TL;DR — El Meta Pixel (antes Facebook Pixel) es un script de seguimiento publicitario que deposita cookies (_fbp, _fbc) en los dispositivos de los visitantes. Su uso requiere consentimiento previo bajo el RGPD. La AEPD y otras autoridades europeas de protección de datos han emitido advertencias por incumplimiento. Para usarlo legalmente, se necesita una CMP conforme que bloquee el Pixel antes del consentimiento e, idealmente, la Conversions API para el seguimiento de conversiones en el lado del servidor.
El Meta Pixel es una de las herramientas de marketing más desplegadas en la web y también una de las más escrutadas por las autoridades europeas de protección de datos. Su mecanismo de seguimiento entre sitios, las transferencias de datos a servidores estadounidenses y la naturaleza publicitaria de sus finalidades lo convierten en un caso de alto riesgo. Esta guía explica cómo usarlo en cumplimiento con el RGPD.
¿Qué es el Meta Pixel y qué cookies deposita?
El Meta Pixel es un fragmento de código JavaScript que los anunciantes colocan en su sitio para medir conversiones publicitarias y construir audiencias de Meta (Facebook, Instagram). Al cargarse, deposita varias cookies en el dispositivo del visitante.
Las cookies del Meta Pixel
_fbp: cookie de origen depositada por Meta, duración 90 días, se utiliza para identificar el navegador del usuario para la segmentación publicitaria. Es el identificador principal del Pixel.
_fbc: cookie de origen creada cuando el usuario llega desde un anuncio de Facebook (parámetro fbclid en la URL), duración de hasta 2 años. Se utiliza para vincular una visita con una campaña publicitaria específica.
Ambas cookies son cookies publicitarias. No son funcionales y no se benefician de ninguna exención: su depósito requiere un consentimiento previo, libre, informado y específico del usuario.
¿Por qué el Meta Pixel crea problemas con el RGPD?
El Meta Pixel crea varios riesgos de cumplimiento distintos que deben abordarse de forma independiente.
Transferencias de datos a Estados Unidos
Meta Platforms Ireland Ltd. transfiere los datos recopilados por el Pixel a servidores estadounidenses, en particular a Meta Platforms Inc. en Estados Unidos. Desde la invalidación del Privacy Shield (sentencia Schrems II, julio de 2020), estas transferencias deben basarse en garantías adecuadas (cláusulas contractuales tipo más medidas adicionales). Varias autoridades europeas (CNIL, DSB austriaca) consideraron estas transferencias no conformes en determinadas configuraciones. La adopción del Marco de Privacidad de Datos en 2023 resolvió parcialmente esto para las empresas certificadas.
Finalidad publicitaria y segmentación entre sitios
Los datos recopilados por el Pixel alimentan los algoritmos de segmentación de Meta, incluida la segmentación de usuarios en otros sitios y plataformas. Esta finalidad de segmentación entre sitios requiere un consentimiento explícito. El interés legítimo no es suficiente.
Riesgo de carga antes del consentimiento
El Pixel suele incrustarse directamente en el HTML o a través de Google Tag Manager sin bloqueo condicional. En ese caso se carga al cargarse la página, antes de que el usuario haya visto siquiera el banner de cookies. Este es el incumplimiento más frecuente y más sancionado por las autoridades de protección de datos.
¿Cómo usar el Meta Pixel legalmente?
Se necesitan cuatro medidas para un uso conforme.
1. Bloquear el Pixel antes del consentimiento
El script del Meta Pixel solo debe cargarse después de que el usuario haya aceptado explícitamente las cookies publicitarias. Si se carga a través de Google Tag Manager, configurar un disparador condicional basado en el estado del consentimiento (consentimiento publicitario = true). Si el Pixel está codificado directamente en el HTML, cambiar el tipo del script a text/plain hasta el consentimiento, o usar una CMP que gestione este bloqueo automáticamente.
2. Informar claramente en el banner
El banner de cookies debe mencionar explícitamente el Meta Pixel (o 'publicidad y segmentación') en la lista de finalidades que requieren consentimiento. El usuario debe entender a qué está consintiendo.
3. Activar la Conversions API (CAPI) en el servidor
La Conversions API de Meta es una alternativa o complemento al Pixel del lado del cliente. Envía eventos de conversión directamente desde tu servidor a la API de Meta, sin pasar por el navegador del usuario. Ventaja: no queda bloqueada por bloqueadores de anuncios ni por rechazos de cookies. Sin embargo, los datos enviados deben provenir de usuarios que hayan consentido, o estar anonimizados. Nunca usar la CAPI para eludir los requisitos de consentimiento.
4. Activar señales de consentimiento para Meta
Meta dispone de su propio mecanismo de consentimiento avanzado (Advanced Matching con señales de consentimiento). Al indicar el estado de consentimiento del usuario a Meta, permites que el algoritmo modele las conversiones perdidas de los usuarios que rechazan, de forma similar a Google Consent Mode v2. Consultar la documentación de Meta Business para la configuración.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Errores frecuentes
Cargar el Pixel en el <head> sin bloqueo. Es la configuración de mayor riesgo. Todos los visitantes son rastreados antes de haber tenido la oportunidad de rechazar.
Usar la CAPI para eludir el consentimiento. La CAPI del lado del servidor no elimina el requisito de consentimiento si los datos permiten identificar a individuos. Solo debe usarse para usuarios que hayan consentido o con datos anonimizados.
Pasar por alto _fbc en la auditoría de cookies. La cookie _fbc puede estar ausente de un escaneo (solo se crea cuando la URL contiene fbclid). Las auditorías deben cubrir las páginas de destino de las campañas de Meta.
No mencionar Meta en la política de cookies. La política de cookies debe mencionar el Pixel, las cookies depositadas, su duración y la finalidad de segmentación publicitaria entre sitios.
Considerar a Meta como único responsable del tratamiento. El editor del sitio es corresponsable del tratamiento con Meta por los datos que el Pixel recopila en su sitio. Esta corresponsabilidad implica obligaciones específicas.
Lista de verificación Meta Pixel RGPD
- Verificar que el Pixel no se carga en navegación privada antes de ningún clic en el banner.
- Configurar el disparador de GTM o el bloqueo de la CMP para condicionar la carga al consentimiento publicitario.
- Listar el Meta Pixel y las cookies _fbp/_fbc en la política de cookies con duraciones y finalidades.
- Activar la Conversions API en el servidor para asegurar las conversiones de los usuarios que consintieron.
- Nunca usar la CAPI para usuarios que no consintieron con datos identificativos.
- Configurar las señales de consentimiento avanzadas en el Business Manager de Meta.
- Escanear el sitio en /es/scan para confirmar que _fbp y _fbc no aparecen antes del consentimiento.
- Documentar la corresponsabilidad del tratamiento con Meta en el registro del RGPD.
- Actualizar el aviso legal y la política de privacidad con las finalidades de segmentación publicitaria.
El Meta Pixel es una herramienta potente pero que expone legalmente si está mal configurada. El bloqueo antes del consentimiento no es negociable. La Conversions API del lado del servidor mejora la cobertura de conversiones sin eludir el RGPD. Escanea tu sitio en /es/scan para verificar si el Pixel se carga antes del consentimiento del usuario.
Preguntas frecuentes
¿Es legal el Meta Pixel según el RGPD?
El Meta Pixel puede usarse legalmente bajo el RGPD, pero solo con el consentimiento previo y válido del usuario. Sin consentimiento, la activación del Meta Pixel — que envía datos a los servidores de Meta — constituye un tratamiento de datos personales sin base legal, lo que está prohibido. Varias autoridades europeas de protección de datos, incluida la CNIL francesa, han sancionado sitios web por utilizar el pixel sin una gestión adecuada del consentimiento.
¿Qué datos recopila el Meta Pixel?
El Meta Pixel puede recopilar varios tipos de datos según su configuración: páginas vistas, eventos (producto visto, añadido al carrito, compra), la dirección IP del usuario, el user agent del navegador e identificadores de cookies vinculados a la cuenta de Facebook. En modo de coincidencia avanzada, también puede transmitir datos personales con hash como direcciones de correo electrónico o números de teléfono. Meta utiliza estos datos para la orientación publicitaria y la medición de conversiones.
¿Cómo obtener un consentimiento válido para el Meta Pixel?
Para obtener un consentimiento válido para el Meta Pixel, debe: mostrar un banner de consentimiento claro que mencione explícitamente las cookies publicitarias de Meta/Facebook antes de cualquier activación del pixel; ofrecer una opción de rechazo igualmente accesible; no activar el pixel hasta que se haya dado un consentimiento positivo; y almacenar una prueba del consentimiento con su fecha y alcance. Una CMP conforme gestiona automáticamente este bloqueo y registro.
¿Qué ocurre si un usuario rechaza el consentimiento para el Meta Pixel?
Si un usuario rechaza el consentimiento, el Meta Pixel no debe activarse en absoluto — ni siquiera en una versión degradada o limitada. Puede utilizar la API de Conversiones (del lado del servidor) como complemento para los usuarios que hayan dado su consentimiento, pero no se debe enviar ningún dato a Meta para los usuarios que lo hayan rechazado. Desde el punto de vista empresarial, esto afecta a su capacidad de segmentación y medición de campañas; por eso es importante optimizar el banner de consentimiento para mejorar su tasa de consentimiento.
¿Cuáles son las alternativas al Meta Pixel para un seguimiento conforme?
Varias alternativas reducen la dependencia del Meta Pixel del lado del navegador: la API de Conversiones de Meta (CAPI) permite la transmisión de eventos del lado del servidor, más fiable y sin interferencias de bloqueadores de anuncios. Puede usarse junto al pixel del navegador para los usuarios que hayan dado su consentimiento, o sola para una medición respetuosa con la privacidad. Otros enfoques incluyen la medición de eventos agregados, el modelado estadístico por parte de Meta y el uso de parámetros UTM para una atribución básica sin cookies.