O que é o Global Privacy Control?

O Global Privacy Control (GPC) é um sinal em nível de navegador que permite às pessoas dizer automaticamente a todos os sites que visitam para não venderem nem compartilharem seus dados pessoais. Em vez de clicar em "recusar" no banner de cookies em cada site, o usuário ativa o GPC uma única vez — no navegador ou em uma extensão — e essa preferência o acompanha por toda a web.

Pense nele como um interruptor universal de exclusão. Quando o GPC está ativado, o navegador anexa um sinal a cada requisição e o expõe ao JavaScript. Espera-se que o seu site leia esse sinal e o trate como uma escolha de privacidade válida e juridicamente vinculativa, sem necessidade de interação com o banner.

Por que o GPC importa juridicamente

O GPC não é apenas uma cortesia. Em um número crescente de jurisdições, respeitá-lo é uma obrigação legal, e os reguladores já tomaram medidas de fiscalização contra empresas que o ignoraram.

Califórnia (CCPA/CPRA)

Sob a CCPA, conforme alterada pela CPRA, as empresas devem tratar um sinal de preferência de exclusão como uma solicitação de exclusão da venda ou do compartilhamento de informações pessoais. O Procurador-Geral da Califórnia e a California Privacy Protection Agency confirmaram que o GPC é um sinal de exclusão válido que deve ser respeitado, e a falha em respeitá-lo já resultou em fiscalização pública.

Outros estados dos EUA

Colorado, Connecticut, Texas, Oregon, Montana e vários outros estados agora exigem o reconhecimento de mecanismos universais de exclusão. A lista cresce a cada ano, e o GPC é o padrão de fato para o qual essas leis apontam — implementar o suporte uma vez o alinha com todos eles.

Europa e GDPR

O GDPR não menciona o GPC explicitamente, mas exige que o consentimento seja dado livremente e que retirá-lo seja tão fácil quanto concedê-lo. Um sinal de exclusão claro e automatizado encaixa-se perfeitamente nesse princípio, e os reguladores da UE estão demonstrando interesse crescente em sinais de preferência legíveis por máquina.

Como o GPC funciona tecnicamente

O GPC é intencionalmente simples. Quando um usuário o ativa, o navegador comunica a preferência de três maneiras complementares:

• Um cabeçalho HTTP — toda requisição inclui Sec-GPC: 1, para que o seu servidor possa detectar o sinal antes que uma única linha de JavaScript da página seja executada.
• Uma propriedade JavaScript — navigator.globalPrivacyControl retorna true, permitindo que scripts do lado do cliente e ferramentas de consentimento reajam no navegador.
• Uma política detectável — os sites podem publicar um arquivo /.well-known/gpc.json descrevendo como interpretam o sinal.

Como o sinal está disponível tanto no servidor quanto no cliente, você pode aplicá-lo na camada que melhor se adequar à sua infraestrutura.

Como detectar e respeitar o GPC no seu site

Respeitar o GPC significa aplicar automaticamente a exclusão do usuário sem fazê-lo tocar no seu banner. Uma implementação robusta é assim:

• Detecte cedo. Leia o cabeçalho Sec-GPC no servidor, ou verifique navigator.globalPrivacyControl assim que o seu script de consentimento for carregado.
• Aplique a exclusão. Suprima, por padrão, cookies não essenciais, tags de publicidade e análise e qualquer venda ou compartilhamento de dados para aquele visitante.
• Reflita o estado. Mostre o banner em um estado de exclusão para que o usuário veja que sua escolha foi compreendida, e ainda possa conceder consentimento se realmente quiser.
• Registre. Registre que a decisão foi motivada por um sinal GPC, com um carimbo de data e hora, para que você tenha prova auditável de conformidade.

GPC vs. banners de cookies: você ainda precisa dos dois?

Sim. O GPC e os banners de consentimento resolvem problemas sobrepostos, mas diferentes. O GPC é um sinal de exclusão que aborda principalmente as regras de "não vender nem compartilhar" de estilo norte-americano, enquanto a UE opera em um modelo de inclusão, no qual você deve coletar o consentimento afirmativo antes de definir cookies não essenciais. Um site em conformidade usa o GPC para pré-aplicar a preferência global do usuário e um banner para capturar o consentimento explícito onde a lei o exige. Os dois devem se reforçar mutuamente, nunca se contradizer.

Erros comuns a evitar

• Ignorar totalmente o cabeçalho e verificar apenas no cliente, de modo que os dados saem antes que o GPC seja sequer avaliado.
• Detectar o GPC, mas não fazer nada com ele — reconhecimento sem aplicação não é conformidade.
• Sobrepor-se ao usuário exibindo novamente aos visitantes com GPC um banner que os induz de volta ao rastreamento.
• Esquecer a documentação — sem registros, você não pode provar a um regulador que o sinal foi respeitado.

Como o FlexyConsent lida com o GPC

O FlexyConsent detecta o sinal GPC automaticamente tanto no servidor quanto no cliente, aplica a exclusão correspondente antes que qualquer script não essencial dispare e registra um log de consentimento auditável para cada visitante. Você obtém suporte universal de exclusão, cobertura multijurisdicional e prova de conformidade prontos para uso — sem escrever a lógica de detecção você mesmo. Respeitar o Global Privacy Control está se tornando rapidamente um requisito básico, e os sites que acertam constroem uma confiança duradoura com seus usuários.