LinkedIn, propiedad de Microsoft, ha comunicado una actualización de privacidad y términos de uso que entrará en vigor el 3 de noviembre de 2025. La novedad: la plataforma compartirá más datos de usuarios y actividad con Microsoft y sus filiales para entrenar modelos de IA y optimizar publicidad, con un esquema opt-out (activado por defecto salvo que cada persona lo desactive manualmente). Para un público de ciberseguridad y cumplimiento, el anuncio no es un simple cambio de preferencias; es un movimiento con impacto directo en gobernanza de datos, gestión de riesgos, GDPR y exposición reputacional.
Este análisis resume qué cambia por región, dónde están las superficies de riesgo, y qué deberían hacer CISOs, DPOs y equipos de GRC en las próximas semanas.
Qué cambia y dónde: dos regímenes de tratamiento
- EEE (incluida España), Reino Unido, Suiza y Canadá: LinkedIn podrá usar información de perfiles y publicaciones públicas para entrenamiento de modelos de IA orientados a funciones de producto (búsqueda y emparejamiento de talento, redacción asistida, sugerencias de habilidades).
- EE. UU., Hong Kong y la mayoría de regiones: el foco se desplaza a compartir señales con Microsoft y subsidiarias para publicidad personalizada (actividad en el feed, interacciones con anuncios y datos de perfil).
En ambos marcos, el estado por defecto es incluido: si la persona no actúa, sus datos participarán en esos tratamientos.
Por qué esto es un asunto de seguridad (más allá de la privacidad)
- Ampliación de superficie de exposición
Más copias lógicas y más puntos de acceso a datos profesionales elevan el riesgo de reidentificación, perfilado avanzado y abuso de contexto (p. ej., spear phishing hiperpersonalizado contra directivos o candidatos clave). - Persistencia y difícil reversión
El entrenamiento de modelos introduce retenciones más largas y aprendizaje difícil de revertir. Incluso aunque se elimine la fuente, el “rastro aprendido” puede persistir en el modelo. - Compliance y base legal
En el EEE y jurisdicciones equivalentes, el uso de datos para entrenamiento requiere base legítima (consentimiento válido u otra) y información clara. El opt-out desplaza la carga al usuario y tensiona el estándar de consentimiento informado que los equipos de cumplimiento suelen exigir a sus proveedores. - Riesgo reputacional y contractual
Organizaciones con políticas de uso responsable de IA y compromisos con clientes pueden ver comprometida su narrativa si los perfiles de su personal alimentan sistemas de terceros por inacción.
Qué datos están en juego
- Perfil (titular, titularidad del puesto, empresa, ubicación aproximada, habilidades).
- Contenido público (publicaciones, comentarios, artículos).
- Señales de interacción (reacciones, clics en anuncios, tipo de contenido consumido).
La combinación de estos elementos potencia modelos de inferencia sobre relaciones, intenciones y exposición de personas clave (C-level, RR. HH., ventas, I+D).
Mapa de riesgos para la organización
- Ingeniería social avanzada: con señales más ricas, aumentan la verosimilitud y el éxito de campañas BEC y phishing dirigidas a perfiles ejecutivos o reclutadores.
- Fugas indirectas: publicaciones o comentarios que parecían inocuos pueden alimentar modelos que infieren proyectos internos, tecnologías o proveedores.
- Desalineación legal: si la empresa ha adoptado principios de minimización y consentimiento activo, el opt-out por defecto de LinkedIn choca con el tono y compromisos de privacidad que comunica a empleados y clientes.
- Transferencias intra-grupo: el compartir con filiales amplía el perímetro. Aunque se enmarque en un mismo grupo empresarial, el riesgo operativo (acceso, trazabilidad, controles) crece.
Medidas recomendadas (CISO/DPO/GRC)
- Política interna de LinkedIn
Emitir una directiva clara que recomiende a plantilla y perfiles de riesgo desactivar la participación en entrenamiento y el compartir con afiliados. Proveer capturas y un manual de 1 página con el proceso. - Guía paso a paso para el personal
- Perfil → Configuración y privacidad.
- Datos de publicidad → Compartir datos con terceros o afiliados → Desactivar.
- Privacidad de los datos / uso para funciones de IA (el nombre puede variar por región) → Desactivar el uso para entrenamiento o mejora de modelos.
- Guardar y revisar periódicamente.
- Formación y concienciación
Incluir en el programa de seguridad un módulo específico sobre exposición en plataformas públicas, higiene de publicaciones y gestión de señales (qué publicar, cuándo y con qué granularidad). - Evaluación de impacto (DPIA)
Para áreas críticas (RR. HH., liderazgo, I+D), valorar si el uso de LinkedIn a nivel corporativo requiere una DPIA o, al menos, un registro de tratamiento específico. Documentar riesgos residuales y medidas. - Cláusulas y compras
Si LinkedIn forma parte de herramientas de reclutamiento o social selling contratadas, revisar contratos, SLAs y anexos de protección de datos. Registrar decisiones (aceptar/mitigar/evitar). - Respuesta a derechos
Preparar plantillas para objeción, limitación y acceso (Art. 21/18/15 RGPD) si empleados piden intervención del DPO. Alinear expectativas: el entrenamiento ya realizado puede no ser reversible.
Qué comunicar a la dirección
- Riesgo no técnico con impacto real: no se trata de otro toggle de cookies; afecta a exposición de talento clave, riesgo BEC y narrativa ESG de la compañía.
- Coste-beneficio: desactivar a nivel de plantilla no rompe el uso de LinkedIn; reduce personalización y “magia” de IA, pero mitiga exposición.
- Plazos: la entrada en vigor es el 3/11/2025; conviene actuar antes para evitar que el por defecto marque a toda la organización.
Buenas prácticas operativas
- Separar identidades: evitar mezcla de cuentas personales con usos corporativos sensibles.
- Revisión de perfiles: limitar detalles innecesarios (tecnologías exactas, versiones, accesos privilegiados).
- Política de publicaciones: pautas claras para comentarios y artículos que puedan filtrar estrategia o proveedores.
- Supervisión de fraude: actualizar playbooks de SOC y detecciones de BEC con nuevos indicadores basados en hiperpersonalización.
Preguntas frecuentes
¿Puedo impedir que mis datos entrenen modelos sin perder acceso a la plataforma?
Sí. Desactivar en Configuración y privacidad las opciones de compartir con afiliados y uso de datos para IA deja operativa la cuenta, aunque reduce personalización y ciertas funciones de asistencia.
¿Qué diferencia real hay entre opt-in y opt-out en este caso?
Con opt-in, el tratamiento no se activa hasta que el usuario acepta. Con opt-out, el tratamiento se activa y el usuario debe salirse. En la práctica, el opt-out maximiza cobertura por inacción.
¿Qué riesgos técnicos añade el entrenamiento de IA con datos públicos?
Aumenta la posibilidad de perfilado, reidentificación, spear phishing más creíble y persistencia de señales una vez aprendidas por el modelo, difícilmente reversibles.
¿Debe la empresa prohibir LinkedIn?
No es necesario en la mayoría de escenarios. La medida eficaz es definir política, desactivar por defecto en perfiles de riesgo, formar a la plantilla y vigilar la exposición. Prohibir suele empeorar la seguridad si empuja a usos no gestionados.
Nota: La información resumida procede del aviso de LinkedIn sobre cambios de privacidad con fecha de entrada en vigor 3 de noviembre de 2025 y de buenas prácticas estándar en ciberseguridad y cumplimiento. Se recomienda revisar periódicamente la configuración personal y cualquier actualización adicional de la plataforma.
