Meta Platforms (Meta) enfrenta en los Estados Unidos una demanda por violar la privacidad de los usuarios de plataformas de acceso a servicios médicos ofrecidos por MedStar Health System, Rush University System for Health y UK Healthcare. Estos proveedores de servicios médicos instalaron en sus aplicaciones online la herramienta de seguimiento «Meta Pixel». De forma que, cada vez que el paciente iniciaba sesión en el portal de la página web de su proveedor médico, Meta Pixel transmitía cierta información a Meta, que monetizaba haciendo uso en publicidad dirigida.
El pixel de Meta es un fragmento de código que se coloca en el sitio web del usuario para medir la eficacia de la publicidad a través del conocimiento de las acciones del usuario. Se suele usar para los siguientes fines: asegurarse de que los anuncios se muestran a las personas adecuadas, impulsar las ventas y medir los resultados de los anuncios.
Para comprender cómo funciona Meta Pixel imagine el siguiente escenario:
Una tienda online de ropa instala el Meta Pixel para conocer mejor el comportamiento de sus visitantes. Cuando alguien hace clic en «Comprar» o añade un producto al carrito, el sistema envía a Meta algunos datos básicos como cookies, la dirección IP o el tipo de navegador. Meta compara esa información con los perfiles de sus usuarios y permite a la tienda mostrar anuncios personalizados a quienes hayan mostrado interés en sus productos. Así, la tienda puede llegar a clientes potenciales con mayor eficacia y Meta obtiene beneficios a través de la publicidad dirigida.
Con esta práctica, la empresa orienta de forma más eficaz sus esfuerzos de marketing y publicidad hacia clientes potenciales, mientras que Meta obtiene beneficios al aprovechar la información que recibe a través de Meta Pixel para generar publicidad dirigida dentro y fuera de Facebook. Ambos ganan, eso sí, a cuenta de comprometer la privacidad de los usuarios.
Ahora, sustituya a la tienda de ropa por un proveedor de servicios médicos. Cuando el paciente accede a su portal web —por ejemplo, para iniciar sesión o consultar secciones sobre citas o resultados—, el Meta Pixel puede transmitir datos sensibles a Meta. Entre ellos se incluyen las direcciones web de las páginas visitadas, que pueden revelar información sobre enfermedades, así como los identificadores que permiten relacionar esos datos con perfiles reales en las plataformas de Meta. En la demanda, a la que aludía al inicio, uno de los demandantes denuncia que, dos horas después de buscar información sobre la colitis ulcerosa en la página web de su proveedor de servicios médicos, Meta le mostró un vídeo en Facebook relacionado con la colitis ulcerosa.
Tras la demanda, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) emitió una guía para las entidades reguladas que utilizan herramientas de seguimiento de sitios web, en la que establece: «Las entidades reguladas no pueden utilizar tecnologías de seguimiento de forma que resulte en divulgaciones inadmisibles de información médica protegida (PHI) a proveedores de tecnología de seguimiento o en cualquier otra infracción de las normas de la HIPAA». La OCR cita la «divulgación de PHI a proveedores de tecnología de seguimiento con fines comerciales, sin las autorizaciones de las personas que cumplen con la HIPAA» como ejemplo de infracción.
Meta enfrenta la acusación de violación de las leyes estatales y federales de protección al consumidor, incluida la invasión de la privacidad, la Ley Integral de Acceso a Datos Informáticos y Fraude de California (CDAFA) y la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA). Esperemos a la sentencia.
Meta Pixel en la Unión Europea
En la Unión Europea, la autoridad austriaca de protección de datos (DSB, por sus siglas en inglés) dictó una decisión, en marzo de 2023, en la que reveló que los sitios web que utilizan estas herramientas de seguimiento estarían infringiendo el artículo 44 del RGPD por la transferencia de datos a Estados Unidos sin garantías adecuadas. La decisión se deriva de que las cláusulas contractuales estándar no mitigan el riesgo de vigilancia estadounidense (FISA 702). El DSB recomendó no usar herramientas de Meta en sitios europeos sin bases legales sólidas.
Otro gigante en problemas es Google, que se enfrenta a una demanda colectiva, formulada en los Países Bajos por Stichting Consumentenbond y Stichting Privacy Protection Foundation en nombre de 82.000 personas, por vulnerar su derecho a la privacidad. Según la demanda, Google recopila datos de ubicación y de comportamiento en Internet de los usuarios a gran escala, a través de servicios y productos, sin proporcionar suficiente información ni haber obtenido permiso. Luego comparte esos datos, incluidos datos sensibles como salud, origen étnico y preferencias políticas, a través de su plataforma de publicidad. En enero de 2025, el Tribunal de Ámsterdam declaró admisible la acción, permitiendo avanzar en el fondo. El caso sigue pendiente de resolución definitiva.
La misma asociación logró, en marzo de 2023, el respaldo del Tribunal de Ámsterdam, que consideró que Facebook violó la ley al procesar los datos personales de usuarios neerlandeses, entre el 1 de abril de 2010 y el 1 de enero de 2020, con fines publicitarios, sin mediar un permiso válido. El caso afecto a más de 190.000 personas.
