Global Privacy Control Is Now a Binding Opt-Out Signal in Ten States

Un browser può ora dire al tuo server, in un solo header HTTP, che il visitatore ha scelto di non far vendere o condividere i propri dati — e in dieci stati USA sei legalmente obbligato a obbedire. Il segnale è Global Privacy Control (GPC), e dopo un anno di azioni di enforcement ha smesso di essere una cortesia per diventare un obbligo che gli sviluppatori devono implementare nel codice.

La maggior parte dei team non ha mai scritto una riga di gestione GPC. Quella lacuna è ora un bersaglio dell'enforcement.

Cos'è davvero il segnale

GPC sono due superfici che descrivono un'unica preferenza. Sulla rete è un header di richiesta HTTP:

Sec-GPC: 1

La specifica del W3C consente esattamente un valore: il carattere letterale 1. L'header viene inviato a ogni richiesta che il browser effettua finché GPC è attivo: caricamenti di pagina, chiamate API, recupero di immagini e script. Non esiste Sec-GPC: 0; l'assenza dell'header significa nessun segnale, non consenso.

In JavaScript la stessa preferenza è esposta su navigator:

const optedOut = navigator.globalPrivacyControl === true

Quella proprietà restituisce true quando GPC è attivo, false quando è supportato ma disattivato, e undefined nei browser che non implementano la specifica. Il rilevamento dell'header lato server e la lettura della proprietà lato client non sono intercambiabili: l'header arriva prima che venga eseguito qualsiasi JavaScript, quindi tutto ciò che raccoglie dati all'edge deve leggere l'header.

Perché è diventato vincolante

I meccanismi di opt-out universale sono passati da opzionali a obbligatori in un'ondata di leggi statali. California (CPRA), Colorado, Connecticut, Delaware, Montana, Nebraska, New Hampshire, New Jersey, Oregon e Texas richiedono ora alle imprese rientranti nell'ambito di rispettare un segnale di preferenza di opt-out approvato, e ognuna di queste autorità ha designato GPC come valido. A metà 2025 sono dieci stati con un dovere giuridico vigente.

L'enforcement ha seguito le regole. A settembre 2025 la California Privacy Protection Agency, il Procuratore Generale del Colorado e il Procuratore Generale del Connecticut hanno annunciato un'azione investigativa congiunta mirata specificamente alle imprese che ignoravano i segnali di opt-out — e hanno additato i siti che mostravano una conferma all'apparenza conforme mentre continuavano a trattare i dati in background.

A febbraio 2026 il Procuratore Generale della California ha raggiunto un accordo da 2,75 milioni di dollari con The Walt Disney Company per inadempienze sistematiche nel rispettare le richieste di opt-out, il più grande accordo CCPA fino a oggi. Il precedente accordo da 1,2 milioni con Sephora aveva stabilito GPC come segnale valido; Disney ha stabilito che ignorarlo su larga scala è costoso.

La traiettoria è fissata. L'Opt Me Out Act (AB 566) della California, firmato a ottobre 2025, impone che siano i browser stessi a fornire un controllo del segnale di opt-out integrato entro il 1° gennaio 2027. Il traffico GPC da qui in poi non potrà che crescere.

Cosa richiede rispettarlo

Per uno stack di analitica o pubblicità che vende o condivide dati, l'implementazione è lavoro vero. Devi rilevare l'header all'edge prima che si attivi qualsiasi tracciamento, sopprimere la condivisione dei dati per quella richiesta e — secondo le regolamentazioni CCPA in vigore dal 1° gennaio 2026 — essere in grado di dimostrare che il segnale è stato elaborato e non solo ricevuto.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

La parte difficile non è l'if. È verificare ogni tag, pixel e script di conversione sulla pagina, confermare che ciascuno si fermi e produrre prove su richiesta. Un sito tipico carica terze parti rilevanti per l'opt-out che non controlla del tutto, che è esattamente la superficie sondata dall'azione multistatale.

Perché l'analitica senza cookie sta fuori dalla questione

GPC è un opt-out dalla vendita o condivisione di informazioni personali per pubblicità mirata. L'obbligo scatta solo se fai qualcosa da cui il visitatore può escludersi.

Un tracker privacy-first non vende né condivide dati, non costruisce profili cross-site e non memorizza alcun identificatore personale fin dall'inizio. Non c'è alcuno scambio pubblicitario a valle né alcuna terza parte da sopprimere. L'hash giornaliero del visitatore è costruito appositamente perché non esista alcun identificatore stabile da condividere:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

L'IP e lo User-Agent vengono letti solo in memoria, usati per calcolare l'hash e poi scartati. L'input della data fa sì che l'hash ruoti ogni giorno, perciò non esiste alcuna identità cross-sessione da vendere nemmeno in linea di principio. L'endpoint /collect riceve una richiesta, ricava un conteggio aggregato e non conserva nulla che riconduca a una persona.

Questo non ti esonera dal leggere Sec-GPC in buona fede: rispettare un segnale su cui tecnicamente non hai dati su cui agire costa poco e segnala intenzione. Ma significa che la parte costosa della conformità GPC — la parte che Disney ha sbagliato — non si applica mai. Non c'è alcuna vendita di dati da fermare perché l'architettura non ha mai prodotto dati vendibili.

Lo schema attraverso entrambi i regimi

Il modello europeo del consenso-prima-del-tracciamento e il modello statunitense dell'opt-out-al-segnale sembrano opposti, e dal punto di vista procedurale lo sono. Ma convergono sullo stesso fatto tecnico: entrambi i regimi regolano la creazione e il movimento di un identificatore persistente collegato a una persona. Il GDPR chiede il consenso prima che tu ne imposti uno; la legge statale consente a un browser di revocarne la vendita a posteriori.

Un sistema che non conia mai un identificatore cross-sessione risponde a entrambe le domande nello stesso modo. Il banner del consenso non ha nulla da condizionare, e il segnale di opt-out non ha nulla da far rispettare — perché l'oggetto regolato non è mai stato costruito.