A comienzos de junio de 2026, la autoridad italiana de protección de datos frenó a una empresa que desarrolló un sistema para inferir el nivel de estrés psicológico de los trabajadores analizando automáticamente sus conversaciones en Slack y Microsoft Teams. El caso, reportado por Red Hot Cyber, plantea una pregunta que excede a Italia. ¿Hasta dónde puede llegar el reconocimiento de emociones con IA en el trabajo antes de convertirse en una intromisión ilícita sobre la persona?
La respuesta empieza a tener contornos definidos, y conviene que cualquier responsable de seguridad que evalúe herramientas de medición del factor humano los conozca antes de firmar un contrato.
¿Qué frenó exactamente la autoridad italiana de protección de datos?
El producto bajo análisis prometía algo que suena razonable a primera vista. Un motor de inteligencia artificial leía el contenido semántico de los chats internos y devolvía al empleador reportes agregados sobre el nivel de estrés del equipo, sin entregarle las conversaciones individuales.
La autoridad italiana de protección de datos no se detuvo en esa promesa de agregación. Observó que, para producir esos reportes, el sistema debía procesar el contenido emocional de comunicaciones privadas de cada persona, y que ese procesamiento abría un acceso indirecto a información de altísima sensibilidad. Sobre esa base, invocó la normativa de privacidad, el Estatuto de los Trabajadores y el reglamento europeo de inteligencia artificial, y exigió a la empresa medidas adecuadas desde el diseño del servicio para impedir cualquier acceso a información emocional.
Tres preocupaciones concretas sostuvieron la medida:
- La opacidad del modelo de análisis semántico, que impide al trabajador comprender cómo se interpreta lo que escribe.
- El riesgo de tomar decisiones discriminatorias apoyadas en esa interpretación.
- El límite que el Estatuto de los Trabajadores impone a los controles a distancia sobre la actividad del personal.
Vale precisar de qué hablamos. El reconocimiento de emociones es el uso de un sistema automatizado para deducir o identificar el estado afectivo de una persona (estrés, ansiedad, enojo, entusiasmo) a partir de sus datos, sin que esa persona lo haya declarado. No mide lo que alguien hace, sino lo que se infiere que siente al hablar o escribir de cierta manera.
¿Por qué inferir emociones en el trabajo es una categoría aparte?
Cuando una organización mide a su gente, conviene distinguir dos planos que suelen confundirse:
- Conducta observable. Si una persona reportó un correo sospechoso, completó una capacitación o hizo clic en una simulación. Son hechos verificables, vinculados a una tarea concreta.
- Estado interno inferido. Si esa persona está estresada, distraída o emocionalmente vulnerable. Es una conjetura sobre su psiquis, no un hecho de su trabajo.
El primer plano es el terreno legítimo de un programa de seguridad. El segundo entra en un territorio que el legislador europeo ya delimitó de forma expresa. El Artículo 5 del Reglamento de Inteligencia Artificial prohíbe el uso de sistemas de IA para inferir las emociones de una persona física en el ámbito laboral y educativo, con la única excepción de los fines médicos o de seguridad. Esa prohibición rige desde el 2 de febrero de 2025; no es una recomendación a futuro ni una buena práctica.
El formato de reporte agregado tampoco resuelve el problema de fondo. Como observó la propia autoridad italiana, para entregar una media del equipo el sistema primero infiere el estado emocional de cada integrante, y es ese tratamiento individual previo el que la norma alcanza. Lo que finalmente ve el empleador resulta secundario frente a lo que la máquina dedujo por el camino.
La lógica detrás de la norma es comprensible. En una relación laboral existe una asimetría de poder estructural, y un trabajador difícilmente pueda oponerse con libertad real a que su empleador le lea el ánimo. El propio considerando 44 del Reglamento de Inteligencia Artificial lo expone sin rodeos:
Entre las principales deficiencias de estos sistemas se encuentran su escasa fiabilidad, su falta de especificidad y su limitada generalizabilidad. […] los sistemas de IA que identifican o infieren emociones o intenciones de las personas físicas sobre la base de sus datos biométricos pueden dar lugar a resultados discriminatorios y pueden ser intrusivos para los derechos y libertades de las personas afectadas. Teniendo en cuenta el desequilibrio de poder en el contexto del trabajo o la educación, combinado con la naturaleza intrusiva de estos sistemas, tales sistemas podrían conducir a un trato perjudicial o desfavorable de determinadas personas físicas o grupos enteros de ellas.
Ese riesgo de decisiones discriminatorias, sumado a la opacidad de los modelos que infieren emociones, es lo que llevó a clasificar esta práctica entre las inaceptables, no entre las simplemente reguladas.
¿Qué dice el marco legal sobre el monitoreo de empleados con IA en América Latina?
Ningún país de la región tiene todavía un equivalente directo al reglamento europeo. Sería un error, sin embargo, concluir que en América Latina esta práctica queda fuera de control jurídico.
El estado psicológico de una persona constituye un dato sensible, y en varias legislaciones de la región se asimila a un dato relativo a la salud, sujeto a un régimen reforzado de protección. En Argentina, por ejemplo, la Ley 25.326 de Protección de los Datos Personales somete los datos sensibles a condiciones estrictas de tratamiento, toda vez que su uso indebido habilita la discriminación que la propia ley busca evitar.
El consentimiento, además, no opera como una llave que todo lo abre. En el marco de una relación de dependencia, su validez queda en entredicho precisamente por la asimetría señalada más arriba. A ello se añade que varios países de la región reconocen la protección de datos a nivel constitucional mediante la acción de habeas data, lo que otorga a estos principios una jerarquía difícil de sortear por la vía de un contrato.
A ello se suma un principio que atraviesa la región y que la jurisprudencia laboral reconoce hace tiempo. El monitoreo empresarial debe limitarse a lo vinculado con la tarea y respetar la dignidad del trabajador, e inferir emociones con IA tensiona ese principio en su núcleo.
La experiencia europea, en este sentido, funciona como una señal direccional. Marca hacia dónde tiende la conversación regulatoria global, y anticipa el estándar que la región terminará adoptando. Ya analizamos el costado puramente normativo de esta discusión en perfiles psicológicos en plataformas de concienciación.
¿Dónde queda la concienciación bien diseñada?
La noticia podría leerse como una mala señal para cualquier programa que mida el comportamiento humano, pero esa lectura confunde dos cosas distintas. Lo que el caso italiano cuestiona es el perfilado emocional de la persona, y el riesgo que un error de interpretación supone para sus derechos y garantías. Medir la conducta observable queda en otro plano.
Un programa de concienciación maduro se construye sobre el plano legítimo descrito antes. Mide conducta observable en escenarios controlados (una simulación de phishing, la finalización de un módulo, el reporte de un incidente) y trabaja con datos agregados y anonimizados que describen al colectivo, no la intimidad de un individuo. Cabe aclarar que esto no es solo una buena práctica de cumplimiento, sino la diferencia entre un programa defendible y uno que expone a la organización a un reclamo.
Esa frontera es la que sostiene la legitimidad del monitoreo. La desarrollamos en su momento al hablar de monitoreo, concienciación y expectativa de privacidad, y se conecta con una idea que recorre nuestro trabajo. El riesgo humano en ciberseguridad se reduce entendiendo cómo decide la persona frente a la pantalla, no auditando un estado de ánimo que, como en cualquier persona, cambia de un día para otro.
SMARTFENSE es una plataforma de concienciación en ciberseguridad orientada a América Latina y España, diseñada para medir y cambiar el comportamiento sin perfilar psicológicamente a los usuarios. Esa decisión de arquitectura, lejos de ser un detalle, es lo que permite a una organización ejecutar el programa con respaldo legal.
El límite que un programa de awareness no debería cruzar
El caso italiano deja una conclusión práctica para quien selecciona herramientas que miden el comportamiento del personal. La pregunta correcta ante un proveedor que ofrece medir el factor humano no es solamente qué tan preciso es su modelo, sino qué dato procesa para llegar al resultado.
Si la respuesta involucra inferir emociones, rasgos psicológicos o estados de ánimo de cada persona, el producto no resuelve un problema de seguridad. Agrega uno de cumplimiento, y en Europa ya cruzó una línea prohibida. La concienciación efectiva nunca necesitó leer la mente de nadie. Le alcanza con observar lo que las personas hacen y darles la oportunidad de hacerlo mejor.
Deja una respuesta