Global Privacy Control ya es una señal de exclusión vinculante en diez estados

Un navegador ya puede decirle a tu servidor, en un solo encabezado HTTP, que el visitante optó por excluirse de que sus datos se vendan o compartan, y en diez estados de EE. UU. estás legalmente obligado a obedecerlo. La señal es Global Privacy Control (GPC), y tras un año de acciones de cumplimiento dejó de ser una cortesía para convertirse en una obligación que las personas desarrolladoras deben implementar en código.

La mayoría de los equipos nunca ha escrito una línea de manejo de GPC. Esa brecha es ahora un objetivo de fiscalización.

Qué es realmente la señal

GPC son dos superficies que describen una sola preferencia. En la red es un encabezado de petición HTTP:

Sec-GPC: 1

La especificación del W3C permite exactamente un valor: el carácter literal 1. El encabezado se envía en cada petición que hace el navegador mientras GPC está activado: cargas de página, llamadas a API, descargas de imágenes y scripts. No existe Sec-GPC: 0; la ausencia del encabezado significa que no hay señal, no consentimiento.

En JavaScript la misma preferencia se expone en navigator:

const optedOut = navigator.globalPrivacyControl === true

Esa propiedad devuelve true cuando GPC está activo, false cuando es compatible pero está apagado, y undefined en navegadores que no implementan la especificación. La detección del encabezado en el servidor y la lectura de la propiedad en el cliente no son intercambiables: el encabezado llega antes de que se ejecute cualquier JavaScript, así que todo lo que recolecta datos en el edge debe leer el encabezado.

Por qué se volvió vinculante

Los mecanismos de exclusión universal pasaron de opcionales a obligatorios en una ola de leyes estatales. California (CPRA), Colorado, Connecticut, Delaware, Montana, Nebraska, Nuevo Hampshire, Nueva Jersey, Oregón y Texas ahora exigen que las empresas dentro del alcance respeten una señal de preferencia de exclusión aprobada, y cada uno de esos reguladores ha designado a GPC como válida. A mediados de 2025 eso son diez estados con un deber legal vigente.

La fiscalización siguió a las reglas. En septiembre de 2025, la Agencia de Protección de la Privacidad de California, el Fiscal General de Colorado y el Fiscal General de Connecticut anunciaron una redada de investigación conjunta dirigida específicamente a empresas que ignoraban las señales de exclusión, y señalaron a los sitios que mostraban una confirmación de apariencia conforme mientras seguían procesando datos en segundo plano.

En febrero de 2026, el Fiscal General de California alcanzó un acuerdo de 2,75 millones de dólares con The Walt Disney Company por fallas sistémicas al respetar las solicitudes de exclusión, el mayor acuerdo bajo la CCPA hasta la fecha. El anterior acuerdo de 1,2 millones con Sephora estableció a GPC como señal válida; Disney estableció que ignorarla a escala es caro.

La trayectoria es clara. La Opt Me Out Act (AB 566) de California, firmada en octubre de 2025, exige que los propios navegadores incorporen un control de señal de exclusión integrado antes del 1 de enero de 2027. El tráfico de GPC solo crecerá a partir de aquí.

Qué exige respetarla

Para una pila de analítica o publicidad que vende o comparte datos, la implementación es trabajo real. Debes detectar el encabezado en el edge antes de que se dispare cualquier rastreo, suprimir el intercambio de datos para esa petición y, bajo las regulaciones de la CCPA vigentes desde el 1 de enero de 2026, poder demostrar que la señal se procesó y no solo se recibió.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

La parte difícil no es el if. Es auditar cada etiqueta, píxel y script de conversión de la página, confirmar que cada uno se detiene y producir evidencia bajo demanda. Un sitio típico carga terceros relevantes para la exclusión que no controla del todo, que es exactamente la superficie que sondeó la redada multiestatal.

Por qué la analítica sin cookies queda fuera de la cuestión

GPC es una exclusión de la venta o el intercambio de información personal para publicidad dirigida. La obligación solo aplica si haces algo de lo que el visitante pueda excluirse.

Un rastreador privacy-first no vende ni comparte datos, no construye perfiles entre sitios y no almacena ningún identificador personal para empezar. No hay un intercambio publicitario aguas abajo ni un tercero que suprimir. El hash diario de visitante está construido específicamente para que no exista ningún identificador estable que compartir:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

La IP y el User-Agent se leen solo en memoria, se usan para calcular el hash y luego se descartan. La entrada de fecha hace que el hash rote cada día, así que no hay identidad entre sesiones que vender ni en principio. El endpoint /collect recibe una petición, deriva un conteo agregado y no conserva nada que resuelva de vuelta a una persona.

Eso no te exime de leer Sec-GPC por buena fe: respetar una señal sobre la que técnicamente no tienes datos que procesar es barato y demuestra intención. Pero sí significa que la parte cara del cumplimiento de GPC, la parte que Disney hizo mal, nunca aplica. No hay venta de datos que detener porque la arquitectura nunca produjo datos vendibles.

El patrón en ambos regímenes

El modelo europeo de consentimiento-antes-del-rastreo y el modelo estadounidense de exclusión-por-señal parecen opuestos, y procesalmente lo son. Pero convergen en el mismo hecho técnico: ambos regímenes regulan la creación y el movimiento de un identificador persistente vinculado a una persona. El RGPD pide consentimiento antes de que establezcas uno; la ley estatal permite que un navegador revoque su venta después.

Un sistema que nunca acuña un identificador entre sesiones responde a ambas preguntas de la misma forma. El banner de consentimiento no tiene nada que condicionar, y la señal de exclusión no tiene nada que hacer cumplir, porque el objeto regulado nunca se construyó.