Meta, il tool che traccia mouse e app dei dipendenti rischia lo scontro con il GDPR

1 Giugnoe 2026 - 13:37

Meta sta raccogliendo dati molto dettagliati sul modo in cui i suoi dipendenti statunitensi usano il computer, con l'obiettivo di addestrare agenti AI capaci di svolgere attività software in autonomia. Lo strumento utilizzato si chiama Model Capability Initiative, o MCI, e secondo documenti interni visionati da Reuters avrebbe una portata più ampia di quanto comunicato inizialmente: il sistema, infatti, potrebbe includere anche dati e comunicazioni di dipendenti non statunitensi, compresi quelli europei, quando interagiscono via email o chat con colleghi USA sui cui dispositivi il tool è attivo.

Meta ha descritto MCI come un sistema capace di registrare movimenti del mouse, clic e navigazione nei menu a tendina, informazioni utili a ricostruire le operazioni svolte dentro software e servizi web. L'elenco condiviso con il personale e citato da Reuters comprende oltre 200 applicazioni e siti. Nelle settimane successive al lancio, alcuni dipendenti avrebbero segnalato consumi decisamente anomali della connessione domestica, in certi casi tali da esaurire in pochi giorni il traffico disponibile per un intero mese.

DATI E GDPR

La questione europea nasce da una FAQ interna riportata da Reuters. Alla domanda se le conversazioni di un dipendente fuori dagli Stati Uniti possano essere acquisite quando comunica con un collega statunitense, Meta avrebbe risposto che, se il collega USA ha il tool attivo mentre usa chat o email, "quell'attività verrebbe acquisita". L'azienda avrebbe inoltre spiegato che i dati raccolti da MCI vengono dissociati dalle informazioni identificative dei dipendenti e quindi non possono essere cercati o cancellati su base individuale.

Secondo Kleanthi Sardeli, esperta legale di NOYB, anche una raccolta limitata o indiretta di dati dei dipendenti europei potrebbe esporre Meta a contestazioni sul GDPR. Il problema, secondo l'associazione, riguarda soprattutto la finalità del trattamento: chat ed email aziendali nascono per comunicazioni di lavoro, non per essere acquisite e usate nell'addestramento di un modello AI. Proprio su questo terreno, la distinzione tra raccolta "incidentale" e monitoraggio vero e proprio potrebbe diventare decisiva per i regolatori europei.

Il portavoce di Meta, Dave Arnold, ha dichiarato a Reuters che MCI è installato solo sui dispositivi dei dipendenti statunitensi e che lo strumento guarda alle modalità di interazione con il computer, non ai contenuti mostrati sullo schermo. L'azienda sostiene inoltre di aver informato i dipendenti non statunitensi perché potrebbero comunicare normalmente con colleghi USA sui cui dispositivi MCI è attivo. Meta afferma infine di aver valutato e mitigato i potenziali rischi privacy durante lo sviluppo e la distribuzione dello strumento e di voler rispettare le normative applicabili.

LE REAZIONI INTERNE

Il progetto MCI rientra nel piano più ampio con cui Mark Zuckerberg vuole affidare agli agenti AI una parte crescente delle attività interne di Meta. Questa prospettiva avrebbe alimentato il malcontento tra alcuni dipendenti, che nei post interni citati da Reuters avrebbero descritto l'azienda come una "fabbrica di estrazione dei dati dei dipendenti".

Una dipendente avrebbe anche condiviso un'analisi dei file di log di MCI, poi sparita, realizzata con l'aiuto di Claude di Anthropic. Da quell'analisi, replicata anche da altri, sarebbe emerso che lo strumento era stato agganciato al software di sicurezza aziendale e avrebbe potuto accedere a ulteriori informazioni, tra cui modifiche al codice, cicli di sospensione e riattivazione dei computer, URL visitati e contenuti copiati negli appunti, archiviati in forma non cifrata. Meta ha definito "fondamentalmente inaccurate" le conclusioni del post, senza rispondere nel dettaglio alle domande di Reuters su quei punti.

Johnny Ryan, direttore dell'unità Enforce dell'Irish Council for Civil Liberties, ha detto all'agenzia stampa che la situazione dovrebbe essere esaminata dalla Data Protection Commission irlandese, l'autorità di riferimento per Meta nell'Unione Europea. La stessa DPC ha riferito che Meta le avrebbe comunicato che né i dati dei dipendenti europei né la registrazione dei contenuti dello schermo rientrano nello scopo principale dello strumento.