O que a Delete Act Realmente Faz

A Delete Act é uma adição estrutural ao regime de registro de corretores de dados existente na Califórnia, em vigor desde 2020. Enquanto o quadro original simplesmente exigia que os corretores se registrassem anualmente no estado e divulgassem suas categorias de informações pessoais, a Delete Act acrescenta um mecanismo de exclusão centralizado com prazos rígidos, obrigações de auditoria e penalidades por descumprimento.

O Registro Centralizado de Exclusão

O registro é uma plataforma operada pela CPPA onde os consumidores californians enviam um único pedido de exclusão que é automaticamente propagado para todos os corretores de dados registrados. Os corretores devem verificar o registro pelo menos a cada quarenta e cinco dias, identificar quaisquer novos pedidos que correspondam a indivíduos em seus conjuntos de dados, e excluir os registros correspondentes dentro do prazo especificado pelos regulamentos. Os consumidores não precisam saber quais corretores detêm seus dados — o registro gerencia a distribuição.

Quem se Enquadra como Corretor de Dados

A lei define um corretor de dados como uma empresa que conscientemente coleta e vende informações pessoais sobre um consumidor com quem a empresa não possui uma relação direta. A definição é mais restrita do que parece — editores primários que vendem sua própria audiência não são corretores, processadores que lidam com dados em nome de um controlador não são corretores — mas abrange os fornecedores de grafos de identidade, as plataformas de publicidade de contexto cruzado, os serviços de busca de pessoas e uma grande parte da camada de extensão de audiência pela qual os editores roteiam dados programáticos.

Registro e a Lista Pública

Todo corretor coberto deve se registrar anualmente, pagar uma taxa e aparecer em uma lista pública mantida pela CPPA. Até 2026, a lista é o ponto de referência prático para editores que auditam seus fluxos de dados downstream: qualquer fornecedor na lista é um corretor de dados para fins da Delete Act, e as obrigações contratuais do editor com esse fornecedor devem refletir a realidade da propagação de exclusão.

O Ciclo de Quarenta e Cinco Dias e Suas Consequências Operacionais

A regra operacional central é a cadência do ciclo de exclusão. A cada quarenta e cinco dias, todo corretor registrado deve verificar o registro e excluir todo registro correspondente. A cadência cria um novo tipo de atrito de identidade que os editores precisam considerar em sua engenharia.

Como as Audiências Decaem sob o Ciclo

Uma audiência construída com enriquecimento de corretor de dados vai encolher em um ciclo de aproximadamente seis semanas à medida que os consumidores californians que enviaram pedidos de exclusão se propagam pela rede de corretores. Editores que executam medições nos EUA dependentes de resolução de identidade — segmentação programática de audiência, janelas de atribuição que dependem de identificadores entre sites, modelagem lookalike que usa sementes fornecidas por corretores — verão o tamanho da audiência californiana cair em um padrão de dente de serra: cada ciclo remove uma parte, depois visitantes incrementais preenchem até o próximo ciclo.

A Re-identificação é Proibida

A lei proíbe explicitamente que corretores re-identifiquem um consumidor que foi excluído, mesmo que o corretor posteriormente obtenha os mesmos dados de uma fonte diferente. A proibição fecha a brecha óbvia e significa que editores não podem depender de seus próprios dados primários para reconectar consumidores excluídos às audiências roteadas por corretores. A exclusão tem a intenção de ser duradoura, e o programa de auditoria do regulador é construído para detectar padrões de re-identificação.

Os Dados Primários do Editor Estão Fora do Ciclo

Os próprios dados primários do editor — usuários registrados, assinantes de newsletter, membros de fidelidade — não estão sujeitos ao ciclo da Delete Act porque o editor não é um corretor de dados para esses registros. O editor continua sujeito aos direitos de exclusão do CCPA e do CPRA, que são separados. Os dois regimes podem interagir: uma exclusão pela Delete Act na camada do corretor ainda pode deixar o registro primário do editor intacto, e o editor deve continuar a honrar o pedido de exclusão separado do CCPA do consumidor por meio do próprio processo de recebimento do editor.

O Sinal do Global Privacy Control no Novo Mundo

A Delete Act se intersecciona com o cabeçalho do Global Privacy Control (GPC) que navegadores e extensões de privacidade enviam para indicar que o usuário definiu uma preferência de opt-out universal. Os regulamentos da CPPA confirmam que editores e corretores devem honrar o GPC como um opt-out válido do CCPA, e o registro centralizado da Delete Act acrescenta um caminho paralelo para o mesmo resultado.

Dois Sinais, Um Resultado

Um consumidor californiano tem dois caminhos para sair do ecossistema de dados comerciais: enviar o cabeçalho GPC de cada navegador que usa, ou enviar um único pedido ao registro da Delete Act. Os dois caminhos produzem resultados equivalentes para a maioria dos casos de uso, mas diferem em escopo. O GPC governa a venda e o compartilhamento contínuos em cada site que o consumidor visita. O registro exclui os registros existentes mantidos por corretores. Os editores devem tratar ambos como sinais autoritativos, e o CMP deve ser configurado para reconhecer qualquer um deles.

O Papel do CMP em Apresentar Ambos os Caminhos

O CMP em conformidade para audiências californians em 2026 apresenta o status de honra do GPC (o visitante tem o GPC definido, o opt-out está ativo), o link de opt-out próprio do editor (o consumidor pode recusar a venda e o compartilhamento neste site especificamente), e um indicador claro para o registro da CPPA para consumidores que desejam o resultado de exclusão de corretores. A arquitetura não é tecnicamente exigente — três controles na interface de consentimento em vez de um — mas a redação importa e a aplicação da CPPA tem sido ativa em caminhos de opt-out enganosos ou ocultos.

O que os Editores Precisam Fazer

A Delete Act é uma regulamentação direcionada a corretores, não a editores, mas as consequências operacionais para os editores são reais e exigem mudanças específicas na arquitetura de consentimento e dados.

Audite a Pilha de Fornecedores em Relação ao Registro de Corretores

Cada fornecedor na pilha de anúncios e análises do editor deve ser verificado em relação à lista pública de corretores da CPPA. Fornecedores na lista estão sujeitos ao regime da Delete Act, e os contratos do editor com esses fornecedores devem refletir a propagação de exclusão, a retenção do log de auditoria e a cadência do ciclo de quarenta e cinco dias. A maioria dos principais fornecedores de resolução de identidade e vários grandes SSPs já estão na lista; a auditoria não é trabalhosa, mas precisa ocorrer pelo menos anualmente.

Atualize o Aviso de Privacidade e a Interface de Consentimento

O aviso de privacidade do editor deve explicar o caminho do registro da Delete Act ao lado do direito de exclusão existente do CCPA, com um link direto para o registro da CPPA. A interface de consentimento deve expor o status de honra do GPC quando o visitante tiver o cabeçalho definido, e os controles de opt-out devem ser estilizados com a mesma proeminência que os controles de aceitação — as decisões de aplicação do Procurador-Geral ao longo de 2024 e 2025 tornaram o teste de padrão obscuro explícito.

Planeje para o Padrão de Dente de Serra da Audiência

As equipes de medição e segmentação de audiência precisam saber que as métricas de audiência californiana seguirão um padrão de dente de serra de seis semanas impulsionado pela cadência do ciclo. Os painéis e os modelos de ritmo de lance devem ser ajustados ao padrão em vez de tratar cada queda como uma falha. Editores que realizam atribuição rigorosa também devem modelar o caminho de exclusão do corretor como uma fonte de atrito separada para que os números pós-ciclo possam ser reconciliados de forma limpa.

Erros Comuns da Delete Act que Geram Constatações

A primeira onda de aplicação da CPPA sob a Delete Act ao longo de 2025 produziu um padrão claro de constatações do lado do editor. O aviso de privacidade do editor descreve o caminho de opt-out do CCPA, mas nunca menciona o registro da Delete Act. O banner de consentimento honra o GPC para venda e compartilhamento, mas não propaga o sinal para o processo de exclusão de dados primários do editor. O editor celebra contrato com um corretor registrado e nunca atualiza o contrato para refletir as obrigações de propagação de exclusão da Delete Act. O CMP serve um painel de gerenciamento de preferências que enterra o opt-out três cliques abaixo por trás de um botão mais escuro do que aceitar tudo. Cada um desses casos é uma correção de documentação ou UX, não uma mudança arquitetônica profunda — mas cada um também é exatamente o que a CPPA usa para abrir uma investigação.

O Saldo Final

A Delete Act dá aos consumidores californians um único botão que os retira do ecossistema de dados comerciais, e até 2026 o registro está operacional, a lista de corretores é pública e o programa de aplicação está ativo. Para os editores, as implicações são reais, mas limitadas: a Delete Act não exige que o editor faça nada dramático, mas exige que o editor saiba quais fornecedores downstream são corretores, atualize o aviso de privacidade e a interface de consentimento para apresentar o novo caminho, honre o GPC de forma consistente e planeje para o padrão de dente de serra de audiência que o ciclo de quarenta e cinco dias produz. Nada disso é tecnicamente difícil. Tudo é operacionalmente específico. Os editores que realizaram uma auditoria cuidadosa em 2024 e 2025 estão agora executando em uma arquitetura consolidada; os editores que trataram a Delete Act como um problema de corretor de dados que não lhes dizia respeito estão passando 2026 escrevendo cartas de resposta e revisando avisos de privacidade sob prazo do regulador.