Microsoft Teams activará la ubicación automática por Wi-Fi: cómo funcionará y qué riesgos abre para la privacidad (también en teletrabajo)

A partir de diciembre de 2025, Microsoft Teams podrá actualizar tu “lugar de trabajo” de forma automática cuando tu equipo esté conectado al Wi-Fi corporativo. La función llega desactivada por defecto, requiere que el administrador del tenant la habilite y que cada persona haga opt-in. Sobre el papel, facilita la coordinación presencial en oficinas híbridas; en la práctica, abre un nuevo capítulo en la vigilancia laboral y en el gobierno de datos de ubicación.

Cómo funcionará (y qué no hace, por ahora)

• Detección por red: cuando el dispositivo se conecta a una red Wi-Fi mapeada por la empresa, Teams asocia esa red a un edificio o zona y lo refleja en el estado del usuario.
• Ámbito: Windows y macOS, entornos multi-tenant estándar.
• Controles: off by default, opt-in del empleado, activación y políticas a cargo del admin.
• Limpieza diaria: Microsoft documenta que la ubicación se borra al finalizar la jornada y no se actualiza fuera de las horas de trabajo.

Clave: no es una geolocalización GPS ni un “beacon” de pasillo. Es presencia por conexión a redes corporativas que la propia organización ha etiquetado.

¿Productividad o vigilancia? Nuevos escenarios de control

Aunque automatizar la ubicación evita el tedio de cambiar el estado a diario, también facilita usos de control:

• Asistencia/retorno a la oficina: cruzar “en la oficina” con calendarios y reuniones para deducir cumplimiento de políticas de presencialidad.
• Microgestión: reconstruir patrones de movimiento entre edificios o tiempos de estancia si se conservan logs detallados.
• Perfilado: combinar datos de red (conexiones, BSSID, horarios) con recursos humanos (turnos, bajas, desempeño) y con otros sistemas (accesos físicos, reservas de sala).
• Efecto contagio: una vez aceptado el principio de “estado = dónde estás”, pueden llegar peticiones internas para más granularidad (plantas, salas) o más persistencia temporal.

Superficie de riesgo de seguridad y privacidad (para empleados y empresas)

• Principio de minimización: el dato útil para coordinar es el edificio/área, no el detalle de planta/sala ni un histórico amplio. Más granularidad = más exposición.
• Retención: guardar historiales largos aumenta el riesgo (filtraciones, solicitudes internas “ad-hoc”, uso secundario).
• Acceso interno: sin perfiles y auditoría, la ubicación puede acabarse consultando fuera del propósito original (disciplinario, desempeño, litigios).
• Consentimiento en el empleo: en Europa, el consentimiento del trabajador rara vez se considera “libre” por el desequilibrio de poder; las empresas deberán apoyarse en otra base legal (p. ej., interés legítimo) y demostrar necesidad y proporcionalidad.
• DPIA obligatoria: el monitoreo de personas trabajadoras —y más aún en casa— suele exigir evaluación de impacto con medidas para evitar intrusión (desactivar fuera de jornada, no capturar entornos privados, granularidad limitada).
• Falsos positivos/negativos: mapeos Wi-Fi incorrectos, redes replicadas o uso de periféricos corporativos fuera de la oficina pueden contaminar el dato de ubicación si no se acota técnicamente.

¿Y si esto se extiende al teletrabajo?

La novedad anunciada se apoya en Wi-Fi corporativo; no “sigue” a nadie en casa. Pero la tendencia de integrar señales contextuales (red, IP, periféricos, VPN, gestión del dispositivo) puede tentar a algunas organizaciones a llevar el control al remoto:

• Por red/VPN: inferir si se trabaja desde el domicilio o desde otra ubicación cuando se usa VPN corporativa.
• Por dispositivo gestionado: correlacionar telemetría del endpoint (conectividad, SSID) con estado laboral.
• Por periféricos: la propia hoja de ruta menciona detección por periféricos corporativos, lo que —sin salvaguardas— podría activar ubicación fuera de la oficina por error.

Si una empresa intenta extender la lógica al teletrabajo, el listón legal sube: riesgo de intrusión en el ámbito privado, consentimiento inválido, DPIA reforzada y obligación de ofrecer alternativas (p. ej., marcar manualmente “remoto”) sin penalización.

Checklist para empresas (cumplimiento y confianza)

1. Finalidad y norma interna: documentar para qué se usa (coordinar, reservar espacios) y prohibir usos laborales sancionadores.
2. Base legal y DPIA: evitar “consentimiento” como pilar; usar interés legítimo bien ponderado y DPIA con mitigaciones (granularidad, horas de trabajo, retención).
3. Minimización: edificio/área basta; nada de plantas/salas ni “tracking” en tiempo real.
4. Retención corta: borrar automáticamente al cierre del día o tras un periodo mínimo.
5. Accesos y auditoría: roles estrictos (facilities/office managers), logs de consulta y revisiones periódicas.
6. Transparencia: nota específica de privacidad (qué se recoge, quién lo ve, por cuánto tiempo, cómo ejercer derechos).
7. Opt-out viable: permitir no participar o usar marcado manual sin consecuencias.
8. Gobernanza técnica: asegurar que solo redes corporativas mapeadas disparan la función; desactivar desencadenantes por periféricos fuera de la oficina.

Derechos y autoprotección del empleado

• Información: pedir la política y los plazos de conservación del dato.
• Control: comprobar si la participación es voluntaria y cómo retirar el consentimiento.
• Exactitud: si el mapeo te ubica mal, ejercer rectificación o oposición.
• Proporcionalidad: en la UE/UK, cuestionar usos disciplinarios o perfiles históricos si exceden la finalidad declarada.
• Higiene digital: separar dispositivo personal y corporativo; limitar la conexión a redes que la empresa pueda mapear si no deseas compartir ubicación.

Preguntas clave para TI y RR. HH.

• ¿Qué dato mínimo necesito para coordinar (edificio) y con qué retención?
• ¿Quién ve la ubicación y para qué? ¿Lo hemos pactado con representación laboral?
• ¿Cómo evito que la función se active fuera de jornada o en remoto?
• ¿Qué métricas demuestran que el sistema mejora la coordinación (y no solo añade vigilancia)?

vía: Open Security