La Agencia Española de Protección de Datos (AEPD) tramita un caso relacionado con 23andMe, empresa estadounidense pionera en la secuenciación comercial del genoma. La Agencia no puede ofrecer más información sobre el proceso en curso, aunque aclara que no ha recibido quejas de los usuarios, indicando que la investigación es de motu proprio. La investigación coincide precisamente con algunos rumores según los cuales 23andMe, que atraviesa dificultades financieras, está escuchando ofertas de adquisición. Quien lo adquiera obtendrá los datos genéticos de sus 15 millones de clientes.
La investigación de la AEPD tiene un precedente: en 2021 hizo lo propio con la empresa israelí MyHeritage, una plataforma que ofrece análisis genéticos para construir árboles genealógicos. En aquel caso el procedimiento se abrió a partir de una denuncia de la Organización de Consumidores y Usuarios (OCU) por tratamiento inadecuado y cesión de datos genéticos de los usuarios a terceros. MyHeritage fue multada y obligada a cambiar su comportamiento.
23andMe, que lleva el nombre de los 23 pares de cromosomas que forman las células humanas, se hizo conocida mundialmente en 2007 cuando se convirtió en la primera empresa en vender kits de pruebas genéticas. En el informe que ofrecen a los clientes aportan información sobre la ascendencia del usuario o su predisposición a contraer determinadas enfermedades. Su método de toma de muestras de saliva para capturar ADN, hoy referente en el sector, fue considerado el invento del año 2008 por la revista Tiempo. Las pruebas, disponibles desde unos 55 euros, se envían a casa: hay que escupir en un tubo, devolverlo a un mensajero y al cabo de unas semanas te darán los resultados.
Pero el negocio no salió como se esperaba. Su salida a bolsa en 2021 fue desastrosa. Los ingresos no están cumpliendo las expectativas y los analistas creen que a este ritmo agotará sus reservas de efectivo el próximo año. Esta situación ha provocado una caída del 73% del valor de mercado de las acciones este año. La búsqueda de nuevos clientes ha llevado a 23andMe a entrar en el lucrativo negocio de los productos adelgazantes en busca de nuevos clientes: la empresa anunció en verano que intentará encontrar variantes genéticas que puedan ayudar a sus usuarios a perder peso. En septiembre, sin embargo, todo el consejo de administración dimitió en masa, a excepción de la cofundadora y directora Anne Wojcicki, ya que no llegaron ofertas de adquisición que pudieran salvar la empresa.
No eres sólo tú. Si alguien de tu FAMILIA ha donado su ADN a 23&me, por tu bien, cierra tu cuenta ahora. Esto no solucionará el problema, pero (afirman) eliminará algunos de sus datos.
Y evite las pruebas de ADN de los consumidores en el futuro.https://t.co/6A1GuqvXGr
—Meredith Whittaker (@mer__edith) 4 de octubre de 2024
El propio Wojcicki estaba abierto a una venta a un tercero en septiembre, informó Reuters. Y esto ha alarmado a los expertos en privacidad, porque la base de datos de 23andME (contiene los datos genéticos de 15 millones de personas) es extremadamente sensible. la prensa americana Supuso que sería un tentempié apetitoso, por ejemplo, para una aseguradora, que podría saber antes de conceder un préstamo si el cliente está o no predispuesto a contraer determinados tipos de cáncer.
¿Mis datos están en riesgo?
Esta no es la primera vez que 23andMe se encuentra en problemas. Hace apenas un año, la empresa estaba pirateadorevelando la información genética de millones de usuarios. La respuesta oficial fue recomendar a los usuarios que cambiaran sus contraseñas y aplicaran un método de autenticación dual para acceder a sus cuentas.
El hecho de que 23andMe esté considerando (o haya considerado) ser adquirida por una empresa ha llevado las preocupaciones de algunos usuarios a otro nivel. “Puedes solicitar la supresión de tus datos; Otra cuestión es si la empresa, en la situación caótica en la que se encuentra, tiene los medios o el interés para hacerlo», afirma Jorge García Herrero, abogado especializado en protección de datos. Cuando un cliente pulsa el botón de borrar, su La cuenta desaparece, pero en los términos y condiciones hay una cláusula que dice que, por «razones legales», tanto 23andMe como los laboratorios que trabajaron con las muestras retendrán información sobre el sexo del usuario, fecha de nacimiento e información genética. especificado por cuánto tiempo.
Las regulaciones europeas protegen a los clientes europeos de 23andMe. “El Reglamento General de Protección de Datos (RGPD) no sólo afecta a las empresas que trabajan en la UE, sino también a cualquiera que procese datos de ciudadanos europeos”, explica Borja Adsuara, consultor y experto jurídico en privacidad. Lo complicado es garantizar que se respete la norma. “Me parece que faltan controles para comprobar que todo se hace correctamente”, añade. “Si hubiera utilizado los servicios de 23andMe y estuviera preocupado por mis datos, esperaría que la AEPD actuara por iniciativa propia para recordar a la empresa que debe cumplir con la normativa europea”, afirma el experto. Esto es lo que parece estar sucediendo.
Los datos genéticos entran en una categoría especial de datos personales, incluida en el artículo 9 del RGPD. Su tratamiento está prohibido, salvo algunas excepciones, siempre previo consentimiento expreso. De hecho, no hay dato biométrico más inmutable que el ADN: es una especie de matrícula personal e intransferible de cada ser humano que permite un reconocimiento inequívoco. Una persona puede borrar las huellas dactilares, alterar su rostro para intentar anular los métodos de reconocimiento facial o incluso sacarse los ojos para evitar que se lea el iris. El genoma, sin embargo, nos acompaña desde el primero hasta el último día.
La información más personal.
Otra peculiaridad del genoma es que no concierne a una sola persona, sino a toda su familia. Ha habido casos en Estados Unidos en los que la justicia identificó a los asesinos no porque tuvieran su ADN, sino el de un familiar. La filósofa Carissa Véliz, profesora del Instituto de Ética de la Inteligencia Artificial de la Universidad de Oxford, sostiene que ni siquiera el consentimiento del usuario debería ser suficiente para poder gestionar datos como el ADN, ya que los interesados en el análisis son todos sus parientes.
Asimismo, existe una regulación específica que influye en el análisis genético. “El Convenio de Oviedo establece que estos estudios pueden realizarse con fines concretos, como investigación médica o predicción de enfermedades, y que siempre requieren asesoramiento médico”, afirma Mikel Recuero, investigador de la Universidad del País Vasco y abogado especializado en la materia. procesamiento de datos de salud. “Estas empresas operan en cierto vacío legal: pides el test online, recibes un kit, tomas la muestra, la envían a un laboratorio y te envían los resultados. El análisis no se realiza en un contexto médico y no existe asesoramiento profesional.»
El caso es que 23andMe ya ha hecho negocio con los datos de sus usuarios. En 2018 llegó a un acuerdo con la británica GlaxoSmithKline, una de las mayores empresas farmacéuticas del mundo, por más de 300 millones de dólares para el «desarrollo de nuevos medicamentos». Sólo se utilizaron los datos de los usuarios que dieron su consentimiento.
23andMe puede vender su información a una aseguradora de salud o corredor de datos (empresas que recopilan, analizan y venden datos personales), como se ha planteado la hipótesis? En Estados Unidos sería técnicamente posible y legal. En la UE, muy complicado. “Uno de los principios básicos del RGPD es la limitación de finalidad, lo que significa que si recopilas datos para un fin específico (por ejemplo, ADN para detectar una enfermedad), no puedes utilizarlos para otro fin, y si lo haces expones al sujeto a fuertes sanciones o incluso a la desactivación del servicio”, subraya Recuero.