Voltar ao Blog
LegalTech & IA

Sinais GPC no CCPA/CPRA: O que são e por que você precisa respeitá-los (ou não)

Comitê Editorial NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
28 de junho de 2026
10 min de leitura
Sinais GPC no CCPA/CPRA: O que são e por que você precisa respeitá-los (ou não)

O que é o sinal GPC e por que ele está dando o que falar?

Imagine que você entra em um site e, em vez de caçar o botão de "Não vender meus dados" escondido em um menu de 15 opções, seu navegador simplesmente avisa: "Esse usuário não quer ser rastreado". É exatamente isso que o Global Privacy Control (GPC) faz: um sinal enviado pelo navegador ou extensão que informa aos sites que o usuário optou por não ter seus dados vendidos ou compartilhados.

Mas a pergunta que não quer calar: sua empresa precisa respeitar esse sinal? A resposta curta é: depende. Se você está sob a jurisdição do CCPA/CPRA (Califórnia), sim, a partir de 2023, o GPC é considerado uma solicitação válida de opt-out. Mas calma, não é tão automático quanto parece.

O GPC é obrigatório? O que diz a lei?

O CCPA/CPRA estabelece que os consumidores têm o direito de optar pela não venda de seus dados pessoais. E, desde 2023, a lei reconhece explicitamente que sinais como o GPC são uma forma válida de exercer esse direito. Ou seja, se um usuário ativou o GPC no navegador, você deve tratá-lo como se ele tivesse clicado no botão "Não vender" no seu site.

Mas atenção: a lei não exige que você implemente suporte ao GPC se você já oferece um mecanismo de opt-out próprio. No entanto, se você receber o sinal e ignorá-lo, pode estar sujeito a multas e ações de fiscalização. O procurador-geral da Califórnia já deixou claro que vai fiscalizar o cumprimento.

Como implementar o respeito ao GPC sem surtar?

Primeiro, verifique se seu site ou aplicativo coleta dados pessoais e os vende ou compartilha (segundo a definição ampla do CCPA). Se sim, você precisa de um mecanismo para detectar o sinal GPC. Isso pode ser feito via JavaScript (navigator.globalPrivacyControl) ou cabeçalhos HTTP (Sec-GPC).

Depois, ao detectar o sinal, você deve aplicar o opt-out imediatamente, sem exigir que o usuário confirme ou faça login. E lembre-se: o opt-out deve ser persistente, ou seja, não pode ser resetado após 30 dias (a menos que o usuário revogue).

E se eu não respeitar? Quais os riscos?

Ignorar o GPC pode custar caro. O CCPA prevê multas de até $7.500 por violação intencional. E, com a fiscalização ativa, não é um risco que vale a pena correr. Além disso, o GPC está ganhando força globalmente: a União Europeia, através do ePrivacy Regulation, também está de olho.

Mas não se desespere: implementar o suporte ao GPC não é um bicho de sete cabeças. Muitas plataformas de CMP (Consent Management Platform) já oferecem integração nativa. Se você usa uma, provavelmente já está coberto.

FAQ

O GPC substitui o botão de opt-out no meu site?

Não. O GPC é um complemento. Você ainda deve oferecer um mecanismo próprio de opt-out, como um link "Não vender meus dados" no rodapé. O GPC apenas facilita para o usuário que já configurou o sinal no navegador.

Preciso respeitar o GPC mesmo se minha empresa não estiver na Califórnia?

Se você processa dados de residentes da Califórnia e se enquadra no CCPA (faturamento >$25M, ou coleta dados de >50k usuários, ou obtém >50% da receita com venda de dados), sim. Caso contrário, não é obrigatório, mas é uma boa prática de privacidade.

Como sei se meu site está recebendo o sinal GPC?

Você pode testar usando navegadores como Firefox ou Brave com a extensão GPC ativada, ou verificar os logs do servidor para o cabeçalho Sec-GPC. Ferramentas de desenvolvedor também mostram se o sinal está sendo enviado.

Checklist: Sua empresa está pronta para o GPC?

  • Identificar se o CCPA/CPRA se aplica ao seu negócio
  • Mapear todos os pontos de coleta e venda de dados
  • Implementar detecção do sinal GPC (JS ou cabeçalho)
  • Aplicar opt-out automaticamente ao receber o sinal
  • Garantir que o opt-out seja persistente (não resetar em 30 dias)
  • Atualizar sua política de privacidade mencionando o GPC
Empresas que já implementaram70%

Fonte: estimativa baseada em adoção de CMPs

NakedPact Logo

Comitê Editorial NakedPact

Artigo criado pela redação da NakedPact. Nossa missão é analisar, simplificar e expor cláusulas abusivas e riscos ocultos em contratos cotidianos para proteger cidadãos e consumidores.

Você é proprietário de um site?

Você é proprietário de um site?

Quer comunicar aos seus utilizadores a sua transparência no tratamento de dados? Utilize dinamicamente o nosso selo e mostre a conformidade da sua plataforma.

🛡️ Proteja seus direitos com um clique

Não corra o risco de assinar cláusulas abusivas. Instale a extensão gratuita do NakedPact para Chrome ou Firefox e analise instantaneamente qualquer contrato na web.

Não confie, verifique.

Agora que conhece os riscos, não assine às cegas. Carregue o seu contrato no NakedPact e deixe a IA encontrar as cláusulas ocultas. É 100% gratuito.

Analise o seu Contrato Agora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.