¿Qué exige el Congreso a Zuckerberg por espiar en Android?

El PSOE cita a Zuckerberg por rastreo en Android; explicamos las claves del caso, marco europeo y efectos en privacidad y publicidad digital.

El PSOE ha registrado en el Congreso de los Diputados la solicitud de comparecencia de Mark Zuckerberg por un presunto sistema de rastreo en móviles Android vinculado a Facebook e Instagram que habría permitido asociar la navegación web con la identidad de los usuarios. La petición incluye también al director de Operaciones de Meta, Javier Oliván, y al responsable de Asuntos Públicos para España y Portugal, José Luis Zimmermann, con el objetivo de aclarar si esa práctica se desplegó en territorio español, bajo qué base jurídica y durante cuánto tiempo. El foco político y técnico se cruza en la misma pregunta de fondo —sin rodeos—: si existió un “puente” entre el navegador y las apps que desanonimizara la actividad online pese a usar modo incógnito, borrar cookies o conectarse mediante VPN.

La iniciativa socialista llega tras la divulgación de un trabajo académico europeo que describe con precisión una vía para recopilar eventos de navegación y vincularlos a cuentas reales de Meta utilizando un canal local en el propio dispositivo. A partir de ahí, la Cámara busca respuestas en dos planos: responsabilidades empresariales y cumplimiento regulatorio. La empresa ha asegurado que pausó la función señalada y que colabora con las plataformas y las autoridades; Google y Mozilla han anunciado mitigaciones en sus navegadores móviles para cerrar comunicaciones locales que no estuvieran previstas en sus políticas. El tablero se mueve ya: Parlamento, reguladores y compañías tecnológicas. Quedan por despejar fechas exactas, alcance en España, datos conservados y documentación técnica.

Qué ha decidido el PSOE y qué pide exactamente

La solicitud registrada por el Grupo Parlamentario Socialista reclama la presencia de Mark Zuckerberg ante una comisión parlamentaria con competencias en economía digital y transformación tecnológica. Los socialistas enmarcan la comparecencia en la defensa de la privacidad y la seguridad de los usuarios de servicios digitales de gran escala. No se trata solo de escuchar un relato corporativo: se piden explicaciones técnicas verificables sobre el funcionamiento del sistema, la existencia de pruebas de auditoría internas, las decisiones de producto que lo activaron y, de haberlas, medidas de remediación aplicadas en España y en la Unión Europea.

El formato de la comparecencia, como es habitual en la práctica parlamentaria, puede ser presencial en Madrid o por videoconferencia. La llamada se extiende a Javier Oliván, pieza clave por su control de la ejecución operativa a nivel global, y a José Luis Zimmermann, interlocutor directo de Meta con administraciones públicas y legisladores en el ámbito ibérico. La presencia de ambos tiene sentido: desciende la conversación a quién decidió qué y cómo se implementó. La petición parlamentaria también prevé requerir documentación: diagramas técnicos, logs de actividad, políticas internas y memorias de evaluación de impacto en protección de datos.

El Gobierno había avisado de que impulsaría un escrutinio parlamentario y administrativo si las sospechas técnicas se sostenían. La Agencia Española de Protección de Datos (AEPD) dispone de competencias para abrir actuaciones, y la propia Comisión Europea vigila bajo el paraguas de la DSA (Ley de Servicios Digitales) y la DMA (Ley de Mercados Digitales) a compañías designadas como gatekeepers. Sobre la mesa, por tanto, hay dos niveles de control: el político, que abre la sala de máquinas al escrutinio público, y el regulatorio, que puede derivar en sanciones y obligaciones de cambio de producto.

El caso técnico: cómo se habría rastreado en Android

La pieza novedosa del asunto no son las cookies ni los identificadores de publicidad habituales, sino un mecanismo de comunicación local entre el navegador del móvil y las apps de Meta instaladas en el mismo terminal. El procedimiento, tal y como se detalla en la investigación académica, sería el siguiente: al visitar una página con Meta Pixel (código muy extendido en sitios de comercio electrónico, medios y servicios), el script intenta escuchar o hablar con la app nativa de Facebook o Instagram mediante un puerto local o un esquema de URL que actúa como “puente”. Si el usuario tiene sesión iniciada en la app, ese puente permite atar eventos de navegación a su identidad real de forma inmediata, sin depender de cookies de terceros o de técnicas tradicionales de fingerprinting.

Ese “canal local” —la expresión clave— desactiva defensas que muchos daban por sólidas: el modo incógnito deja de tener efecto porque el vínculo entre evento web y cuenta no ocurre en el navegador, y VPN o bloqueadores pierden fuerza porque la asociación se produce dentro del propio dispositivo, antes de que el tráfico cifrado salga hacia Internet. El resultado es un historial de actividad potencialmente muy detallado: clics en botones, productos añadidos al carrito, formularios iniciados, búsquedas, interacciones con publicidad. Todo ello susceptible de unirse a un perfil personal.

Los académicos atribuyen a IMDEA Networks (España), la Universidad Católica de Lovaina (KU Leuven) y la Universidad de Radboud (Países Bajos) la documentación técnica de esta vía, con registros de comportamiento y pruebas controladas. En su trabajo sitúan el despegue del sistema en fechas recientes del entorno de 2024–2025 —con patrones similares observados años atrás en otros actores— y subrayan el riesgo de desanonimización de la navegación móvil. La pregunta que el Parlamento español intenta despejar ahora es si ese comportamiento se produjo en dispositivos españoles, en qué versiones de app, y con qué base jurídica.

Posibles impactos legales y regulatorios

Si se confirmara que el rastreo descrito operó en España sin consentimiento válido ni otra base suficiente, chocaría con el Reglamento General de Protección de Datos (RGPD). El artículo 6 exige fundamento para el tratamiento; el artículo 5 impone limitación de finalidad, minimización y transparencia; y el artículo 25 reclama privacidad desde el diseño. El artículo 83 fija un techo sancionador de hasta 20 millones de euros o el 4% del volumen de negocio mundial (la cifra mayor). En paralelo, la Directiva ePrivacy protege la confidencialidad de las comunicaciones y regula la lectura o almacenamiento de información en dispositivos; cualquier mecanismo que acceda a recursos locales del terminal sin autorización entra en un terreno delicado.

Para plataformas designadas como gatekeepers bajo la DMA, el riesgo sancionador escala: las multas pueden alcanzar el 10% del volumen de negocio global, y hasta el 20% en caso de reincidencia. La DSA, por su parte, exige transparencia publicitaria, gestión de riesgos sistémicos y auditorías independientes que, en un caso como este, podrían forzar documentación extra y cambios de arquitectura. La AEPD podría abrir actuaciones nacionales, pero dado el carácter transfronterizo de Meta, el mecanismo de ventanilla única del RGPD y la coordinación con Bruselas resultan probables.

Otra derivada es el deber de información hacia empresas y sitios que integran Meta Pixel. Si el pixel estuviera implicado en una captación de datos más intensa de lo declarado, muchos responsables de sitios web deberían revisar, con urgencia, políticas de privacidad, banners de consentimiento y acuerdos de encargo. No es un detalle técnico menor: la cadena de responsabilidad alcanza a responsables y encargados del tratamiento que envían señales a proveedores con usos no transparentes o no amparados por una base legal sólida.

Quiénes son los llamados y qué papel juegan

La petición de comparecencia coloca tres nombres propios bajo los focos. Mark Zuckerberg, fundador y presidente de Meta Platforms, asumirá, si acude, el papel político y reputacional. Javier Oliván, oscense, director de Operaciones (COO) desde 2022, es la figura que convierte decisiones estratégicas en instrucciones de producto y procesos internos; su intervención permitiría descender al ciclo de desarrollo, validaciones legales y controles de cumplimiento que acompañan a cambios tan sensibles. José Luis Zimmermann, responsable de Asuntos Públicos en España y Portugal, es la voz de la compañía ante el Poder Legislativo y el vínculo con organismos reguladores, un rol crucial para entender fechas, comunicaciones y compromisos adquiridos.

El Parlamento quiere saber quién autorizó la característica, qué objetivos perseguía (medición, prevención de fraude, publicidad dirigida), qué salvaguardas existían y qué registros se guardan hoy. También si la compañía encargó una Evaluación de Impacto en Protección de Datos (DPIA), obligatoria cuando un tratamiento entraña alto riesgo. En la práctica, estos tres perfiles reúnen lo necesario: visión estratégica, control operativo y la interfaz institucional que traduce compromisos en documentos y plazos.

Precedentes y primeras respuestas de las tecnológicas

El episodio trae ecos claros de Cambridge Analytica y de las comparecencias de Zuckerberg en el Capitolio y en el Parlamento Europeo en 2018. Entonces, la compañía prometió refuerzos de privacidad y cambios de plataforma; desde entonces, Europa ha endurecido sus herramientas con la DSA y la DMA, y la Comisión ha mostrado que está dispuesta a emplearlas. El clima, por tanto, es distinto al de hace siete años: más obligaciones, más auditorías y más capacidad sancionadora.

Meta ha transmitido que desactivó la funcionalidad cuestionada mientras aclara su encaje con políticas de plataforma y normas de los navegadores. Google ha avanzado parches en Android y Chrome para impedir o limitar comunicaciones no autorizadas entre páginas web y apps instaladas en el terminal —en especial, acceso a puertos locales o a esquemas de URL que se usen para transmitir identificadores—. Mozilla ha comunicado medidas similares en Firefox para Android. El vector de defensa se desplaza, así, del bloqueo de cookies a la vigilancia de canales locales que hasta ahora habían pasado más desapercibidos.

En paralelo, se han activado conversaciones entre equipos de seguridad, privacidad y cumplimiento de las grandes plataformas. Lo que se dirime no es solo el caso Meta, sino cómo se configura la frontera entre medición legítima y vigilancia transversal en un entorno en el que las cookies de terceros pierden eficacia y se buscan alternativas. Si el Parlamento español y los reguladores europeos concluyen que el “puente” navegador-app cruzó líneas rojas, habrá efecto arrastre sobre el diseño de SDKs, pixels y APIs de otras compañías.

Lo que cambia desde ya y frentes abiertos

Hay consecuencias inmediatas en tres frentes. El primero, usuarios: incluso sin resoluciones finales, la pausa de la funcionalidad y los parches en navegadores ya reducen la posibilidad de que la navegación móvil se desanonimice por canales locales. La recomendación generalizada en privacidad sigue vigente: mantener apps y navegadores actualizados, revisar permisos y cerrar sesiones cuando no se utilicen. También cobra fuerza el separar identidades por uso: una app social para lo social y otra, sin sesión iniciada, para operaciones sensibles como banca o compras. No se menciona a nadie; son hábitos técnicos que muchos departamentos de seguridad ya aplican.

El segundo frente, empresas y medios que integran Meta Pixel u otros SDKs publicitarios. Varias consultoras legales recomiendan auditar implementaciones, verificar que documentos de consentimiento explican con claridad qué datos se envían y con qué fines, y, si hay dudas razonables, detener temporalmente el envío de señales que no sean estrictamente necesarias —especialmente en sectores sensibles como salud, finanzas, educación o servicios públicos—. Bajo RGPD, la corresponsabilidad o la condición de encargado no exime de responsabilidad si se participa en una captación desproporcionada.

El tercer frente, político-regulatorio. La Mesa y la Junta de Portavoces deberán ordenar la comparecencia si recogen la solicitud; a partir de ahí, calendario, formato e intercambio de documentación. La AEPD puede recabar información preliminar y activar visitas de inspección, mientras que Bruselas ponderará si el caso encaja en obligaciones DSA/DMA. Es previsible que, cuando las tecnológicas cierran un canal técnico, proveedores y anunciantes busquen alternativas; por eso este debate no es estacional, sino estructural.

Un punto jurídico de interés es la capacidad del Parlamento para obligar a comparecer. La Ley Orgánica 5/1984 regula las Comisiones de Investigación y establece la obligación de todos los ciudadanos españoles y de los extranjeros residentes en España de acudir cuando sean citados por estas comisiones. En el resto de comisiones, la práctica es de invitación; el peso real lo pone la presión pública y el interés reputacional de la empresa. En todo caso, la Cámara puede requerir documentos y pedir la intervención de directivos con residencia en España, de ahí la relevancia de la citación a Javier Oliván y José Luis Zimmermann junto al propio Zuckerberg.

Privacidad y poder digital: lo que se juega España

El expediente abierto en el Congreso no es un episodio aislado. Define, con nombres y técnicas concretas, dónde se traza la línea entre publicidad basada en datos y seguimiento invasivo en el móvil, el dispositivo que concentra comunicación, trabajo, consumo y ocio. Si se confirma que hubo desanonimización mediante un canal local entre navegador y app, el precedente será contundente: España y Europa no solo dictan normas, también auditan código y exigen que los gigantes expliquen cómo funcionan sus piezas internas.

El desenlace tendrá impacto en tres capas. En la tecnológica, porque acelerará un movimiento ya visible: cierre de puertos locales, endurecimiento de permisos entre procesos, vigilancia de esquemas de URL y controles más finos para SDKs y pixels. En la empresarial, porque obligará a elegir entre medición contextual y modelos menos intrusivos o intentar mantener sistemas opacos con alto riesgo legal. En la institucional, porque medirá la capacidad del Parlamento español y de los reguladores de obtener documentación técnica y traducirla en obligaciones claras.

El caso trae memoria de Cambridge Analytica, pero llega con otro paisaje regulatorio. El RGPD ya no es una novedad, la DSA y la DMA están en fase ejecutiva y la Comisión Europea ha demostrado que puede imponer multas millonarias. La citación de Mark Zuckerberg, Javier Oliván y José Luis Zimmermann fija un punto de gravedad en Madrid. A partir de ahora, el relato importará menos que los logs, las versiones de app, los parches en navegadores y las fechas. La historia es técnica y política a la vez: cómo se diseñó un sistema, quién lo autorizó, qué recogía, cómo se avisó y qué queda guardado. Cuando esas preguntas tengan respuestas, se sabrá si esto es un malentendido corregido a tiempo o un salto de frontera que reconfigura la relación entre privacidad y poder digital en España.

🔎​ Contenido Verificado ✔️

Este artículo ha sido redactado basándose en información procedente de fuentes oficiales y confiables. Fuentes consultadas: El País, La Moncloa, IMDEA Networks, Radboud University, BOE, El Español, The Register, Comisión Europea.