Meta defiende en el Congreso un modelo de consentimiento que Europa lleva años rechazando (y multando)

La comparecencia de Meta en el Congreso de los Diputados ha devuelto al centro del debate político una cuestión que las instituciones europeas llevan años desentrañando en los tribunales: ¿puede una plataforma digital afirmar que nunca ha usado datos personales sin consentimiento cuando las autoridades de protección de datos le han impuesto cientos de millones de euros en multas precisamente por considerar que ese consentimiento no era válido?

José Luis Zimmermann, director de Políticas Públicas de Meta en España y Portugal, fue rotundo ante la Comisión de Economía, Comercio y Transformación Digital: la compañía "en ningún caso" ha utilizado información de usuarios de Facebook e Instagram para personalizar anuncios sin su consentimiento.

La afirmación, formulada como respuesta directa a las acusaciones del presidente del Gobierno, Pedro Sánchez, se apoyó en el "respeto escrupuloso" de Meta a la normativa de protección de datos, en una inversión superior a 8.000 millones de dólares en programas de privacidad desde 2019 y en la existencia de herramientas de control para los usuarios.

Sin embargo, esa versión choca frontalmente con una larga cadena de resoluciones, sanciones y pronunciamientos de las autoridades europeas que, durante los últimos años, han cuestionado de forma reiterada la validez del consentimiento obtenido por la compañía. En definitiva, la cuestión no es tanto si existía un consentimiento formal, sino a si ese consentimiento fue realmente libre, informado y conforme al derecho europeo.

El origen del conflicto: aceptar los términos no es consentir

El punto de inflexión se sitúa en mayo de 2018, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD). A partir de ese momento, Meta (entonces Facebook) dejó de basar la personalización publicitaria en un consentimiento explícito y pasó a apoyarse en la llamada "necesidad contractual", es decir, en la idea de que la publicidad personalizada era parte inseparable del servicio aceptado por el usuario al registrarse.

En la práctica, Meta consideró que aceptar los términos de uso equivalía a aceptar la publicidad personalizada.

Esa interpretación fue contestada casi desde el primer momento por reguladores y organizaciones de defensa de la privacidad, que denunciaron que aceptar unas condiciones generales no equivale a consentir de forma libre y específica el uso intensivo de datos personales con fines publicitarios.

El asunto cristalizó en diciembre de 2022, cuando el Comité Europeo de Protección de Datos (EDPB), el órgano que coordina a las autoridades nacionales, adoptó una decisión vinculante.

El EDPB concluyó que Meta no podía basar el uso de datos para anuncios personalizados en un supuesto "consentimiento implícito" derivado de sus términos de servicio, como venía haciendo desde la entrada en vigor del RGPD.

El comité rechazó de plano que la "necesidad contractual" pudiera servir como base legal para ese tratamiento de datos y obligó al regulador irlandés, competente sobre Meta en la Unión Europea, a imponer sanciones.

Las multas: 390 millones por un consentimiento que no era válido

Las multas llegaron en enero de 2023, con cuantías que sumaron 390 millones de euros por las prácticas de Facebook e Instagram.

La Comisión de Protección de Datos de Irlanda consideró que Meta había forzado a los usuarios a aceptar la publicidad personalizada como condición para acceder al servicio, sin ofrecer una alternativa real, y que, por tanto, el consentimiento no era válido.

En términos jurídicos, las autoridades europeas concluyeron que, durante ese periodo, la compañía sí utilizó datos personales para publicidad dirigida sin un consentimiento conforme a la ley. El mensaje de fondo era claro: el modelo de datos de la compañía estaba en conflicto con el marco legal comunitario.

Ese mismo año, Meta recibió además una multa récord de 1.200 millones de euros por transferencias ilegales de datos a Estados Unidos, en un procedimiento distinto pero igualmente vinculado al tratamiento de información personal de usuarios europeos.

"Consiente o paga": el precio de la libertad

Lejos de cerrar el debate, la introducción posterior del modelo conocido como "consiente o paga", que ofrecía a los usuarios la posibilidad de pagar para evitar la publicidad personalizada, abrió un nuevo frente.

Bajo la Ley de Mercados Digitales (DMA), la Comisión Europea señaló que ese sistema no garantiza un consentimiento libre, ya que obliga a elegir entre ceder datos personales o asumir un coste económico.

Bruselas llegó a la conclusión de que ese modelo forzaba el consentimiento o coaccionaba indirectamente a los ciudadanos a entregar sus datos personales para tener el servicio completo.

La Comisión exigió a Meta que introdujera opciones con menor uso de datos y funcionalidad equivalente, al considerar que el consentimiento obtenido bajo presión económica no cumple los estándares legales.

A finales de 2024, Meta aceptó ofrecer una nueva opción en la UE para que los usuarios puedan escoger cómo se usan sus datos para anuncios personalizados, con distintos grados de personalización, en cumplimiento de la DMA.

Eso implica un reconocimiento expreso de que el modelo anterior no ofrecía suficiente control real a los usuarios conforme a la normativa europea.

De hecho, un año más tarde, a finales de 2025, la tecnológica tuvo que hacer más cambios para evitar la multa de 200 millones que le impuso Bruselas.

El Tribunal de Justicia eleva el listón: ni siquiera los datos públicos valen

A eso se suma la jurisprudencia del Tribunal de Justicia de la Unión Europea. En octubre de 2024, el TJUE dictaminó que Meta no puede usar datos personales obtenidos fuera de sus plataformas (por ejemplo, datos públicos sobre orientación sexual) para dirigir publicidad personalizada a los usuarios, aunque esos datos parecieran "públicos".

La sentencia subraya que ni siquiera ciertos datos aparentemente públicos están libres del requisito de consentimiento si se van a usar para publicidad dirigida.

El fallo refuerza la idea de que el consentimiento debe ser específico para cada finalidad y no puede presumirse de manera amplia.

El caso español: competencia desleal con base en datos cuestionados

En España, el debate ha adquirido además una dimensión propia. En noviembre de 2025, un tribunal condenó a Meta a pagar 479 millones de euros a varios medios digitales por competencia desleal, al considerar que la compañía obtuvo una ventaja competitiva indebida mediante el uso de datos personales para la segmentación publicitaria.

Aunque el fallo se centra en el ámbito de la competencia, el uso de datos y la base legal empleada para explotarlos están en el núcleo de la resolución, que Meta ha anunciado que recurrirá.

El tribunal consideró que Meta manipuló la base jurídica (cambiando consentimiento por "necesidad contractual") para usar datos personales, algo que también vulnera la interpretación europea del RGPD.

Investigaciones sobre seguimiento web desde Android

La comparecencia de Zimmermann se produce tras la publicación de investigaciones académicas que apuntan a que, durante meses, las aplicaciones de Facebook e Instagram en Android habrían empleado mecanismos para vincular la navegación web de los usuarios con sus cuentas personales.

Estos trabajos, desarrollados por centros de investigación de España (IMDEA Networks), Bélgica (Universidad de Lovaina) y Países Bajos (Universidad Radboud), sirvieron de detonante para que el Gobierno anunciara una investigación y exigiera explicaciones a la compañía.

Meta rechaza esas conclusiones y sostiene que no se produjo ningún uso de datos sin consentimiento, pero su publicación fue el detonante de la reacción del Gobierno y de la comparecencia en el Congreso.

Presión más allá de Bruselas

Fuera de la Unión Europea, casos como el del Reino Unido (donde en 2025 la empresa acordó dejar de rastrear a una usuaria con fines de publicidad dirigida tras una demanda individual por violación de las leyes de protección de datos) muestran que la presión sobre la publicidad personalizada no es exclusivamente comunitaria.

Aunque no se trata de un fallo masivo, indica que incluso fuera de la UE hay presión jurídica real contra prácticas de personalización sin consentimiento claro.

¿Qué es realmente un consentimiento válido?

Frente a la afirmación de que Meta "en ningún caso" ha usado datos sin consentimiento, el historial regulatorio europeo dibuja un panorama más complejo.

Las autoridades no han cuestionado solo las prácticas concretas, sino la validez misma del consentimiento sobre el que se apoyaba el modelo publicitario de la compañía.

Meta ha defendido internamente y ante reguladores que ha utilizado la "necesidad contractual" como base jurídica para procesar datos para publicidad en la UE.

Sin embargo, reguladores y el EDPB han señalado que esa base no es válida para publicidad personalizada, que requiere consentimiento específico bajo el RGPD. Es un punto crucial: el caso no es solo sobre si Meta obtiene un "consentimiento formal", sino si la base jurídica que usa para procesar datos realmente cumple con la ley europea.

Mientras Meta sostiene que nunca ha usado datos sin consentimiento, las autoridades europeas han determinado en múltiples resoluciones que los mecanismos utilizados por la compañía no cumplían los requisitos legales.

Han constatado que esos mecanismos de consentimiento no eran válidos conforme a la ley europea, que la UE consideró ilegal forzar a usuarios a pagar o consentir datos sin ofrecer alternativa equivalente, y que se han impuesto multas significativas (cercanas a los 600 millones de euros solo por cuestiones de consentimiento publicitario) por estos incumplimientos.

El dilema, en el fondo, podría considerarse, más que técnico, filosófico: ¿puede considerarse que hay consentimiento cuando la alternativa es quedar excluido de plataformas que concentran buena parte de la comunicación social? La respuesta de las instituciones europeas, hasta ahora, ha sido inequívoca: no.