
Meta, el RGPD y la nueva frontera regulatoria de los gatekeepers europeos
La resolución que la Comisión Europea dictó el 23 de abril de 2025 contra META Platforms, Inc. no es una multa más; es un parteaguas doctrinal que redefine el alcance del consentimiento en el ecosistema de las plataformas digitales y, de paso, pone a prueba el marco jurídico del Reglamento General de Protección de Datos (RGPD) frente al más reciente Digital Markets Act (DMA). Con 200 millones de euros de sanción —y la amenaza añadida de multas coercitivas diarias si en sesenta días no ajusta su modelo— Bruselas recuerda al sector que los datos personales no son una divisa con la que un gatekeeper pueda financiar, a voluntad, su posición de dominio.
De la “mera formalidad” al consentimiento sustantivo
Quien haya acompañado a empresas tecnológicas españolas en su travesía por el RGPD sabe que la palabra consentimiento llevaba años degradándose hasta convertirse en un trámite de click-through: bastaba con desplegar un banner que ofreciera “Aceptar” y, en letra más pequeña, “Configurar” o “Rechazar”. El DMA, sin embargo, introduce una arquitectura adicional: exige que el usuario pueda elegir un servicio equivalente —en prestaciones y experiencia— que funcione sobre publicidad menos intrusiva o contextual. Dicho de otro modo, no basta con invocar el RGPD; hace falta garantizar que la negativa no penalice al internauta ni económica ni funcionalmente.
Esta es la piedra angular que quiebra el polémico modelo “consentir o pagar” que Meta implantó en noviembre de 2023. Al ofrecer una suscripción mensual para quienes rehusaran la publicidad personalizada, la plataforma trasladaba el coste de la privacidad al usuario, vaciando de contenido el consentimiento exigido por el artículo 5.2 del DMA. La Comisión reconoce explícitamente que el modelo no proporcionaba “una alternativa menos personalizada, pero equivalente”, ni permitía al usuario consentir libremente.
La consecuencia es clara: el consentimiento ya no puede analizarse en clave puramente formal, sino en clave material: ¿existe poder de negociación real? ¿Puede el usuario acceder al servicio, en igualdad de condiciones, sin una cesión masiva de sus datos? Si la respuesta es negativa, el consentimiento se torna ficticio y, por tanto, inválido.
El RGPD como sustento y no como límite
Aunque el RGPD permanece como la gran carta magna de la privacidad europea, la Comisión ha dejado meridianamente claro que el nuevo estándar DMA es cumulativo, no sustitutivo. La interpretación sistemática resulta interesante: el artículo 4.11 del RGPD define el consentimiento como “libre”, pero el DMA, consciente de las asimetrías entre gatekeepers y usuarios, detalla qué condiciones estructurales pueden corromper esa libertad. Así, la obligación del equivalente funcional se convierte en un corolario práctico del principio de libertad proclamado en el RGPD.
En otras palabras, el legislador europeo reconoce que en los mercados digitales altamente concentrados la capacidad de elección se diluye; por ello, refuerza las garantías con un instrumento de competencia ex-ante. El mensaje a los operadores españoles es directo: cumplir el RGPD ya no basta si el modelo de negocio reposa sobre el apalancamiento de datos personales a gran escala.
Implicaciones para las plataformas digitales que operan en España
Desde la designación de Meta como gatekeeper en septiembre de 2023, cualquiera que aspire a escalar su proyecto digital —ya sea desde Madrid, Barcelona o Málaga— debe preguntarse si su flujo de datos podría ser considerado “sistémico”. El caso Meta extiende, por analogía, una serie de obligaciones prácticas:
- Primacía del principio de minimización: combinar datos extraídos de distintos servicios exige una base jurídica diferenciada y una lógica de diseño privacy-by-default.
- Prohibición de los patrones oscuros: la Comisión valora no solo la literalidad de los textos legales, sino la arquitectura de decisión que conduce a la aceptación masiva.
- Necesidad de un análisis de equivalencia funcional: cualquier versión “sin seguimiento” ha de preservar prestaciones, rendimiento y participación social; degradar la experiencia o imponer barreras tarifarias conduce, como le ocurrió a Meta, al terreno del incumplimiento.
El expediente ilustra además cómo la AEPD y la Comisión Europea pueden actuar de forma concertada: la autoridad española, que ya venía sancionando muros de cookies puros, dispondrá ahora de un precedente comunitario para intensificar su escrutinio sobre estrategias pay-or-ok locales.
El poder de mercado como variable crítica
Una novedad de la resolución es la explicitación de la ventaja competitiva que se deriva de la hiper-acumulación de datos. La Comisión subraya que Meta agrupa información de Facebook, Instagram, Messenger y Marketplace, consolidando perfiles “únicos” que refuerzan su hegemonía publicitaria. De ahí que la obligación de ofrecer un servicio “menos personalizado” pero competitivo tenga también una dimensión pro-competitiva: impedir que el volumen de datos se convierta en una barrera de entrada infranqueable para empresas emergentes.
Para las startups españolas —especialmente las que pretenden monetizar vía adtech o economía de la atención— esta constatación implica que la política de datos se entrelaza con la estrategia de mercado: obtener grandes volúmenes de información personal ya no garantiza una ventaja sostenible si la combinación de dichos datos vulnera el régimen del DMA.
Una brújula para los próximos litigios
La Decisión de 23 de abril es, a la vez, una advertencia preventiva: la Comisión se reserva el derecho de examinar la nueva opción de “anuncios menos personalizados” que Meta lanzó en noviembre de 2024. Si la investigación concluye que esa fórmula sigue sin respetar la equivalencia funcional, caerán las multas coercitivas previstas en el artículo 31.1 del DMA.
Ello anticipa una segunda oleada de litigios: cada ajuste que Meta o cualquier otro gatekeeper implante será escrutado no solo por la Dirección General de Competencia, sino también por organizaciones de consumidores y defensorías de datos. En el ámbito nacional, es previsible que la AEPD incorpore la noción de servicio equivalente a sus criterios cuando valore la validez del consentimiento en entornos dominados por grandes plataformas.
Hacia un ecosistema de datos que respete la libertad y la competencia
Con esta resolución, Bruselas trasciende la visión patrimonialista de la privacidad: el dato personal no se “vende” ni se “alquila” a cambio de funcionalidad; es un atributo de la dignidad humana, indisponible al capricho mercantil del gatekeeper. Para las empresas que operan en España —desde unicornios hasta firmas de comercio electrónico en ciernes— la lección es inequívoca: el RGPD ya no es la meta, sino el punto de partida.
En Certus entendemos que el reto no consiste solo en sortear sanciones, sino en integrar el principio de consentimiento libre y la lógica de competencia justa en el ADN de cada modelo de negocio digital. Quien lo haga no solo dormirá tranquilo ante la Comisión; también ganará en reputación y confianza, divisas cada vez más valiosas en la economía de los datos.