Telemetría de empleados y GDPR: evita multas al entrenar IA

​

Meta captura datos de empleados europeos sin consentimiento: qué hacer ahora para evitar multas

​

Meta entrenaba sus agentes de IA grabando todo lo que sus empleados en EE. UU. escribían, clicaban y veían en pantalla. El problema: no solo capturó datos de esas máquinas, sino también emails, chats y llamadas con colegas de la UE, sin pedirles permiso ni informarles. NOYB ya advierte que vulnera GDPR, y el caso abre un frente que afecta a cualquier empresa española con telemetría, DLP, grabación de sesiones o formación de modelos internos.

​

​

La captura de datos laborales, fuera de control

​

Meta desplegó el programa MCI (Model Capability Initiative) en abril en estaciones de trabajo estadounidenses: captura pulsaciones, clics, capturas de pantalla y contenido completo de ventanas para entrenar agentes de IA. El objetivo declarado era mejorar la productividad y desarrollar asistentes más contextuales. La compañía prometió que la herramienta solo operaba en máquinas de EE. UU. y que los empleados europeos quedaban fuera.

​

Pero los documentos internos (filtrados a Reuters y analizados por NOYB) demuestran que la arquitectura capturaba toda la interacción, independientemente de dónde estuviera el destinatario. Un email de un empleado de California a un comercial en Madrid o un chat de Slack con un ingeniero en Dublín quedaban registrados. La ubicación del interlocutor no bloqueaba la captura, solo la del dispositivo emisor. Resultado: datos personales europeos (nombres, direcciones IP, contenido de comunicaciones laborales) entraban en el pipeline de entrenamiento sin base legal en la UE.

​

​

El GDPR no perdona la finalidad indeterminada

​

El principio de limitación de la finalidad es la piedra angular del GDPR: los datos personales recogidos para un propósito concreto no pueden reutilizarse para otro incompatible sin nueva base legal. NOYB sostiene que un mensaje de trabajo enviado para coordinación operativa no puede acabar en un dataset de entrenamiento sin consentimiento explícito. Meta tampoco realizó evaluaciones de impacto (DPIA) para este flujo transfronterizo ni notificó a las autoridades de protección de datos, dos pasos obligatorios cuando se procesan datos personales europeos a escala con fines secundarios de alto riesgo.

​

Además, la transparencia falla: los empleados europeos afectados no recibieron información sobre qué se capturaba, cómo se usaba ni durante cuánto tiempo se retenía. La ausencia de mecanismos de opt-out claro o de supresión de datos personales ya presentes en los modelos agrava el incumplimiento.

​

​

Por qué tu empresa debe revisar hoy su telemetría y DLP

​

Si usas herramientas de Data Loss Prevention, grabación de sesiones, análisis de productividad o capturas de pantalla para auditoría o formación, este caso te concierne:

​

​

Separa monitorización de entrenamiento

​

Recoger logs para cumplimiento (prevenir fugas, detectar fraude) tiene base legal en el interés legítimo o en obligación contractual. Reutilizar esos logs para entrenar un modelo de IA no encaja en la misma finalidad. Documenta claramente por qué y cómo procesas cada dato, y si cambias de propósito, evalúa si necesitas una nueva base legal (normalmente consentimiento).

​

​

Realiza una evaluación de impacto (DPIA)

​

Cuando el procesamiento incluye monitoreo sistemático de empleados, uso de IA para decisiones automatizadas o tratamiento masivo de comunicaciones, el GDPR obliga a realizar una DPIA. Este documento identifica riesgos, medidas de mitigación y proporcionalidad. Si tu herramienta de telemetría puede capturar datos de interlocutores fuera de España (clientes, proveedores, colegas en otros países), la DPIA debe contemplar transferencias internacionales y minimización.

​

​

Informa y ofrece control real

​

Los empleados tienen derecho a saber qué datos se recogen, con qué finalidad, quién los verá y cuánto tiempo se guardan. Actualiza tu política de monitorización, notifica de forma clara (no en el párrafo 47 de un manual de 200 páginas) y habilita mecanismos para que cualquier persona afectada (empleado o externo) pueda solicitar acceso, rectificación o supresión de sus datos.

​

​

Qué hacer en 72 horas si capturaste datos sin base legal

​

1. Suspende la captura o el flujo de entrenamiento hasta auditar la conformidad.

​

2. Identifica qué datos personales europeos quedaron registrados (emails, IPs, nombres, conversaciones).

​

3. Documenta la base legal para cada finalidad: ¿consentimiento? ¿interés legítimo con balance de derechos? ¿obligación legal?

​

4. Consulta a tu DPO (si tienes) o a un asesor de privacidad para evaluar si procede notificación a la AEPD (en España) o a las autoridades de otros Estados miembros.

​

5. Redacta un plan de minimización y elimina los datos que no necesites o para los que no tengas base legal clara.

​

​

Cómo proteger tu roadmap de IA sin frenar la innovación

​

El caso Meta demuestra que desarrollar IA interna con datos laborales es factible, pero exige diseño cuidadoso desde el día uno. Trabaja con conjuntos de datos anonimizados o pseudonimizados cuando sea posible, segmenta pipelines de telemetría (uno para seguridad, otro para entrenamiento), implementa permisos granulares y auditorías periódicas.

​

Si tu modelo necesita datos reales para alcanzar la precisión deseada, obtén consentimiento informado y específico o realiza un test de proporcionalidad riguroso (¿es realmente necesario? ¿existen alternativas menos invasivas?). La inversión en gobernanza hoy te ahorra multas millonarias y crisis reputacionales mañana.

​

En Aimoova diseñamos agentes de IA y flujos de automatización con cumplimiento integrado desde el primer prototipo: minimización de datos, trazabilidad, auditoría y arquitecturas que separan finalidades. Si estás capturando datos laborales o conversacionales para entrenar modelos, audita tu configuración antes de que un empleado, un regulador o un socio comercial levante la bandera roja.