O que é o MSPA — e o que Não É

O MSPA é um quadro privado e baseado em contratos publicado pelo IAB. Não é uma lei e não substitui os estatutos estaduais. É antes um acordo multilateral que os participantes — editores, agências, redes publicitárias, SSPs, DSPs e fornecedores de dados — assinam para poderem fazer afirmações jurídicas consistentes sobre como as informações pessoais fluem através da publicidade programática. Quando todos na cadeia assinam o mesmo contrato, os fornecedores a jusante não precisam de negociar cinquenta acordos bilaterais de processamento de dados distintos para processar um único pedido de licitação.

Pense no MSPA como três coisas ao mesmo tempo:

• Um contrato que flui automaticamente para jusante quando um signatário transmite dados a outro signatário.
• Um vocabulário para exprimir as escolhas dos utilizadores através de strings codificadas pelo GPP, incluindo opt-outs de venda, partilha, publicidade direcionada e tratamento de dados sensíveis.
• Um quadro de alocação de risco que atribui cada signatário a um de três papéis — Empresa Abrangida, Prestador de Serviços/Subcontratante ou Terceiro — e as obrigações associadas a cada um.

O que o MSPA não é: um substituto do seu aviso de privacidade, um substituto do consentimento direto do utilizador onde este é exigido, ou uma garantia de conformidade com qualquer lei estadual específica. É uma ferramenta que, utilizada corretamente, torna operacionalmente viável a conformidade com múltiplas leis estaduais. Utilizada incorretamente — por exemplo, sinalizando participação enquanto continua a partilhar dados após um opt-out — aumenta a sua responsabilidade em vez de a reduzir.

Quem Deve Preocupar-se: Os Três Papéis do MSPA

Antes de assinar qualquer coisa, identifique qual o papel que realmente desempenha. A maioria dos editores fica surpreendida ao descobrir que usa mais do que um chapéu consoante o fluxo de dados.

Empresa Abrangida

É uma Empresa Abrangida se determina os fins e os meios do tratamento de informações pessoais sobre um utilizador — normalmente o editor que opera o sítio Web ou a aplicação que o utilizador visita. Enquanto Empresa Abrangida, é responsável por recolher consentimentos, apresentar avisos, respeitar os opt-outs e configurar o sinal GPP em que os fornecedores a jusante se baseiam. O ónus voltado para o utilizador recai sobre si.

Prestador de Serviços ou Subcontratante

É um Prestador de Serviços quando trata informações pessoais por conta de uma Empresa Abrangida nos termos de um contrato e apenas para fins limitados e permitidos. A maioria dos fornecedores de análise, fornecedores de alojamento e plataformas de gestão de consentimentos opera nesta via. O MSPA impõe restrições: sem venda, sem publicidade comportamental entre contextos por conta própria, e regras de retenção e eliminação estritamente definidas.

Terceiro

É um Terceiro quando recebe informações pessoais de uma Empresa Abrangida e as utiliza para fins próprios — a maioria dos SSPs, DSPs, fornecedores de identidade e corretores de dados enquadra-se aqui. Os Terceiros têm as obrigações contratuais mais pesadas, incluindo o tratamento direto dos direitos dos utilizadores e obrigações de fluxo a jusante quando partilham dados com os seus próprios parceiros.

O MSPA e a Global Privacy Platform (GPP)

O MSPA não existe no vácuo. É a camada contratual; o GPP é a camada de sinalização técnica. A Global Privacy Platform do IAB Tech Lab codifica as escolhas dos utilizadores numa única string que viaja com os pedidos de licitação através do protocolo OpenRTB. Para a sinalização nos EUA, o GPP transporta strings de secção para cada estado com uma lei de privacidade abrangente — por exemplo, USCA (Califórnia), USCO (Colorado), USVA (Virgínia), USCT (Connecticut), USUT (Utah) e a string US National abrangente para estados sem secção dedicada.

O MSPA diz à sua CMP quais os campos a definir dentro dessas secções GPP para reclamar cobertura. Os campos mais importantes que os editores verão e configurarão incluem:

• MspaCoveredTransaction — definido como Sim quando o editor afirma que o pedido de licitação está coberto pelo quadro MSPA.
• MspaOptOutOptionMode — indica se o utilizador recebeu uma opção clara de opt-out conforme exigido pelas regras de transparência do MSPA.
• MspaServiceProviderMode — definido quando os fornecedores a jusante devem tratar os dados exclusivamente como dados de prestador de serviços.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — os indicadores de consentimento granulares que os licitantes leem para decidir o que podem fazer com a impressão.
• SensitiveDataProcessing — um array de múltiplos elementos que sinaliza as escolhas do utilizador relativas à origem racial, crenças religiosas, saúde, orientação sexual, cidadania, geolocalização precisa e outras categorias sensíveis definidas pela lei estadual.

Se a sua CMP definir MspaCoveredTransaction = Sim mas o editor não tiver efetivamente assinado o contrato MSPA, acaba de fazer uma afirmação falsa em que os signatários a jusante irão confiar. É um caminho rápido para um litígio contratual e, dependendo do estado, uma queixa regulatória.

Dados Sensíveis: A Armadilha que a Maioria dos Editores Ignora

Cada lei estadual de privacidade abrangente aprovada desde a Califórnia alargou a definição de informações pessoais sensíveis, e o MSPA integra-as num campo GPP unificado. As categorias incluem tipicamente:

• Identificadores governamentais (número de segurança social, carta de condução, passaporte).
• Credenciais de conta e informações financeiras.
• Geolocalização precisa, geralmente com um raio inferior a 533 metros.
• Origem racial ou étnica, crenças religiosas, diagnósticos de saúde mental ou física.
• Vida sexual e orientação sexual.
• Cidadania e estatuto de imigração.
• Dados genéticos e biométricos utilizados para identificar uma pessoa.
• Dados relativos a uma criança conhecida com menos de 13 anos — e em alguns estados, com menos de 16 anos com proteções adicionais.

Vários estados exigem consentimento opt-in para o tratamento de dados sensíveis, enquanto outros permitem o tratamento com direito de opt-out. A codificação GPP do MSPA permite exprimir ambos, mas a sua CMP deve saber qual solicitar com base no estado do utilizador. A classificação incorreta de dados sensíveis — por exemplo, tratar a navegação em conteúdos de saúde como dados comportamentais comuns — é o modo de falha mais frequente assinalado pelos procuradores-gerais estaduais nas ações de aplicação de 2024–2025.

Construir um Fluxo de Consentimento Preparado para o MSPA

Implementar o MSPA no seu sítio ou aplicação é um problema de coordenação entre o departamento jurídico, a engenharia e as operações publicitárias. O trabalho divide-se em aproximadamente cinco fluxos de trabalho.

1. Assine o MSPA e Mantenha o Seu Estatuto de Signatário

O MSPA é um contrato real que o advogado deve rever e assinar. Declarará o papel ou papéis que desempenha, os estados americanos onde exerce atividade e as categorias de dados que trata. Renove anualmente e atualize o portal de signatários do IAB Tech Lab sempre que o seu papel ou jurisdição se alterar.

2. Configure a Sua CMP para Lógica Multi-Estado

Um único banner só de CCPA já não é suficiente. A sua CMP deve detetar o estado do utilizador — normalmente através de geolocalização por IP com uma alternativa de privacidade — e apresentar os avisos, ligações e controlos de opt-out corretos para essa jurisdição. A FlexyConsent e outras CMPs modernas certificadas pela Google fornecem modelos multi-estado que mapeiam estado a estado para as strings de secção GPP corretas.

3. Integre as Strings GPP no Seu Stack Publicitário

A string GPP deve ser inserida em cada pedido de licitação OpenRTB originado por um utilizador dos EUA. Para utilizadores do Google Ad Manager, isto implica ativar o suporte GPP nas definições da rede; para utilizadores do Prebid, implica instalar os módulos gppControl_usnat e por estado e confirmar que o adaptador consentManagement está a reencaminhar a string codificada. Teste utilizando o descodificador GPP do IAB Tech Lab para verificar o percurso de ida e volta da CMP ao pedido de licitação.

4. Respeite o Sinal Global Privacy Control (GPC)

A maioria das leis estaduais — Califórnia, Colorado, Connecticut e uma lista crescente — exige o respeito por um sinal GPC a nível do browser como opt-out válido. O MSPA espera que os signatários detetem o GPC e pré-definam os campos SaleOptOut, SharingOptOut e TargetedAdvertisingOptOut em conformidade, mesmo antes de o utilizador interagir com o banner. Se a sua CMP não conseguir detetar e agir sobre o GPC, não está em conformidade independentemente da adesão ao MSPA.

5. Audite os Fornecedores a Jusante

A lógica de fluxo a jusante do MSPA só funciona se os seus fornecedores também forem signatários. Antes de enviar dados para qualquer SSP, DSP ou parceiro de dados, verifique o estatuto de signatário no portal do IAB Tech Lab. Os fornecedores não signatários devem ser removidos do seu stack publicitário para tráfego dos EUA ou cobertos por APDs bilaterais separados que espelhem os termos do MSPA.

Armadilhas de Implementação Comuns

Vários padrões de falha surgem repetidamente nas auditorias de editores:

• Sinalizar cobertura MSPA sem assinar. Definir MspaCoveredTransaction = Sim na string GPP enquanto a entidade jurídica do editor não executou o MSPA expõe o editor a reclamações de declaração falsa por parte de signatários a jusante que confiaram no sinal.
• Esquecer o Texas, Oregon e Montana. Editores configurados para o cenário original de cinco estados ignoram leis que entraram em vigor em 2024 e 2025. Cada um tem os seus próprios gatilhos de opt-out; o MSPA cobre-os, mas apenas se a lógica de deteção de estados da sua CMP os incluir.
• Ignorar sinais de dados sensíveis em conteúdos de notícias e estilo de vida. Um leitor de um artigo focado em saúde, religião ou LGBTQ pode estar a tratar dados sensíveis de forma implícita. Realize uma auditoria de conteúdo e configure substituições ao nível da categoria na CMP.
• Tratar o GPC como meramente consultivo. O regulador da Califórnia esclareceu em 2024 que ignorar o GPC constitui uma infração por cada violação. O MSPA não o protege disso — depende de si para respeitar o GPC.
• Strings GPP desatualizadas em cache no edge. O caching de páginas por CDN ou service worker pode servir ao utilizador uma string GPP desatualizada de uma sessão anterior. Desative o cache no endpoint de consentimento e adicione um passo de obtenção atualizada aquando de uma alteração de consentimento.

Como o MSPA Afeta as Receitas Publicitárias

Os editores que implementam o MSPA corretamente observam tipicamente quedas modestas de receitas a curto prazo seguidas de estabilização, enquanto implementações descuidadas ou restringem excessivamente as licitações ou expõem o editor a riscos de aplicação. As variáveis que influenciam o resultado:

• Taxas de opt-out — Em estados com ligações de opt-out em destaque, 5 a 15% dos utilizadores optam tipicamente por sair da venda ou partilha. Os preços de licitação nas impressões com opt-out caem geralmente 30 a 60% porque a segmentação comportamental não está disponível.
• Classificação de conteúdo sensível — Classificar incorretamente conteúdo comum como sensível fará colapsar a procura. Seja conservador e preciso por categoria.
• Composição dos parceiros de header bidding — Parceiros não signatários do MSPA que tem de desativar para o tráfego dos EUA reduzem o seu leilão. Substitua-os por signatários em vez de operar com procura mais escassa.
• Tagging do lado do servidor — Um contentor do lado do servidor que lê a string GPP e ativa condicionalmente as tags é a forma mais limpa de manter a análise e o consentimento sincronizados.

O que Vem a Seguir: 2026 e Além

O MSPA é um acordo vivo. O IAB atualiza-o todos os anos ou de dois em dois anos à medida que novas leis estaduais, orientações dos procuradores-gerais e propostas federais reformulam o panorama. Os temas a acompanhar em 2026:

• Uma possível lei federal de privacidade que pré-empta parcialmente os regimes estaduais — o MSPA inclui lógica de recurso de pré-emulação, pelo que os signatários não ficarão em situação difícil.
• Expansão do GPP para abranger a sinalização específica de saúde ao abrigo da Washington My Health My Data Act e estatutos análogos.
• Aplicação mais rigorosa das regras sobre padrões obscuros nos fluxos de opt-out pela California Privacy Protection Agency e pelo Attorney General do Texas.
• Integração com divulgações de formação de IA e modelos de linguagem de grande dimensão, que vários parlamentos estaduais estão a debater.

Os editores que tratam a implementação do MSPA como um projeto único ficarão para trás. Trate-o como higiene operacional contínua, de responsabilidade partilhada entre o jurídico, as operações publicitárias e a engenharia de produto, e revisto trimestralmente. Os editores que vencem na conformidade multi-estado dos EUA não são os que têm mais advogados — são os cujas CMP, stack publicitário e registos de auditoria contam a mesma história quando um regulador pergunta.

A Conclusão

O MSPA é a resposta prática a um panorama de privacidade nos EUA fragmentado. Não aprovará leis por si, mas dará ao seu fluxo de licitações, aos seus fornecedores e à sua equipa jurídica uma linguagem comum para opt-outs, dados sensíveis e obrigações a jusante. Combine-o com uma CMP consciente dos estados, sinalização GPP rigorosa e gestão disciplinada de fornecedores, e gastará menos tempo a discutir jurisdição e mais tempo a monetizar as impressões que tem autorização para monetizar. Esse é o único caminho sustentável ao longo de 2026 e a vaga de leis estaduais que ainda aguardam na fila.