Skip to main content

Exclusão nos EUA — CCPA/CPRA, feito como deve ser

Como a Passiro trata as leis de privacidade dos estados dos EUA — automaticamente e gratuitamente em todos os planos

Mais de 19 estados dos EUA têm agora leis de privacidade abrangentes — Califórnia (CCPA/CPRA), Virgínia, Colorado, Connecticut, Texas, Oregon, Montana e outros. Ao contrário da UE, nenhum deles exige um muro de cookies com opt-in. Seguem um modelo de opt-out: pode tratar dados, mas os visitantes têm de poder dizer "Não vender nem partilhar as minhas informações pessoais" — e os sinais automatizados como o Global Privacy Control têm de ser respeitados.

A lei segue o seu visitante — não o seu endereço

Um equívoco comum é pensar que uma loja na Califórnia só precisa de cumprir a lei da Califórnia, e uma loja no Texas apenas a lei do Texas. As leis de privacidade dos estados norte-americanos funcionam ao contrário: protegem os residentes desse estado, independentemente de onde a empresa esteja localizada. Uma loja do Texas com clientes suficientes na Califórnia deve garantir a esses visitantes os direitos do CCPA. Os visitantes da Florida de uma loja californiana estão abrangidos pela lei da Florida — e não pela da Califórnia.

É por isso que a Passiro decide por visitante: a região do visitante é detetada na periferia da rede e o aviso correto é apresentado automaticamente. Se cada lei se aplica ou não à sua empresa depende de limiares (receita, número de residentes do estado, percentagem da receita proveniente da venda de dados) — essa parte é uma questão para o seu consultor jurídico. A opção segura e padrão do setor é mais simples: dê a cada visitante dos EUA a possibilidade de recusa.

Como funciona

  1. Uma etiqueta. Adiciona a mesma etiqueta de script único da Passiro que utiliza no seu banner da UE — nada específico para os EUA a instalar.
  2. Geodeteção no edge. O país do visitante (e o estado dos EUA) é detetado na rede edge da Cloudflare — sem pesquisas de IP nos seus servidores, sem latência adicional.
  3. O banner certo. Os visitantes dos EUA veem um aviso com a opção "Não vender ou partilhar as minhas informações pessoais". Sem muro de consentimento e sem scripts bloqueados antes da escolha — exatamente o modelo que as leis dos EUA esperam. Os visitantes da UE continuam a ver o seu banner de opt-in do GDPR.
  4. Sinais e registos. Cada escolha é transmitida ao ecossistema publicitário nos formatos que os fornecedores leem e guardada nos seus registos de consentimento com o banner, o regime e os sinais aplicáveis.

Os sinais que o Passiro emite

Global Privacy Control (GPC)

Se o navegador de um visitante enviar o sinal GPC, o Passiro trata-o como uma recusa automática — sem necessidade de interação com o banner — e regista-o. O cumprimento do GPC é legalmente obrigatório na Califórnia, no Colorado, no Connecticut, no Texas e numa lista crescente de estados; o Passiro cumpre-o para todos os visitantes dos EUA.

IAB GPP — US National v2

O Passiro emite strings da IAB Global Privacy Platform (secção US National v2) através da API JavaScript padrão __gpp e da frame __gppLocator — o formato que o Google e as plataformas de publicidade modernas leem, verificado byte a byte face à implementação de referência da IAB.

Sinais antigos de US Privacy

Para os fornecedores que ainda utilizam a antiga framework IAB US Privacy, a Passiro também disponibiliza a API __uspapi e o cookie usprivacy — para que cada geração de ad tech receba um sinal que compreende.

O que difere entre estados — e o que a Passiro abrange

As leis estaduais partilham o mesmo núcleo de exclusão. As diferenças práticas e como são tratadas:

Diferença Estados Gerido pela Passiro
O GPC deve ser respeitado CA, CO, CT, TX, MT, OR, DE, NJ + mais Sim — respeitado para todos os visitantes dos EUA
Formulação "Não vender ou partilhar" Califórnia (CPRA); outros exigem um mecanismo de exclusão Sim — o aviso cumpre ambos
Formato de sinal aceite pelas plataformas de publicidade GPP US National + secções CA/CO/CT/FL/VA (Google) Sim — US National v2, a via recomendada pela Google
Consentimento obrigatório para dados sensíveis VA, CO, CT e outros Aviso abrangido; aquilo que recolhe é uma decisão ao nível da camada de dados do seu lado
Âmbito limitado a empresas de grande dimensão Florida (receita superior a mil milhões de dólares) Abrangido de forma conservadora pelo aviso aplicável a todos os EUA

Um banner para os EUA — ou um por estado

A predefinição recomendada é um único banner de opt-out válido para todos os Estados Unidos: não pode incumprir a conformidade por conceder direitos, e a IAB concebeu a secção GPP US National exatamente para isto. Selecione a região «United States» (ou o perfil de conformidade dos EUA) no editor de banners e está feito.

Prefere um controlo mais preciso? Segmente estados individuais (por ex., US-CA, US-CO) com os seus próprios banners — a segmentação por estado prevalece automaticamente sobre a segmentação por país. A geossegmentação, os vários banners e o regime de exclusão dos EUA são gratuitos em todos os planos, incluindo o plano gratuito.

Funciona em conjunto com o seu banner da UE

A exclusão voluntária dos EUA e o GDPR da UE são regimes diferentes, e a Passiro mantém-nos rigorosamente separados: os visitantes da UE recebem o banner de consentimento (opcionalmente com IAB TCF v2.3 e Google Consent Mode v2) e os visitantes dos EUA recebem o aviso de exclusão — a partir da mesma tag, com os textos certos em 25 idiomas.

Configure o seu banner para os EUA — grátis

Esta página explica como o Passiro funciona e não constitui aconselhamento jurídico. A aplicação de determinadas leis estaduais à sua empresa depende dos limiares legais — consulte o seu advogado.