La Agencia de Protecci¨®n de Datos investiga a la empresa de an¨¢lisis gen¨¦tico 23andMe

La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) est¨¢ tramitando un expediente en relaci¨®n con 23andMe, una empresa estadounidense pionera en la secuenciaci¨®n comercial del genoma. La Agencia no puede aportar m¨¢s informaci¨®n sobre el proceso que tiene en marcha, si bien matiza que no ha recibido denuncias por parte de usuarios, lo que indica que la investigaci¨®n es a motu propio. La investigaci¨®n coincide en el tiempo con los rumores seg¨²n los cuales 23andMe, que atraviesa complicaciones financieras, estar¨ªa escuchando ofertas de compra. Quien la adquiera se har¨¢ con los datos gen¨¦ticos de sus 15 millones de clientes.

La investigaci¨®n de la AEPD tiene un precedente: en 2021 hizo lo propio con la firma israel¨ª MyHeritage, una plataforma que ofrece an¨¢lisis gen¨¦ticos para construir ¨¢rboles geneal¨®gicos. En ese caso, el procedimiento se abri¨® a partir de una reclamaci¨®n de la Organizaci¨®n de Consumidores y Usuarios (OCU) por tratamiento inadecuado y cesi¨®n a terceros de los datos gen¨¦ticos de los usuarios. MyHeritage fue multada y forzada a cambiar su proceder.

23andMe, que recibe su nombre de los 23 pares de cromosomas que tienen las c¨¦lulas humanas, se hizo mundialmente conocida en 2007, cuando se convirti¨® en la primera empresa en vender kits de an¨¢lisis gen¨¦ticos. En el informe que ofrecen a los clientes aportan informaci¨®n sobre los ancestros o sobre la predisposici¨®n del usuario a contraer determinadas enfermedades. Su m¨¦todo de toma de muestras de saliva para capturar ADN, hoy de referencia en el sector, fue considerado el invento del a?o en 2008 por la revista Time. Los tests, disponibles a partir de unos 55 euros, los env¨ªan a casa: hay que escupir en un tubito, d¨¢rselo de vuelta a un mensajero y a las pocas semanas ofrecen los resultados.

Pero el negocio no ha funcionado tan bien como se esperaba. Su salida a Bolsa en 2021 fue desastrosa. Los ingresos no est¨¢n cumpliendo expectativas, y los analistas creen que a este ritmo acabar¨¢ con sus reservas de caja el a?o que viene. Esta situaci¨®n se ha traducido en un desplome de su valor burs¨¢til del 73% en lo que va de a?o. La b¨²squeda de nuevos clientes ha llevado a 23andMe a meterse en el lucrativo negocio de los productos para adelgazar en busca de nuevos clientes: la compa?¨ªa anunci¨® en verano que tratar¨¢ de encontrar variaciones gen¨¦ticas que puedan servir a sus usuarios para perder peso. Con todo, en septiembre dimiti¨® en bloque toda la junta directiva, a excepci¨®n de la cofundadora y directora general, Anne Wojcicki, al no haber ofertas de compra que puedan rescatar la empresa.

La propia Wojcicki se mostr¨® en septiembre abierta a una venta a terceros, tal y como report¨® Reuters. Y eso ha alarmado a los expertos en privacidad, porque la base de datos que atesora 23andME (tiene los datos gen¨¦ticos de 15 millones de personas) es extremadamente sensible. La prensa estadounidense ha especulado con que ser¨ªa un bocado apetitoso, por ejemplo, para alguna aseguradora, que podr¨ªa saber antes de conceder un cr¨¦dito si el cliente es o no propenso a contraer ciertos tipos de c¨¢ncer.

Fuentes de 23andMe aseguran ahora a EL PA?S que la compa?¨ªa no est¨¢ considerando ninguna oferta de adquisici¨®n, y que los clientes tienen la opci¨®n de borrar su cuenta en cualquier momento. ¡°No compartimos con terceros datos de nuestros clientes sin su consentimiento¡±, sostiene un portavoz de la empresa. La pol¨ªtica de compartici¨®n de datos de 23andMe, sin embargo, dice que los datos personales de los clientes pueden ser ¡°accedidos, vendidos o transferidos¡±.

?Est¨¢n mis datos en peligro?

No es la primera vez que 23andMe est¨¢ en el disparadero. Hace justo un a?o, la compa?¨ªa fue hackeada, dejando al descubierto la informaci¨®n gen¨¦tica de millones de usuarios. La respuesta oficial fue recomendar a los usuarios que cambiaran su contrase?a y la imposici¨®n de un m¨¦todo de doble autenticaci¨®n para entrar en sus cuentas.

El hecho de que 23andMe se plantee (o se haya planteado) ser adquirida por alguna empresa ha elevado la preocupaci¨®n de algunos usuarios a otro nivel. ¡°Puedes solicitar la supresi¨®n de tus datos; otra cosa es si la empresa, en la situaci¨®n ca¨®tica en la que est¨¢, tiene los medios o el inter¨¦s de hacerlo¡±, se?ala Jorge Garc¨ªa Herrero abogado especialista en protecci¨®n de datos. Cuando un cliente da al bot¨®n de borrar, su cuenta desaparece, pero hay una cl¨¢usula de los t¨¦rminos y condiciones que dice que, por ¡°motivos legales¡±, tanto 23andMe como los laboratorios que hayan trabajado con las muestras mantendr¨¢n informaci¨®n sobre el sexo, fecha de nacimiento e informaci¨®n gen¨¦tica del usuario. No se concreta durante cu¨¢nto tiempo.

La normativa europea protege a los clientes europeos de 23andMe. ¡°El Reglamento General de Protecci¨®n de Datos (RGPD) no solo afecta a las empresas que trabajan en la UE, sino a cualquiera que trate datos de ciudadanos europeos¡±, explica Borja Adsuara, consultor y jurista experto en privacidad. Lo complicado es asegurarse de que la norma se respete. ¡°Me parece que faltan auditor¨ªas que comprueben que todo se est¨¢ haciendo bien¡±, a?ade. ¡°Si yo hubiera contratado los servicios de 23andMe y estuviera preocupado por mis datos, esperar¨ªa que la AEPD actuara motu propio para recordarle a la empresa que tiene que respetar la normativa europea¡±, dice el experto. Eso es lo que parece que est¨¢ sucediendo.

Los datos gen¨¦ticos entran dentro de una categor¨ªa especial de datos personales, recogidos en el art¨ªculo 9 del RGPD. Su tratamiento est¨¢ prohibido, salvo contadas excepciones, siempre con consentimiento expreso. No hay, de hecho, ning¨²n dato biom¨¦trico m¨¢s inmutable que el ADN: es una especie de matr¨ªcula personal e intransferible de cada ser humano que permite reconocerle inequ¨ªvocamente. Una persona se puede borrar las huellas dactilares, alterar el rostro para intentar burlar los m¨¦todos de reconocimiento facial o incluso arrancar los ojos para evitar que se le lea el iris. El genoma, en cambio, nos acompa?a desde el primer d¨ªa al ¨²ltimo.

El dato m¨¢s personal

Otra particularidad del genoma es que no solo ata?e a una persona, sino a toda su familia. Ha habido casos en EE UU en los que la justicia ha localizado a asesinos no por tener su ADN, sino el de alg¨²n familiar. La fil¨®sofa Carissa V¨¦liz, profesora en el Instituto para la ?tica de la Inteligencia Artificial de la Universidad de Oxford, argumenta que ni siquiera el consentimiento del usuario deber¨ªa ser suficiente para poder gestionar datos como el ADN, ya que los afectados por el an¨¢lisis son todos sus familiares.

Asimismo, hay una normativa espec¨ªfica que afecta a los an¨¢lisis gen¨¦ticos. ¡°El Convenio de Oviedo establece que estos estudios se pueden hacer con fines concretos, como la investigaci¨®n m¨¦dica o la predicci¨®n de enfermedades, y que requieren siempre de asesoramiento m¨¦dico¡±, dice Mikel Recuero, investigador de la Universidad del Pa¨ªs Vasco y abogado especializado en el tratamiento de datos m¨¦dicos. ¡°Estas compa?¨ªas operan en un cierto vac¨ªo legal: contratas el test en internet, te llega un kit, tomas la muestra, se env¨ªa a un laboratorio y te mandan resultados. El an¨¢lisis no se produce en un entorno m¨¦dico y no hay asesoramiento profesional¡±.

El hecho es que 23andMe ya ha hecho negocio anteriormente con los datos de sus usuarios. En 2018 lleg¨® a un acuerdo con la brit¨¢nica GlaxoSmithKline, una de las farmac¨¦uticas m¨¢s grandes del mundo, por m¨¢s de 300 millones de d¨®lares para el ¡°desarrollo de nuevos medicamentos¡±. Solo se usaron los datos de los usuarios que lo consintieron.

?Podr¨ªa vender 23andMe sus datos a una aseguradora m¨¦dica o un data broker (las empresas que re¨²nen, analizan y venden datos personales), tal y como se ha especulado? En EE UU ser¨ªa t¨¦cnicamente posible y legal. En la UE, muy complicado. ¡°Uno de los principios b¨¢sicos del RGPD es la limitaci¨®n de la finalidad, que significa que si recabas un dato con un objetivo concreto (por ejemplo, el ADN para detectar una enfermedad), luego no puedes usarlo con otro prop¨®sito, y si lo haces te expones a fuertes sanciones o hasta a la inhabilitaci¨®n del servicio¡±, subraya Recuero.