Ce face efectiv Delete Act

Delete Act reprezintă un adaos structural la regimul existent de înregistrare a brokerilor de date din California, în vigoare din 2020. În timp ce cadrul original impunea pur și simplu brokerilor să se înregistreze anual la stat și să divulge categoriile de informații personale, Delete Act adaugă un mecanism centralizat de ștergere cu termene stricte, obligații de audit și penalități pentru neconformitate.

Registrul centralizat de ștergere

Registrul este o platformă operată de CPPA unde consumatorii din California transmit o singură solicitare de ștergere care este propagată automat tuturor brokerilor de date înregistrați. Brokerii trebuie să verifice registrul cel puțin o dată la patruzeci și cinci de zile, să identifice orice solicitări noi care corespund persoanelor din seturile lor de date și să șteargă înregistrările corespunzătoare în termenul specificat de reglementări. Consumatorii nu trebuie să știe care brokeri dețin datele lor — registrul gestionează distribuirea.

Cine este considerat broker de date

Legea definește un broker de date ca o afacere care colectează și vinde cu bună știință informații personale despre un consumator cu care afacerea nu are o relație directă. Definiția este mai restrânsă decât pare — editorii primari care vând propria audiență nu sunt brokeri, procesatorii care gestionează date în numele unui operator nu sunt brokeri — dar include furnizorii de grafuri de identitate, platformele de publicitate în contexte încrucișate, serviciile de căutare a persoanelor și o mare parte a stratului de extindere a audienței prin care editorii tranzitează datele programatice.

Înregistrarea și lista publică

Orice broker acoperit trebuie să se înregistreze anual, să plătească o taxă și să apară pe o listă publică menținută de CPPA. Până în 2026, lista este punctul de referință practic pentru editorii care auditează fluxurile de date din aval: orice furnizor din listă este un broker de date în sensul Delete Act, iar obligațiile contractuale ale editorului față de acel furnizor trebuie să reflecte realitatea propagării ștergerii.

Ciclul de patruzeci și cinci de zile și consecințele sale operaționale

Regula operațională esențială este cadența ciclului de ștergere. La fiecare patruzeci și cinci de zile, fiecare broker înregistrat trebuie să verifice registrul și să șteargă fiecare înregistrare corespunzătoare. Cadența creează un nou tip de eroziune a identității pentru care editorii trebuie să se pregătească.

Cum se erodează audiențele sub ciclul de ștergere

O audiență construită pe îmbogățirea prin brokeri de date se va micșora pe un ciclu de aproximativ șase săptămâni, pe măsură ce consumatorii din California care au transmis solicitări de ștergere se propagă prin rețeaua de brokeri. Editorii care rulează măsurători în SUA dependente de rezoluția identității — targetarea programatică a audienței, ferestre de atribuire care depind de identificatori cross-site, modelare lookalike care utilizează semințe furnizate de brokeri — vor vedea că dimensiunile audienței din California scad într-un model de fierăstrău: fiecare ciclu elimină un segment, apoi vizitatorii incrementali completează până la următorul ciclu.

Re-identificarea este interzisă

Legea interzice în mod explicit brokerilor să re-identifice un consumator care a fost șters, chiar dacă brokerul obține ulterior aceleași date dintr-o altă sursă. Interdicția închide breșa evidentă și înseamnă că editorii nu pot să se bazeze pe propriile date primare pentru a reconecta consumatorii șterși la audiențele dirijate prin brokeri. Ștergerea este menită să fie durabilă, iar programul de audit al autorității de reglementare este conceput pentru a detecta modelele de re-identificare.

Datele primare ale editorului sunt în afara ciclului

Propriile date primare ale editorului — utilizatori înregistrați, abonați la newsletter, membri ai programelor de fidelitate — nu sunt supuse ciclului Delete Act, deoarece editorul nu este un broker de date pentru acele înregistrări. Editorul rămâne supus drepturilor de ștergere din CCPA și CPRA, care sunt separate. Cele două regimuri pot interacționa: o ștergere prin Delete Act la nivelul brokerului poate lăsa înregistrarea primară a editorului intactă, iar editorul trebuie să continue să onoreze solicitarea separată de ștergere din CCPA a consumatorului prin propriul proces de recepție al editorului.

Semnalul Global Privacy Control în lumea nouă

Delete Act se intersectează cu antetul Global Privacy Control (GPC) pe care browserele și extensiile de confidențialitate îl trimit pentru a indica că utilizatorul a setat o preferință universală de renunțare. Reglementările CPPA confirmă că editorii și brokerii trebuie să onoreze GPC ca renunțare valabilă din CCPA, iar registrul centralizat al Delete Act adaugă o cale paralelă pentru același rezultat.

Două semnale, un singur rezultat

Un consumator din California are două modalități de a ieși din ecosistemul de date comerciale: să trimită antetul GPC din fiecare browser pe care îl utilizează sau să transmită o singură solicitare în registrul Delete Act. Cele două căi produc rezultate echivalente pentru majoritatea cazurilor de utilizare, dar diferă ca sferă de aplicare. GPC reglementează vânzarea și partajarea continuă pe fiecare site pe care îl vizitează consumatorul. Registrul șterge înregistrările existente deținute de brokeri. Editorii ar trebui să le trateze pe ambele ca semnale autoritare, iar CMP ar trebui configurat să le recunoască pe oricare dintre ele.

Rolul CMP în prezentarea ambelor căi

CMP-ul conform pentru audiențele din California în 2026 prezintă statusul de onorare a GPC (vizitatorul are GPC setat, renunțarea este activă), propriul link de renunțare al editorului (consumatorul poate refuza vânzarea și partajarea pe acest site specific) și un indicator clar către registrul CPPA pentru consumatorii care doresc rezultatul ștergerii de la brokeri. Arhitectura nu este tehnic solicitantă — trei controale în interfața de consimțământ în loc de una — dar formularea contează, iar aplicarea CPPA a fost activă pe căile de renunțare înșelătoare sau ascunse.

Ce trebuie să facă editorii

Delete Act este o reglementare îndreptată spre brokeri, nu spre editori, dar consecințele operaționale pentru editori sunt reale și necesită modificări specifice ale arhitecturii de consimțământ și date.

Auditați stiva de furnizori față de registrul brokerilor

Fiecare furnizor din stiva de reclame și analiză a editorului ar trebui verificat față de lista publică de brokeri a CPPA. Furnizorii din listă sunt supuși regimului Delete Act, iar contractele editorului cu acei furnizori trebuie să reflecte propagarea ștergerii, retenția jurnalului de audit și cadența ciclului de patruzeci și cinci de zile. Majoritatea furnizorilor importanți de rezoluție a identității și mai mulți SSP-uri mari se află deja pe listă; auditul nu este dificil, dar trebuie efectuat cel puțin anual.

Actualizați notificarea de confidențialitate și interfața de consimțământ

Notificarea de confidențialitate a editorului ar trebui să explice calea registrului Delete Act alături de dreptul existent de ștergere din CCPA, cu un link direct către registrul CPPA. Interfața de consimțământ ar trebui să expună statusul de onorare a GPC atunci când vizitatorul are antetul setat, iar controalele de renunțare ar trebui stilizate cu aceeași proeminență ca și controalele de acceptare — deciziile de aplicare ale procurorului general în 2024 și 2025 au făcut testul modelului întunecat explicit.

Planificați pentru modelul de fierăstrău al audienței

Echipele de măsurare și targetare a audienței trebuie să știe că valorile audienței din California vor urma un model de fierăstrău de șase săptămâni determinat de cadența ciclului. Tablourile de bord și modelele de ritm al licitațiilor ar trebui calibrate la model, nu să trateze fiecare scădere ca o eroare. Editorii care rulează atribuire riguroasă ar trebui de asemenea să modeleze calea de ștergere a brokerului ca sursă separată de eroziune, astfel încât numerele post-ciclu să poată fi reconciliate în mod clar.

Greșeli comune ale Delete Act care generează constatări

Primul val de aplicare CPPA sub Delete Act pe parcursul anului 2025 a produs un model clar de constatări din partea editorilor. Notificarea de confidențialitate a editorului descrie calea de renunțare din CCPA, dar nu menționează niciodată registrul Delete Act. Bannerul de consimțământ onorează GPC pentru vânzare și partajare, dar nu propagă semnalul către procesul de ștergere primară al editorului. Editorul contractează cu un broker înregistrat și nu actualizează niciodată contractul pentru a reflecta obligațiile de propagare a ștergerii din Delete Act. CMP servește un panou de gestionare a preferințelor care îngropă renunțarea trei clicuri în profunzime în spatele unui buton mai întunecat decât acceptă totul. Fiecare dintre acestea este o remediere a documentației sau UX, nu o schimbare arhitecturală profundă — dar fiecare este exact ceea ce CPPA utilizează pentru a deschide o investigație.

Concluzia

Delete Act oferă consumatorilor din California un singur buton care îi scoate din ecosistemul de date comerciale, iar până în 2026 registrul este operațional, lista brokerilor este publică și programul de aplicare este activ. Pentru editori, implicațiile sunt reale, dar limitate: Delete Act nu impune editorului să facă nimic dramatic, dar îi cere editorului să știe ce furnizori din aval sunt brokeri, să actualizeze notificarea de confidențialitate și interfața de consimțământ pentru a prezenta noua cale, să onoreze GPC în mod consecvent și să planifice pentru modelul de fierăstrău al audienței produs de ciclul de patruzeci și cinci de zile. Nimic din toate acestea nu este tehnic dificil. Totul este specific din punct de vedere operațional. Editorii care au efectuat un audit riguros în 2024 și 2025 execută acum pe o arhitectură stabilă; editorii care au tratat Delete Act ca o problemă a brokerilor de date care nu îi privea își petrec 2026 scriind scrisori de răspuns și revizuind notificările de confidențialitate sub termenele impuse de autoritatea de reglementare.