La inquietante decisión de Meta: vigilará cada clic de sus empleados para entrenar a su IA

Meta comenzará a capturar en Estados Unidos los movimientos del ratón, pulsaciones de teclado y capturas ocasionales de pantalla de sus empleados para alimentar modelos de inteligencia artificial, según Reuters. Una medida histórica que es asumida de manera muy diferente a uno y otro lado del Atlántico.

La compañía presentó el programa bajo el nombre de Model Capability Initiative (MCI) y explicó que el objetivo es crear agentes de IA capaces de realizar tareas administrativas aprendiendo de ejemplos reales de uso, un tipo de dato que los conjuntos públicos tradicionales no recogen con el nivel de detalle necesario. Sin embargo, la medida ha desatado una ola de malestar dentro de la empresa porque este tipo de monitorización masiva choca frontalmente con las normativas de protección de datos.

Por qué Meta necesita estos datos

En los últimos meses, las grandes tecnológicas compiten ferozmente por desarrollar agentes de IA que trabajen de forma autónoma agendando reuniones, redactando correos, rellenando formularios... sin intervención humana. Para lograrlo, los modelos necesitan entender no solo qué hace el usuario, sino cómo interactúa con interfaces gráficas, dónde hace clic, cuándo usa atajos de teclado, en qué orden completa campos de un formulario. Esa información «microconductual» e invisible, se convierte en el combustible para entrenar agentes que repliquen comportamientos reales de oficina. Meta justifica el programa argumentando que, sin datos de uso real, sus modelos quedarían rezagados frente a competidores como OpenAI y Anthropic, que ya exploran vías similares de recolección interna.

Meta asegura haber establecido salvaguardas técnicas para filtrar información sensible

Según los informes internos a los que accedió Reuters, la herramienta captura clics, movimientos del cursor, atajos de teclado y toma capturas de pantalla dentro de aplicaciones y direcciones URL preaprobadas, como clientes de correo corporativo y herramientas de productividad internas. Meta asegura haber establecido salvaguardas técnicas para filtrar información sensible y garantiza que los datos no se usarán para evaluar el desempeño individual de los empleados. Sin embargo, las capturas de pantalla, aunque ocasionales, multiplican el riesgo de exposición accidental de contraseñas, información comercial confidencial o datos personales de terceros si las barreras de protección fallan en algún momento.

Malestar interno

La reacción de la plantilla en Estados Unidos fue mayoritariamente negativa. Varios empleados preguntaron en foros internos cómo podían excluirse del programa y mostraron su inquietud por la vigilancia constante; las respuestas de los directivos confirmaron que no habrá opción de no formar parte del proyecto. Desde fuera de la compañía, expertos en privacidad han advertido que esta práctica puede normalizar niveles de vigilancia laboral mucho más intensos y piden transparencia.

Aunque en Estados Unidos la monitorización de dispositivos corporativos es generalmente legal si se informa al empleado, en la Unión Europea la situación es radicalmente distinta. El Reglamento General de Protección de Datos (RGPD) y, en España, la Ley Orgánica de Protección de Datos exigen que cualquier tratamiento de datos personales cumpla los principios de proporcionalidad, minimización y finalidad específica.

La vigilancia continua de pulsaciones y capturas de pantalla puede considerarse una intromisión desproporcionada en la dignidad del trabajador si no existe una base legal sólida ni se demuestra que el fin no puede lograrse con medios menos invasivos. Las empresas en España deben además informar expresamente a los representantes de los trabajadores y a cada empleado antes de activar cualquier sistema de monitorización y garantizar que las grabaciones o registros se conserven solo el tiempo estrictamente necesario (hasta treinta días) y se empleen exclusivamente para los fines declarados.

Polémico entrenamiento

Meta ya ha protagonizado enfrentamientos con los reguladores europeos por el tratamiento de datos para entrenar IA. En abril de 2025 anunció que comenzaría a usar contenido público de usuarios en la UE para entrenar modelos, tras recibir el respaldo del Consejo Europeo de Protección de Datos y trabajar con la Comisión de Protección de Datos de Irlanda.

Meta ya ha protagonizado enfrentamientos con los reguladores europeos por el tratamiento de datos para entrenar IA

Sin embargo, ese acuerdo se refiere a publicaciones públicas de usuarios, no a datos laborales de empleados, y se ampara en el concepto de «interés legítimo» que el RGPD admite bajo estrictas condiciones de proporcionalidad y transparencia. Aplicar el mismo esquema de captura masiva a empleados europeos podría obligar a Meta a realizar evaluaciones de impacto de privacidad y demostrar que no existen alternativas menos invasivas, o enfrentarse a sanciones de hasta 20 millones de euros o el 4 % de la facturación global. La compañía ya ha sido objeto de investigaciones por parte de Bruselas en otros asuntos de IA y competencia, y se negó a firmar el Pacto de IA voluntario de la UE en 2025, argumentando un «entorno regulatorio impredecible».

Desde el punto de vista de ciberseguridad, agregar millones de pulsaciones de teclado y capturas de pantalla en repositorios centralizados multiplica el riesgo en caso de brecha. Si atacantes externos o internos malintencionados accedieran a esos datos, podrían obtener credenciales, secretos comerciales o información personal de clientes y proveedores que aparezcan circunstancialmente en las pantallas capturadas.

Meta afirma que dispone de salvaguardas técnicas, pero no ha publicado detalles públicos sobre cifrado de extremo a extremo, anonimización irreversible o auditorías independientes que permitan verificar la fortaleza de esos controles.