El “local tracking” de Meta podría acarrear una de las mayores sanciones en materia de privacidad hasta la fecha

Un grupo de investigadores ha desvelado que Meta, propietaria de Facebook e Instagram, llevaba usando desde septiembre de 2024 un sistema denominado local tracking, que permitía a la compañía rastrear la actividad de los usuarios de Android en la web, incluso cuando se utilizaba la navegación oculta o mediante VPN.

Meta ha estado utilizando una vulnerabilidad en la seguridad de los sistemas Android para identificar la navegación a través de móviles en los que se hubiesen instalado las aplicaciones de Facebook o Instagram; a través de este sistema, independientemente de si las aplicaciones estuviesen abiertas o no, Meta rastreaba la actividad de los usuarios a través de “puertas locales” de los móviles con un pixel. Después de publicarse la investigación, Meta ha detenido completamente sus actividades de rastreo.

Concretamente, el sistema ideado por Meta consistía en reproducir la aplicación de Facebook o Instagram en segundo plano sin informar al usuario. Aunque cerraras las aplicaciones, estas se comunicaban con webs que utilizaban la cookie de Meta “fbp” para enviar información sobre la actividad del visitante en la web. Paralelamente, también se enviaba esta información a los servidores de Meta, donde se unifica la actividad en línea del usuario con los datos identificativos, por ejemplo, su nombre de usuario en Instagram.

La magnitud de esta actividad de rastreo es enorme, llegando a estar afectadas el 22% de las webs más visitadas en el mundo, lo que implica que miles de millones de usuarios han sido rastreados sin su conocimiento, y por tanto sin su consentimiento. Entre los datos capturados se encuentra información como URL visitada, navegador y sistema operativo, la acción realizada en la web (añadir al carrito, formularios completados, etc.) y datos de comportamiento en la web, todo ello vinculado con los perfiles concretos de los usuarios en Facebook e Instagram.

Todavía no hay una sanción, pero esta conducta supone una infracción de distintas normas, como el RGPD por tratar datos sin informar y sin consentimiento, la DMA por la combinación de datos personales entre plataformas y la DSA por el envío de publicidad personalizada basada en categorías especiales de datos. En el hipotético caso de que se impusiera la sanción máxima de cada una de estas normas, se llegaría a la cantidad de 32 mil millones de euros, la sanción más alta impuesta hasta la fecha por vulneraciones en materia de privacidad. No obstante, aunque la conducta podría ser susceptible de estas infracciones, la cuantía exacta de la sanción no se conocerá hasta que no culmine el procedimiento sancionador, lo cual puede llevar meses.