La Agencia Española de Protección de Datos (AEPD) está tramitando un expediente en relación con 23andMe, una empresa estadounidense pionera en la secuenciación comercial del genoma. La Agencia no puede aportar más información sobre el proceso que tiene en marcha, si bien matiza que no ha recibido denuncias por parte de usuarios, lo que indica que la investigación es a motu propio. La investigación coincide en el tiempo con los rumores según los cuales 23andMe, que atraviesa complicaciones financieras, estaría escuchando ofertas de compra. Quien la adquiera se hará con los datos genéticos de sus 15 millones de clientes.
La investigación de la AEPD tiene un precedente: en 2021 hizo lo propio con la firma israelí MyHeritage, una plataforma que ofrece análisis genéticos para construir árboles genealógicos. En ese caso, el procedimiento se abrió a partir de una reclamación de la Organización de Consumidores y Usuarios (OCU) por tratamiento inadecuado y cesión a terceros de los datos genéticos de los usuarios. MyHeritage fue multada y forzada a cambiar su proceder.
23andMe, que recibe su nombre de los 23 pares de cromosomas que tienen las células humanas, se hizo mundialmente conocida en 2007, cuando se convirtió en la primera empresa en vender kits de análisis genéticos. En el informe que ofrecen a los clientes aportan información sobre los ancestros o sobre la predisposición del usuario a contraer determinadas enfermedades. Su método de toma de muestras de saliva para capturar ADN, hoy de referencia en el sector, fue considerado el invento del año en 2008 por la revista Time. Los tests, disponibles a partir de unos 55 euros, los envían a casa: hay que escupir en un tubito, dárselo de vuelta a un mensajero y a las pocas semanas ofrecen los resultados.
Pero el negocio no ha funcionado tan bien como se esperaba. Su salida a Bolsa en 2021 fue desastrosa. Los ingresos no están cumpliendo expectativas, y los analistas creen que a este ritmo acabará con sus reservas de caja el año que viene. Esta situación se ha traducido en un desplome de su valor bursátil del 73% en lo que va de año. La búsqueda de nuevos clientes ha llevado a 23andMe a meterse en el lucrativo negocio de los productos para adelgazar en busca de nuevos clientes: la compañía anunció en verano que tratará de encontrar variaciones genéticas que puedan servir a sus usuarios para perder peso. Con todo, en septiembre dimitió en bloque toda la junta directiva, a excepción de la cofundadora y directora general, Anne Wojcicki, al no haber ofertas de compra que puedan rescatar la empresa.
It’s not just you. If anyone in your FAMILY gave their DNA to 23&me, for all of your sakes, close your/their account now. This won’t solve the issue, but they will (they claim) delete some of your data.
And in the future avoid consumer DNA testing.https://t.co/6A1GuqvXGr
— Meredith Whittaker (@mer__edith) October 4, 2024
La propia Wojcicki se mostró en septiembre abierta a una venta a terceros, tal y como reportó Reuters. Y eso ha alarmado a los expertos en privacidad, porque la base de datos que atesora 23andME (tiene los datos genéticos de 15 millones de personas) es extremadamente sensible. La prensa estadounidense ha especulado con que sería un bocado apetitoso, por ejemplo, para alguna aseguradora, que podría saber antes de conceder un crédito si el cliente es o no propenso a contraer ciertos tipos de cáncer.
Fuentes de 23andMe aseguran ahora a EL PAÍS que la compañía no está considerando ninguna oferta de adquisición, y que los clientes tienen la opción de borrar su cuenta en cualquier momento. “No compartimos con terceros datos de nuestros clientes sin su consentimiento”, sostiene un portavoz de la empresa. La política de compartición de datos de 23andMe, sin embargo, dice que los datos personales de los clientes pueden ser “accedidos, vendidos o transferidos”.
¿Están mis datos en peligro?
No es la primera vez que 23andMe está en el disparadero. Hace justo un año, la compañía fue hackeada, dejando al descubierto la información genética de millones de usuarios. La respuesta oficial fue recomendar a los usuarios que cambiaran su contraseña y la imposición de un método de doble autenticación para entrar en sus cuentas.
El hecho de que 23andMe se plantee (o se haya planteado) ser adquirida por alguna empresa ha elevado la preocupación de algunos usuarios a otro nivel. “Puedes solicitar la supresión de tus datos; otra cosa es si la empresa, en la situación caótica en la que está, tiene los medios o el interés de hacerlo”, señala Jorge García Herrero abogado especialista en protección de datos. Cuando un cliente da al botón de borrar, su cuenta desaparece, pero hay una cláusula de los términos y condiciones que dice que, por “motivos legales”, tanto 23andMe como los laboratorios que hayan trabajado con las muestras mantendrán información sobre el sexo, fecha de nacimiento e información genética del usuario. No se concreta durante cuánto tiempo.
La normativa europea protege a los clientes europeos de 23andMe. “El Reglamento General de Protección de Datos (RGPD) no solo afecta a las empresas que trabajan en la UE, sino a cualquiera que trate datos de ciudadanos europeos”, explica Borja Adsuara, consultor y jurista experto en privacidad. Lo complicado es asegurarse de que la norma se respete. “Me parece que faltan auditorías que comprueben que todo se está haciendo bien”, añade. “Si yo hubiera contratado los servicios de 23andMe y estuviera preocupado por mis datos, esperaría a que la AEPD acutara de motu propio para recordarle a la empresa que tiene que respetar la normativa europea”, dice el experto. Eso es lo que parece que está sucediendo.
Los datos genéticos entran dentro de una categoría especial de datos personales, recogidos en el artículo 9 del RGPD. Su tratamiento está prohibido, salvo contadas excepciones, siempre con consentimiento expreso. No hay, de hecho, ningún dato biométrico más inmutable que el ADN: es una especie de matrícula personal e intransferible de cada ser humano que permite reconocerle inequívocamente. Una persona se puede borrar las huellas dactilares, alterar el rostro para intentar burlar los métodos de reconocimiento facial o incluso arrancar los ojos para evitar que se le lea el iris. El genoma, en cambio, nos acompaña desde el primer día al último.
El dato más personal
Otra particularidad del genoma es que no solo atañe a una persona, sino a toda su familia. Ha habido casos en EE UU en los que la justicia ha localizado a asesinos no por tener su ADN, sino el de algún familiar. La filósofa Carissa Véliz, profesora en el Instituto para la Ética de la Inteligencia Artificial de la Universidad de Oxford, argumenta que ni siquiera el consentimiento del usuario debería ser suficiente para poder gestionar datos como el ADN, ya que los afectados por el análisis son todos sus familiares.
Asimismo, hay una normativa específica que afecta a los análisis genéticos. “El Convenio de Oviedo establece que estos estudios se pueden hacer con fines concretos, como la investigación médica o la predicción de enfermedades, y que requieren siempre de asesoramiento médico”, dice Mikel Recuero, investigador de la Universidad del País Vasco y abogado especializado en el tratamiento de datos médicos. “Estas compañías operan en un cierto vacío legal: contratas el test en internet, te llega un kit, tomas la muestra, se envía a un laboratorio y te mandan resultados. El análisis no se produce en un entorno médico y no hay asesoramiento profesional”.
El hecho es que 23andMe ya ha hecho negocio anteriormente con los datos de sus usuarios. En 2018 llegó a un acuerdo con la británica GlaxoSmithKline, una de las farmacéuticas más grandes del mundo, por más de 300 millones de dólares para el “desarrollo de nuevos medicamentos”. Solo se usaron los datos de los usuarios que lo consintieron.
¿Podría vender 23andMe sus datos a una aseguradora médica o un data broker (las empresas que reúnen, analizan y venden datos personales), tal y como se ha especulado? En EE UU sería técnicamente posible y legal. En la UE, muy complicado. “Uno de los principios básicos del RGPD es la limitación de la finalidad, que significa que si recabas un dato con un objetivo concreto (por ejemplo, el ADN para detectar una enfermedad), luego no puedes usarlo con otro propósito, y si lo haces te expones a fuertes sanciones o hasta a la inhabilitación del servicio”, subraya Recuero.