensibili, mentre altri consentono il trattamento con diritto di opt-out. La codifica GPP dell'MSPA consente di esprimere entrambe le situazioni, ma il tuo CMP deve sapere quale richiedere in base allo stato dell'utente. La classificazione errata dei dati sensibili — per esempio, trattare la navigazione su contenuti sanitari come dati comportamentali ordinari — è la modalità di fallimento più comune segnalata dai procuratori generali statali nelle azioni di enforcement del 2024–2025.

Costruire un flusso di consenso pronto per l'MSPA

L'implementazione dell'MSPA sul tuo sito o app è un problema di coordinamento tra legale, ingegneria e ad operations. Il lavoro si suddivide in circa cinque flussi di lavoro.

1. Firma l'MSPA e mantieni il tuo status di firmatario

L'MSPA è un contratto reale che il consulente legale deve esaminare e finalizzare. Dichiarai il ruolo o i ruoli che svolgi, gli stati statunitensi in cui operi e le categorie di dati che tratti. Rinnova annualmente e aggiorna il portale dei firmatari di IAB Tech Lab ogni volta che il tuo ruolo o la tua giurisdizione cambia.

2. Configura il tuo CMP per la logica multi-stato

Un singolo banner solo CCPA non è più sufficiente. Il tuo CMP deve rilevare lo stato dell'utente — tipicamente tramite geolocalizzazione IP supportata da un fallback sulla privacy — e mostrare gli avvisi, i link e i controlli di opt-out corretti per quella giurisdizione. FlexyConsent e altri CMP moderni certificati Google forniscono template multi-stato che mappano stato per stato alle stringhe di sezione GPP corrette.

3. Integra le stringhe GPP nel tuo ad stack

La stringa GPP deve essere inserita in ogni richiesta di offerta OpenRTB proveniente da un utente statunitense. Per gli utenti Google Ad Manager, ciò significa abilitare il supporto GPP nelle impostazioni di rete; per gli utenti Prebid, significa installare i moduli gppControl_usnat e per-stato e confermare che l'adattatore consentManagement stia trasmettendo la stringa codificata. Testa usando il decoder GPP di IAB Tech Lab per verificare il percorso completo dal CMP alla richiesta di offerta.

4. Rispetta il segnale Global Privacy Control (GPC)

La maggior parte delle leggi statali — California, Colorado, Connecticut e un elenco crescente — richiede di onorare un segnale GPC a livello di browser come opt-out valido. L'MSPA si aspetta che i firmatari rilevino il GPC e preimpostino di conseguenza i campi SaleOptOut, SharingOptOut e TargetedAdvertisingOptOut, anche prima che l'utente tocchi il banner. Se il tuo CMP non riesce a rilevare e agire sul GPC, sei fuori dalla conformità indipendentemente dall'adesione all'MSPA.

5. Verifica i fornitori a valle

La logica di flusso a valle dell'MSPA funziona solo se anche i tuoi fornitori sono firmatari. Prima di inviare dati a qualsiasi SSP, DSP o partner dati, verifica il loro stato di firmatario nel portale IAB Tech Lab. I fornitori non firmatari devono essere rimossi dal tuo ad stack per il traffico statunitense o coperti da DPA bilaterali separati che rispecchiano i termini dell'MSPA.

Errori comuni di implementazione

Diversi schemi di errore si ripetono regolarmente negli audit degli editori:

• Segnalare la copertura MSPA senza firmare. Impostare MspaCoveredTransaction = Sì nella stringa GPP mentre l'entità legale dell'editore non ha eseguito l'MSPA espone l'editore a rivendicazioni di falsa dichiarazione da parte dei firmatari a valle che si sono fidati del segnale.
• Dimenticare Texas, Oregon e Montana. Gli editori configurati per il panorama originale di cinque stati perdono le leggi entrate in vigore nel 2024 e nel 2025. Ognuna ha i propri trigger di opt-out; l'MSPA le copre, ma solo se la logica di rilevamento degli stati del tuo CMP le include.
• Ignorare i segnali dei dati sensibili su contenuti di notizie e stile di vita. Un lettore di un articolo focalizzato sulla salute, sulla religione o sulla comunità LGBTQ potrebbe trattare dati sensibili implicitamente. Esegui un audit dei contenuti e configura override a livello di categoria nel CMP.
• Trattare il GPC come consultivo. Il regolatore californiano ha chiarito nel 2024 che ignorare il GPC è una violazione per ogni singola infrazione. L'MSPA non ti protegge da questo — dipende dal fatto che tu rispetti il GPC.
• Stringhe GPP obsolete memorizzate nella cache al perimetro. La memorizzazione nella cache CDN o service worker delle pagine può fornire all'utente una stringa GPP obsoleta di una sessione precedente. Disabilita la cache sull'endpoint del consenso e aggiungi un passaggio di recupero aggiornato al cambio del consenso.

Come l'MSPA influisce sui ricavi pubblicitari

Gli editori che implementano correttamente l'MSPA in genere vedono modeste flessioni dei ricavi a breve termine seguite da una stabilizzazione, mentre le implementazioni approssimative o limitano eccessivamente le offerte o espongono l'editore a rischi di enforcement. Le variabili che spostano il quadrante:

• Tassi di opt-out — Negli stati con link di opt-out prominenti, il 5–15% degli utenti tipicamente opta fuori da vendita o condivisione. I prezzi delle offerte sulle impression con opt-out di solito scendono del 30–60% perché il targeting comportamentale non è disponibile.
• Classificazione dei contenuti sensibili — Classificare erroneamente contenuti ordinari come sensibili farà crollare la domanda. Sii conservativo e preciso per categoria.
• Mix dei partner di header bidding — I partner non firmatari MSPA che devi disabilitare per il traffico statunitense riducono l'asta. Sostituiscili con firmatari piuttosto che andare avanti con una domanda più ridotta.
• Tagging lato server — Un container lato server che legge la stringa GPP e attiva condizionalmente i tag è il modo più pulito per mantenere analitiche e consenso sincronizzati.

Cosa verrà dopo: 2026 e oltre

L'MSPA è un accordo in evoluzione. L'IAB lo aggiorna ogni uno o due anni man mano che nuove leggi statali, orientamenti dei procuratori generali e proposte federali rimodellano il panorama. I temi da seguire nel 2026:

• Una possibile legge federale sulla privacy che prevarrebbe parzialmente sui regimi statali — l'MSPA include una logica di fallback per la preemption, quindi i firmatari non rimarranno a piedi.
• Espansione del GPP per coprire la segnalazione specifica per la salute ai sensi del Washington My Health My Data Act e leggi analoghe.
• Applicazione più rigorosa delle regole sui dark pattern nei flussi di opt-out da parte della California Privacy Protection Agency e del Procuratore Generale del Texas.
• Integrazione con le informative sull'addestramento dell'IA e dei modelli linguistici di grandi dimensioni, oggetto di dibattito in diversi parlamenti statali.

Gli editori che trattano l'implementazione dell'MSPA come un progetto una tantum resteranno indietro. Trattala come igiene operativa continuativa, gestita congiuntamente da legale, ad ops e ingegneria di prodotto, e rivista trimestralmente. Gli editori che vincono nella conformità multi-stato statunitense non sono quelli con più avvocati — sono quelli il cui CMP, ad stack e log di audit raccontano tutti la stessa storia quando un regolatore chiede.

La conclusione

L'MSPA è la risposta pratica a un panorama della privacy statunitense frammentato. Non farà passare leggi al posto tuo, ma darà al tuo flusso di offerte, ai tuoi fornitori e al tuo team legale un unico linguaggio comune per opt-out, dati sensibili e obblighi a valle. Abbinalo a un CMP consapevole degli stati, una segnalazione GPP accurata e una gestione disciplinata dei fornitori, e trascorrerai meno tempo a discutere di giurisdizione e più tempo a monetizzare le impression che hai il permesso di monetizzare. Questo è l'unico percorso sostenibile attraverso il 2026 e l'ondata di leggi statali ancora in coda dietro di esso.