O Global Privacy Control agora é um sinal de exclusão vinculante em dez estados

Um navegador já consegue dizer ao seu servidor, em um único cabeçalho HTTP, que o visitante optou por não ter seus dados vendidos ou compartilhados, e em dez estados dos EUA você é legalmente obrigado a obedecer. O sinal é o Global Privacy Control (GPC), e depois de um ano de ações de fiscalização ele deixou de ser uma cortesia para virar uma obrigação que as pessoas desenvolvedoras precisam implementar em código.

A maioria das equipes nunca escreveu uma linha de tratamento de GPC. Essa lacuna agora é alvo de fiscalização.

O que o sinal realmente é

O GPC são duas superfícies descrevendo uma única preferência. Na rede, é um cabeçalho de requisição HTTP:

Sec-GPC: 1

A especificação do W3C permite exatamente um valor: o caractere literal 1. O cabeçalho é enviado em toda requisição que o navegador faz enquanto o GPC está ativado: carregamentos de página, chamadas de API, downloads de imagens e scripts. Não existe Sec-GPC: 0; a ausência do cabeçalho significa nenhum sinal, não consentimento.

Em JavaScript, a mesma preferência é exposta em navigator:

const optedOut = navigator.globalPrivacyControl === true

Essa propriedade retorna true quando o GPC está ativo, false quando há suporte mas está desligado, e undefined em navegadores que não implementam a especificação. A detecção do cabeçalho no servidor e a leitura da propriedade no cliente não são intercambiáveis: o cabeçalho chega antes de qualquer JavaScript rodar, então tudo que coleta dados no edge precisa ler o cabeçalho.

Por que se tornou vinculante

Os mecanismos de exclusão universal passaram de opcionais a obrigatórios em uma onda de leis estaduais. Califórnia (CPRA), Colorado, Connecticut, Delaware, Montana, Nebraska, Nova Hampshire, Nova Jersey, Oregon e Texas agora exigem que as empresas no escopo respeitem um sinal de preferência de exclusão aprovado, e cada um desses reguladores designou o GPC como válido. Em meados de 2025, isso são dez estados com um dever legal em vigor.

A fiscalização seguiu as regras. Em setembro de 2025, a Agência de Proteção à Privacidade da Califórnia, o Procurador-Geral do Colorado e o Procurador-Geral de Connecticut anunciaram uma operação investigativa conjunta voltada especificamente a empresas que ignoravam sinais de exclusão, e destacaram os sites que exibiam uma confirmação com aparência de conformidade enquanto seguiam processando dados em segundo plano.

Em fevereiro de 2026, o Procurador-Geral da Califórnia firmou um acordo de US$ 2,75 milhões com a The Walt Disney Company por falhas sistemáticas em respeitar pedidos de exclusão, o maior acordo sob a CCPA até hoje. O acordo anterior de US$ 1,2 milhão com a Sephora estabeleceu o GPC como sinal válido; a Disney estabeleceu que ignorá-lo em escala é caro.

A trajetória está definida. A Opt Me Out Act (AB 566) da Califórnia, sancionada em outubro de 2025, exige que os próprios navegadores ofereçam um controle de sinal de exclusão integrado até 1º de janeiro de 2027. O tráfego de GPC só cresce a partir daqui.

O que respeitá-lo exige

Para uma pilha de analítica ou publicidade que vende ou compartilha dados, a implementação é trabalho de verdade. Você precisa detectar o cabeçalho no edge antes de qualquer rastreamento disparar, suprimir o compartilhamento de dados para aquela requisição e, sob as regulamentações da CCPA em vigor desde 1º de janeiro de 2026, conseguir demonstrar que o sinal foi processado, e não apenas recebido.

if request.headers["Sec-GPC"] == "1":
    # do not sell or share; do not load ad/attribution tags
    # log that the signal was honored

A parte difícil não é o if. É auditar cada tag, pixel e script de conversão da página, confirmar que cada um para e produzir evidência sob demanda. Um site típico carrega terceiros relevantes para a exclusão que não controla por completo, que é exatamente a superfície que a operação multiestadual sondou.

Por que a analítica sem cookies fica fora da questão

O GPC é uma exclusão da venda ou do compartilhamento de informações pessoais para publicidade direcionada. A obrigação só se aplica se você faz algo do qual o visitante possa se excluir.

Um rastreador privacy-first não vende nem compartilha dados, não cria perfis entre sites e não armazena nenhum identificador pessoal para começar. Não há troca publicitária a jusante nem terceiros a suprimir. O hash diário de visitante é construído justamente para que não exista nenhum identificador estável a compartilhar:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

O IP e o User-Agent são lidos apenas em memória, usados para calcular o hash e depois descartados. A entrada de data faz o hash rotacionar todo dia, então não há identidade entre sessões para vender nem em princípio. O endpoint /collect recebe uma requisição, deriva uma contagem agregada e não guarda nada que resolva de volta a uma pessoa.

Isso não te isenta de ler o Sec-GPC por boa-fé: respeitar um sinal sobre o qual você tecnicamente não tem dados para agir é barato e demonstra intenção. Mas significa que a parte cara da conformidade com o GPC, a parte que a Disney errou, nunca se aplica. Não há venda de dados a interromper porque a arquitetura nunca produziu dados vendáveis.

O padrão entre os dois regimes

O modelo europeu de consentimento-antes-do-rastreamento e o modelo americano de exclusão-por-sinal parecem opostos, e processualmente são. Mas convergem no mesmo fato técnico: ambos os regimes regulam a criação e a movimentação de um identificador persistente ligado a uma pessoa. O GDPR pede consentimento antes de você criar um; a lei estadual permite que um navegador revogue sua venda depois.

Um sistema que nunca cunha um identificador entre sessões responde às duas perguntas da mesma forma. O banner de consentimento não tem nada a condicionar, e o sinal de exclusão não tem nada a fazer cumprir, porque o objeto regulado nunca foi construído.