Meta podría usar datos de usuarios para entrenar IA: lo que dice la sentencia alemana

Finalmente son públicos los motivos de la sentencia dictada por el Tribunal Superior de Colonia , que el 23 de mayo de 2025 reconoció el derecho de Meta a utilizar contenidos públicos puestos a disposición por sus clientes para entrenar modelos de IA, aceptando el argumento de las Big Tech de que "no existe ninguna alternativa razonable que Meta pueda perseguir para lograr sus intereses de forma tan efectiva con otros medios menos invasivos".

El origen de la polémica

La sentencia se produce a raíz de una demanda presentada por una asociación de consumidores alemana que denunciaba la violación del derecho a la protección de datos personales de los clientes causada por la elección de Meta.

En concreto, la asociación acusó a Meta de no demostrar que utilizar los datos de sus clientes para entrenar una IA fuera necesario y apropiado según el Reglamento General de Protección de Datos (RGPD) y que la actividad estaba prohibida porque también consistía en el tratamiento de datos personales "especiales" —por ejemplo, datos de salud— sin poder invocar ninguna de las excepciones previstas por el RGPD.

Meta se defendió alegando que tenía un “interés legítimo” en utilizar contenido público que circula en sus plataformas que sea compatible con el RGPD y que había adoptado una serie de medidas que reducían los riesgos para los derechos de las personas a un nivel aceptable.

En particular, la sentencia afirma que Meta declaró que había limitado el uso de los datos a los hechos públicos por los clientes, que había previsto la posibilidad de cambiar el estado de los contenidos de público a privado, excluyéndolos así de su uso, que había informado a los clientes y les había dado una posibilidad efectiva de oponerse al tratamiento, que había desidentificado la información relativa a personas individuales, que las había "tokenizado" (es decir, las había reducido a valores matemáticos necesarios para permitir que el modelo realice las operaciones de cálculo) y, por tanto, que las había disociado de la identidad personal de las personas, y que había adoptado medidas de seguridad durante todo el ciclo de desarrollo del modelo.

Al fallar a favor de Meta, el tribunal alemán ha puesto en blanco una serie de principios que rebajan drásticamente la interpretación generalizada —incluso en Italia— de la legislación sobre protección de datos personales, afirmando una serie de principios que son válidos también fuera de cuestiones relacionadas con la IA.

El RGPD también protege los intereses económicos y no sólo los derechos del individuo.

“Además de los intereses jurídicos e ideológicos, también se consideran intereses legítimos los intereses económicos”, escribe el Tribunal, recordando una sentencia del Tribunal de Justicia de la Unión Europea , que había reconocido la relevancia del interés comercial de una federación deportiva en comunicar los datos de sus atletas.

Además, la sentencia continúa: «La anonimización de dichos conjuntos de datos no es viable, ya que a menudo resulta difícil obtener el consentimiento de los interesados ​​con un esfuerzo razonable. Esta interpretación también refleja la dualidad de los objetivos de protección del RGPD, que no solo sirven para proteger los datos personales, sino también para garantizar la libre circulación de dichos datos y, por lo tanto, su usabilidad».

Así pues, aunque en realidad sea el reglamento de protección de datos personales el que lo establece y no habría sido necesario mencionarlo, la sentencia especifica que los intereses de las empresas tienen la misma dignidad que los derechos de las personas. Dicho de otro modo: no existe una prevalencia de principio que impida el uso de datos personales en el contexto de la actividad económica. Lo importante, reitera el Tribunal, es que este uso sea realmente necesario e indispensable para obtener un resultado lícito, aunque no esté expresamente previsto por la ley .

Para comprender el alcance de este principio, basta con pensar en las cuestiones relacionadas con el almacenamiento de datos de tráfico de internet y metadatos de correo electrónico, las relacionadas con el uso de analíticas o las derivadas del modelo de "pago o bien" (o, mejor dicho, "pago en dinero o pago en datos") . A la luz de esta sentencia, no es cierto que estas actividades sean ilegales en sí mismas, sino que debe verificarse caso por caso la relación entre el "sacrificio" impuesto concretamente al cliente y los objetivos del proveedor. Si en la práctica los riesgos para los derechos y libertades fundamentales de la persona son suficientemente limitados, no se puede impedir que una empresa procese los datos personales relacionados.

Los riesgos a considerar son únicamente aquellos directamente relacionados con el funcionamiento del modelo.

Otro principio fundamental para el desarrollo de la IA en la Unión Europea es que, al evaluar las consecuencias del tratamiento de datos personales, solo se deben considerar aquellas relacionadas con el entrenamiento de la propia IA.

Los jueces escriben sobre este punto: «Otras posibles infracciones de la ley que podrían derivarse del funcionamiento posterior de la IA (como desinformación, manipulación y otras prácticas nocivas) no son actualmente suficientemente previsibles y pueden perseguirse por separado. En cualquier caso, la posibilidad de que tales riesgos se materialicen hasta el punto de imposibilitar el uso legítimo de la IA y, en última instancia, cuestionar la idoneidad del tratamiento de datos es remota».

Con gran lucidez, los jueces afirman el principio según el cual, para evaluar si los datos personales pueden utilizarse para entrenar una IA, solo deben considerarse las consecuencias directas derivadas del uso de los datos en cuestión, y no el hecho de que alguien pueda utilizar el modelo en el futuro para cometer actos ilícitos. En este caso, señala el tribunal, se aplican otras normas existentes, ya que, se deduce, el modelo de IA es la herramienta con la que se violan las leyes y no el autor de la infracción.

La anonimización total no es necesaria

Otro punto de discordia entre las partes fue la desidentificación mediante la eliminación de datos relativos a las personas, pero sobre la permanencia de las fotos.

Meta consideró suficiente eliminar datos como nombres completos, direcciones de correo electrónico, números de teléfono, números de identificación nacional, identificadores de usuario, números de tarjetas de crédito/débito, números de cuentas bancarias/códigos bancarios, matrículas, direcciones IP y direcciones postales, y transformarlos a un formato desestructurado y tokenizado. Sobre este punto, afirma: «Si bien esto no excluye que, a pesar de la desidentificación, la identificación pueda seguir ocurriendo en casos individuales, el tribunal considera que estas medidas reducirán el riesgo en general».

Entrenar una IA no es un tratamiento dirigido a un individuo específico

También en este caso, conviene citar textualmente la sentencia: «el desarrollo de grandes modelos lingüísticos basados ​​en conjuntos de datos muy grandes no suele afectar al tratamiento selectivo de datos personales ni a la identificación de una persona específica» y, de nuevo, «los requisitos previos que permiten el tratamiento no selectivo se satisfacen suficientemente con la finalidad del entrenamiento de la IA, que pretende crear modelos generales para calcular probabilidades y no perfilar a personas individuales», así como con las numerosas medidas de protección adoptadas por los demandados.

Este es un pasaje central de la sentencia, ya que reitera otro aspecto prácticamente nunca considerado en la aplicación (italiana) del RGPD: el reglamento se aplica a los tratamientos que identifican o hacen identificables a una persona específica , no a categorías o grupos. Por lo tanto, dado que la tokenización del contenido de las publicaciones difundidas en las redes sociales de Meta se logró mediante la desidentificación suficiente de las personas, el tratamiento de los datos así obtenidos no vulnera la ley.

También en este caso, las consecuencias prácticas del principio jurídico van más allá del ámbito de la IA, ya que, por ejemplo, refutan la tesis según la cual todas las actividades de elaboración de perfiles realizadas, por ejemplo, mediante rastreadores, números de IP u otras herramientas que identifican dispositivos o software y no, sino, quién los utiliza, violan sistemáticamente la ley.

Un mensaje a la Comisión Europea y a las autoridades nacionales de protección de datos

Como se ha repetido varias veces, este proceso adquiere un valor más general que transciende la cuestión Meta porque concierne a la relación entre los presupuestos ideológicos de la estandarización y las consecuencias industriales del desarrollo tecnológico.

Es bastante evidente que a lo largo de casi diez años, el RGPD se ha interpretado unilateralmente en detrimento de los intereses legítimos de quienes innovan, en nombre de una fetichización de la “privacidad” (un término también ausente en el reglamento europeo).

Por ello, las autoridades nacionales de protección han adoptado disposiciones y medidas de soft law que no han tenido en debida consideración lo que el reglamento ya había previsto desde su promulgación: mientras uno se mueve dentro del perímetro de la ley, no hay prohibiciones absolutas sobre el tratamiento de datos personales sino una ponderación de intereses, y la ponderación de intereses debe verificarse caso por caso.

El RGPD no es ciertamente perfecto y requeriría una revisión profunda desde cero, pero esta sentencia demuestra que puede interpretarse razonablemente, teniendo en cuenta también las reglas que protegen la investigación y las empresas.

Para ser claros, no se trata de pedir “mano libre” para las Big Tech o, en general, para las empresas y, por tanto, sacrificar a la persona en el altar del beneficio, pero tampoco se puede hacer lo contrario, en nombre de una ambigüedad nunca aclarada sobre el papel que las tecnologías de la información pueden y deben tener en la transformación de nuestra sociedad.

Este es el punto que la Comisión Europea debería tener en cuenta a la hora de adoptar los actos operativos del reglamento IA y de identificar los cambios al RGPD que finalmente se están discutiendo.