O que é efetivamente a Global Privacy Platform

O GPP é um protocolo de transporte, não um novo framework de consentimento. É um contêiner que codifica múltiplos sinais de consentimento específicos de regiões em uma única string Base64, exposta por meio de uma API JavaScript padrão (__gpp()) que SSPs, DSPs e fornecedores de medição podem consultar. Cada região tem sua própria seção dentro da string GPP: a Seção 2 carrega o TCF EU v2, a Seção 6 carrega o US Privacy (obsoleto), a Seção 7 cobre o USNat, e as Seções 8 a 12 cobrem a Califórnia, a Virgínia, o Colorado, Utah e Connecticut, respectivamente. Seções adicionais para Texas, Oregon, Montana e outros estados estão sendo acrescentadas à medida que suas leis entram em vigor.

A principal escolha de design é que uma única string GPP pode carregar múltiplas seções simultaneamente. Um visitante europeu recebe dados do TCF EU; um visitante californiano recebe dados do US-CA; um usuário cujo IP geolocalize em ambas as jurisdições (raro, mas possível via VPN) pode ter ambas as seções preenchidas. Os fornecedores de tecnologia publicitária leem apenas as seções relevantes para eles e ignoram o restante.

Por que o GPP existe e por que importa agora

Antes do GPP, cada nova lei de privacidade estadual dos EUA obrigava os editores a implementar mais um sinal. A Califórnia tinha o USP. A VCDPA da Virgínia exigia semântica de opt-out diferente. A CPA do Colorado reconhecia o sinal de navegador Global Privacy Control. Utah e Connecticut acrescentaram mais nuances. Os fornecedores de tecnologia publicitária tinham que analisar meia dúzia de formatos, muitas vezes de forma inconsistente, e o risco de sinalizar que o usuário consentiu em um canal enquanto havia optado por sair em outro tornou-se uma exposição real de conformidade.

O GPP padroniza o transporte. Uma vez que um CMP define a string GPP, cada fornecedor downstream lê a mesma codificação. Para os editores, isso importa por três razões: a política do Google de 2024 agora exige suporte ao GPP para sinais estaduais dos EUA no inventário do Google Ad Manager; o Prebid.js 8.x e a maioria dos adaptadores SSP principais esperam o GPP; e os reguladores fazem referência crescente à conformidade com o GPP como evidência de propagação de sinal de boa-fé.

Seções do GPP e o que elas significam

Cada seção do GPP tem suas próprias regras de codificação, espelhando o framework subjacente:

Seção 2: TCF EU v2

Idêntica à string TCF v2.2 independente que você já gera para o tráfego europeu. Se seu CMP é certificado pelo TCF, você já está produzindo esta seção — o GPP simplesmente a envolve.

Seção 7: US National (USNat)

A seção mais recente, projetada como um único sinal que cobre todas as leis federais e estaduais de privacidade dos EUA. Ela codifica o aviso fornecido, opt-out de venda, opt-out de compartilhamento, opt-out de publicidade direcionada, opt-out de dados sensíveis e tratamento de dados conhecidos de crianças. Os fornecedores que operam em múltiplos estados dos EUA devem preferir o USNat em vez das seções por estado sempre que possível.

Seções 8-12: Sinais estaduais dos EUA

Califórnia (US-CA), Virgínia (US-VA), Colorado (US-CO), Utah (US-UT) e Connecticut (US-CT). Cada seção contém campos específicos da lei daquele estado — por exemplo, o US-CA mantém os opt-outs de venda e compartilhamento mais antigos do CCPA/CPRA, enquanto o US-CO adiciona a bandeira de consentimento de dados sensíveis exigida pelo Colorado Privacy Act. Texas (US-TX sob a seção CPA 13) e Oregon (US-OR sob a seção CPA 14) foram adicionados após as leis deles entrarem em vigor em julho de 2024.

Como os editores devem migrar

A maioria dos editores já terá um CMP gerando strings TCF para o tráfego da UE e strings USP para a Califórnia. O caminho de migração para o GPP é o seguinte:

Passo 1: Atualize seu CMP

Confirme que seu fornecedor de CMP está listado na lista de CMPs certificados pelo GPP do IAB. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics e a maioria dos CMPs certificados pelo Google já produzem strings GPP válidas. Se seu CMP ainda produz apenas TCF ou USP, solicite um roteiro para suporte ao GPP — qualquer fornecedor sem um plano aqui ficará para trás em 2026.

Passo 2: Configure as seções do GPP por geografia

Seu CMP deve decidir automaticamente quais seções do GPP preencher com base na geolocalização de IP. Visitantes europeus recebem a Seção 2 (TCF EU); visitantes dos EUA recebem a Seção 7 (USNat) ou seções por estado, dependendo de como sua pilha de fornecedores lê o sinal. Não preencha cada seção para cada visitante — essa é uma configuração incorreta comum que vaza dados irrelevantes para a jurisdição.

Passo 3: Verifique a propagação downstream

A string GPP só é útil se SSPs, DSPs, análises e fornecedores de pixels a lerem. Faça uma auditoria da sua pilha de anúncios: no Prebid.js, confirme que o módulo gppControl está ativado; no Google Ad Manager, confirme que a string GPP está sendo passada pela API de consentimento do GAM; no Google Analytics 4, confirme que o Consent Mode v2 está lendo o GPP junto com o TCF. Qualquer fornecedor que ignore silenciosamente o GPP é uma lacuna de conformidade.

GPP, Consent Mode v2 e os requisitos do Google

A atualização de política do Google de dezembro de 2024 tornou o suporte ao GPP obrigatório para editores que monetizam inventário dos EUA por meio do Google Ad Manager. Essa mudança é sutil, mas importante: o Consent Mode v2 ainda usa seus próprios sinais de ad_storage e analytics_storage, mas o GAM agora espera que a string GPP esteja presente na solicitação de anúncio para qualquer tráfego de lei estadual dos EUA. Strings GPP ausentes ou malformadas podem resultar em anúncios sendo exibidos no modo restrito — com impacto significativo no preenchimento e na receita — ou, para infratores reincidentes, no inventário sendo excluído do leilão.

A implicação prática: mesmo editores que historicamente ignoraram as leis estaduais dos EUA porque sua receita era apenas da Califórnia agora precisam do GPP. Virgínia, Colorado, Connecticut, Utah, Texas, Oregon, Montana e Iowa todas têm leis em vigor em 2026, e o Google lê a string GPP para determinar se sua solicitação de anúncio está em conformidade com cada uma delas.

Armadilhas comuns de migração

Quatro erros que vemos repetidamente quando editores adicionam GPP:

Sinais duplicados. Alguns editores mantêm strings TCF e USP independentes junto com o GPP, criando três fontes de verdade que podem discordar. Uma vez que o GPP esteja ativo, desative as strings independentes.

Preenchimento incorreto de seção. Preencher US-CA para cada visitante dos EUA independentemente do estado real vaza dados geográficos e pode falsamente reivindicar direitos de opt-out do CCPA para residentes não californianos. Use a geolocalização de IP para escolher a seção correta.

Ignorar o GPC. O sinal de navegador Global Privacy Control não é uma seção do GPP — é um cabeçalho HTTP separado e uma propriedade JS. Seu CMP deve ler o GPC no carregamento da página e refleti-lo como um opt-out nas seções GPP relevantes, ou você viola a lei do Colorado, de Connecticut e da Califórnia.

Adaptadores de fornecedores desatualizados. Adaptadores Prebid mais antigos e integrações SSP podem remover a string GPP antes que ela chegue ao licitante. Teste cada fornecedor em sua pilha de anúncios com o validador IAB GPP antes de declarar a migração concluída.

A visão de longo prazo: GPP além dos EUA

O GPP foi projetado para se expandir além do TCF EU e das leis estaduais dos EUA. Novas seções para o Canadá (PIPEDA mais a Lei 25 do Québec), o Brasil (LGPD), a Coreia do Sul (PIPA) e outras jurisdições estão em desenvolvimento ativo pelo grupo de trabalho do IAB. Para editores que atendem ao inventário global, o GPP está se tornando o único transporte de consentimento que substitui cada protocolo regional. Investir no GPP hoje posiciona sua pilha para absorver a próxima onda de leis regionais de privacidade sem mais um sprint de integração.