La venta de los datos de 23andMe sería perjudicial para la privacidad. Esto es lo que pueden hacer los clientes.

English

La consejera delegada de 23andMe ha declarado recientemente que está considerando la posibilidad de vender la empresa de pruebas de genealogía genética y, con ella, los datos confidenciales de ADN que ha recopilado y almacenado de muchos de sus 15 millones de clientes. Los clientes y sus familiares están preocupados, y con razón. Las investigaciones han demostrado que ya es posible identificar a la mayoría de los estadounidenses blancos a partir de sólo 1,3 millones de usuarios de un servicio similar, GEDMatch, debido a similitudes genéticas, a pesar de que GEDMatch tiene una base de datos de perfiles genéticos mucho más pequeña. 23andMe tiene unas diez veces más clientes.

Vender un gigantesco tesoro de nuestros datos más sensibles es una mala idea que la empresa debería evitar a toda costa. Y por ahora, la empresa parece haber dado marcha atrás en su consideración de un comprador externo. Antes de que 23andMe lo reconsidere, debería como mínimo asumir una serie de compromisos de privacidad con todos sus usuarios. Estos deberían incluir:

No considere la venta a ninguna empresa vinculada a las fuerzas de seguridad o con un historial de fallos de seguridad.
Antes de cualquier adquisición, pregunte afirmativamente a todos los usuarios si desean borrar su información, con la opción de descargarla previamente.
Antes de cualquier adquisición, solicite el consentimiento afirmativo de todos los usuarios antes de transferir sus datos. El consentimiento debe dar a la gente una opción real de decir "no". Debe estar separado de la política de privacidad, contener el nombre de la empresa adquirente y estar libre de patrones oscuros.
Antes de cualquier adquisición, exija al comprador que se comprometa firmemente con la privacidad y la seguridad. Entre ellos debe figurar el compromiso de no permitir que las fuerzas del orden realicen búsquedas indiscriminadas en la base de datos y de prohibir la divulgación de datos genéticos de cualquier persona a las fuerzas del orden sin una orden judicial específica.
Reconsidere sus propias políticas de conservación e intercambio de datos. Las personas utilizan principalmente el servicio para obtener una prueba genética. Una encuesta realizada a clientes de 23andMe en 2017 y 2018 mostró que más del 40 % desconocía que compartir datos formaba parte del modelo de negocio de la empresa.

23andMe ya está obligada legalmente a proporcionar a los usuarios de determinados estados algunos de estos derechos. Pero 23andMe -y cualquier empresa que se plantee vender datos tan sensibles- debería ir más allá de la legislación vigente para calmar los temores reales de los usuarios sobre su privacidad. Además, los legisladores deberían seguir aprobando y reforzando la protección de la privacidad genética.

La privacidad de la información genética personal recopilada por empresas como 23andMe siempre va a tener cierto nivel de riesgo, por lo que sugerimos a los consumidores que se lo piensen muy bien antes de utilizar un servicio de este tipo. Los datos genéticos son inmutables y pueden revelar detalles muy personales sobre usted y los miembros de su familia. Las filtraciones de datos son una grave preocupación dondequiera que se almacenen datos sensibles, y la filtración del año pasado de 23andMe expuso información personal de casi la mitad de sus clientes. Los datos pueden ser utilizados indebidamente por las fuerzas de seguridad para buscar indiscriminadamente pruebas de un delito. Aunque las políticas de 23andMe exigen una orden judicial antes de facilitar información a la policía, otras empresas no lo hacen. Además, el sector privado podría utilizar su información para discriminarle. Afortunadamente, la legislación vigente impide la discriminación genética en el seguro médico y el empleo.

Los usuarios actuales pueden exigir a 23andMe que elimine sus datos

¿Qué ocurre con mis datos genéticos si 23andMe se vende a otra empresa?

En caso de adquisición o liquidación por quiebra, 23andMe aún debe obtener el consentimiento por separado de los usuarios en una docena de estados antes de poder transferir sus datos genéticos a una empresa adquirente. Los usuarios de esos estados podrían simplemente negarse. Además, muchas personas en Estados Unidos están legalmente autorizadas a acceder a sus datos y borrarlos antes o después de cualquier adquisición. Por otra parte, el comprador de 23andMe tendría, como mínimo, que cumplir las leyes vigentes sobre privacidad genética y las políticas de privacidad actuales de 23andMe. Correspondería a los reguladores hacer cumplir muchas de estas protecciones.

A continuación se expone la situación jurídica general, tal y como nosotros la entendemos.

23andMe debe obtener el consentimiento de muchos usuarios antes de transferir sus datos en una adquisición. Esos usuarios podrían simplemente negarse. Al menos una docena de estados han aprobado leyes de privacidad de datos del consumidor específicas para la privacidad genética. Por ejemplo, la ley 2023 de Montana exigiría que el consentimiento estuviera separado de otros documentos y que figurara el nombre del comprador. Aunque los requisitos de consentimiento varían ligeramente, existen leyes similares en Alabama, Arizona, California, Kentucky, Nebraska, Maryland, Minnesota, Tennessee, Texas, Virginia, Utah yWyoming. En concreto, la ley de Wyoming establece un derecho de acción privada que permite a los consumidores defender sus propios derechos ante los tribunales.
Muchos usuarios tienen el derecho legal de acceder y eliminar sus datos almacenados con 23andMe antes o después de una adquisición. Unos 19 estados han aprobado leyes integrales de privacidad que otorgan a los usuarios derechos de eliminación y acceso, pero no todas han entrado en vigor. Muchas de esas leyes también clasifican los datos genéticos como sensibles y exigen que las empresas obtengan el consentimiento para procesarlos. Por desgracia, la mayoría de estas leyes, si no todas, permiten a empresas como 23andMe transferir libremente los datos de los usuarios como parte de una fusión, adquisición o quiebra.
23andMe debe cumplir su propia política de privacidad. De lo contrario, la empresa podría ser sancionada por incurrir en prácticas engañosas. Por desgracia, su actual política de privacidad permite transferir datos en caso de fusión, adquisición o quiebra.
Cualquier comprador de 23andMe probablemente tendría que ofrecer a los usuarios actuales derechos de privacidad iguales o superiores a los que se ofrecen ahora, a menos que el comprador obtenga un nuevo consentimiento. La Comisión Federal de Comercio ha advertido a las empresas que no incurran en la práctica desleal de reducir discretamente la protección de la privacidad de los datos de los usuarios tras una adquisición. El comprador también tendría que cumplir el entramado de leyes estatales de privacidad exhaustivas y específicas de la genética mencionadas anteriormente.
La ley federal Ley de no discriminación por información genética de 2008 impide la discriminación por motivos genéticos por parte de las aseguradoras sanitarias y las empresas.

¿Qué puede hacer ahora para proteger sus datos genéticos?

Los usuarios actuales pueden exigir a 23andMe que elimine sus datos o revoque parte de su consentimiento previo a la investigación.

Si no se siente cómodo con una posible venta, puede considerar descargar una copia local de su información para crear un archivo personal y, a continuación, eliminar su cuenta de 23andMe. Al hacerlo, eliminará toda su información de 23andMe y, si aún no lo ha solicitado, la empresa también destruirá su muestra genética. La eliminación de su cuenta también eliminará cualquier información genética de futuros proyectos de investigación, aunque no hay forma de eliminar nada que ya se haya compartido. Aquí encontrará instrucciones para archivar y eliminar su cuenta. Cuando reciba la información archivada de su cuenta, algunos de sus datos estarán en formatos más legibles que otros. Por ejemplo, tu "Resumen de informes" llegará en formato PDF, fácil de leer y con información sobre los rasgos y tu informe genealógico. Otra información, como el árbol genealógico, llega en un formato menos legible, como un archivo JSON.

También es posible que usted forme parte del 80% de usuarios que han dado su consentimiento para que se analicen sus datos genéticos con fines de investigación médica. También puede revocar su consentimiento para futuras investigaciones enviando un correo electrónico. En el marco de este programa, los investigadores externos que realizan análisis de esos datos tienen acceso a esta información, así como a algunos datos de encuestas adicionales y otra información que usted proporcione. Entre los investigadores externos se incluyen organizaciones sin ánimo de lucro, empresas farmacéuticas como GlaxoSmithKline e instituciones de investigación. 23andMe ha utilizado estos datos para publicar investigaciones sobre enfermedades como el Parkinson. Según la empresa, estos datos están desidentificados, es decir, desprovistos de información de identificación obvia como el nombre y la información de contacto. Sin embargo, los datos genéticos no pueden desidentificarse realmente. Incluso si se separan de identificadores obvios como el nombre, siguen estando vinculados para siempre a una sola persona en el mundo. Y al menos un estudio ha demostrado que, cuando se combinan con datos de GenBank, una base de datos de secuencias genéticas de los Institutos Nacionales de Salud, los datos de algunas bases de datos genealógicas pueden dar lugar a la posibilidad de reidentificación.

¿Qué pueden hacer 23andMe, los reguladores y los legisladores?

Como ya se ha mencionado, 23andMe debe cumplir la legislación vigente. Y debe asumir una serie de compromisos adicionales antes de reconsiderar una venta. Y lo que es más importante, debe dar a cada usuario la opción real de decir "no" a una transferencia de datos y asegurarse de que cualquier comprador asuma compromisos reales de privacidad. Otras empresas de genealogía genética del consumidor también deberían tomar estas medidas de forma proactiva. Las empresas deberían dejar muy claro adónde va a parar la información y cómo se utiliza, y deberían exigir una orden individualizada antes de permitir que la policía rastree su base de datos.

Las conversaciones sobre la adquisición de una empresa con una gigantesca base de datos sensibles deberían ser una llamada de atención para que legisladores y reguladores actúen

Los reguladores gubernamentales deberían vigilar de cerca los planes de la empresa y presionarla para que explique cómo protegerá los datos de los usuarios en caso de transferencia de propiedad, de forma similar al escrutinio de la FTC sobre la anterior adquisición de WhatsApp por parte de Facebook.

Los legisladores también deberían esforzarse por aprobar protecciones más amplias de la privacidad en general y de la privacidad genética en particular. Aunque muchas de las leyes estatales sobre privacidad genética son un buen comienzo, por lo general carecen de un derecho de acción privado y sólo protegen a una parte de la población estadounidense. La EFF aboga desde hace tiempo por una ley federal de privacidad sólida que incluya un derecho de acción privado.

Nuestro ADN es, literalmente, lo que nos hace humanos. Es intrínsecamente personal y profundamente revelador, no sólo de nosotros mismos sino también de nuestros parientes genéticos, por lo que merece las protecciones de privacidad más estrictas. Las conversaciones sobre la adquisición por parte de una empresa de una gigantesca base de datos de datos sensibles deberían ser una llamada de atención para que legisladores y reguladores actúen, y cuando lo hagan, la EFF estará dispuesta a apoyarles.

Related Issues

Genetic Information Privacy

Join EFF Lists

Related Updates

Deeplinks Blog by Paige Collings, Matthew Guariglia | March 22, 2024

Cops Running DNA-Manufactured Faces Through Face Recognition Is a Tornado of Bad Ideas

In keeping with law enforcement’s grand tradition of taking antiquated, invasive, and oppressive technologies, making them digital, and then calling it innovation, police in the U.S. recently combined two existing dystopian technologies in a brand new way to violate civil liberties. A police force in California recently employed the...

Deeplinks Blog by Thorin Klosowski | October 20, 2023

Qué hacer si estás preocupado por la brecha de 23andMe

A principios de octubre, un delincuente afirmó que estaba vendiendo datos de cuentas del servicio de pruebas genéticas 23andMe, que incluían supuestamente datos de un millón de usuarios de ascendencia judía asquenazí y otros 100.000 usuarios de ascendencia china. A mediados de octubre, la cifra se amplió a otros...

Deeplinks Blog by Saira Hussain, Matthew Guariglia | September 25, 2023

The U.S. Government’s Database of Immigrant DNA Has Hit Scary, Astronomical Proportions

The FBI recently released its proposed budget for 2024, and its request for a massive increase in funding for its DNA database should concern us all. The FBI is asking for an additional $53 million in funding to aid in the collection, organization, and maintenance of its Combined...

Deeplinks Blog by Jennifer Lynch | September 5, 2023

Montana’s New Genetic Privacy Law Caps Off Ten Years of Innovative State Privacy Protections

Montana’s success in passing mostly reasonable privacy laws shows that concerns about privacy easily cut across political lines. While we wait for the federal government to pass any meaningful comprehensive privacy laws, states should look to Montana as a model for innovative ways to protect their own residents’ privacy interests.

Whitepaper

Forensic Genetic Genealogy Searches: What Defense Attorneys & Policy Makers Need to Know

The Electronic Frontier Foundation, has worked on several cases where law enforcement used FGG, and this article is based on that work. This article will discuss how genetic genealogy works, law enforcement’s use of FGG, and how FGG can both misidentify suspects and, in rare cases, help to clear wrongful...

Deeplinks Blog by Jennifer Lynch, Saira Hussain, Andrew Crocker | November 10, 2022

EFF Files Amicus Brief Challenging Orange County, CA’s Controversial DNA Collection Program

Should the government be allowed to collect your DNA—and retain it indefinitely—if you’re arrested for a low-level offense like shoplifting a tube of lipstick, driving without a valid license, or walking your dog off leash? We don’t think so. As we argue in an amicus brief filed in...

Deeplinks Blog by Jennifer Lynch | February 16, 2022

Not Just San Francisco: Police Across the Country are Retaining and Searching DNA of Victims and Innocent People

This week we learned that San Francisco Police used a woman’s own DNA—collected years earlier as part of an investigation into her sexual assault—to charge her for an unrelated property crime. What’s worse—it appears the S.F. police routinely search victims’ DNA in criminal investigations.

Deeplinks Blog by Saira Hussain | June 30, 2021

Victory! Biden Administration Rescinds Dangerous DHS Proposed Rule to Expand Biometrics Collection

Marking a big win for the privacy and civil liberties of immigrant communities, the Biden Administration recently rescinded a Trump-era proposed rule that would have massively expanded the collection of biometrics from people applying for an immigration benefit. Introduced in September 2020, the U.S. Department of Homeland Security (DHS)...

Deeplinks Blog by Jennifer Lynch | June 7, 2021

Maryland and Montana Pass the Nation’s First Laws Restricting Law Enforcement Access to Genetic Genealogy Databases

Last week, Maryland and Montana passed laws requiring judicial authorization to search consumer DNA databases in criminal investigations. These are welcome and important restrictions on forensic genetic genealogy searching (FGGS)—a law enforcement technique that has become increasingly common and impacts the genetic privacy of millions of Americans.Consumer personal...

Legal Case

United States v. Ellis

Along with the ACLU of Pennsylvania, we filed an amicus brief in the United States District Court for Western Pennsylvania explaining that secret forensic technology is inconsistent with criminal defendants’ constitutional rights and the public’s right to oversee the criminal trial process. We also explain why source code, and other...

Related Issues

Genetic Information Privacy

Search form

Search form

¿Qué ocurre con mis datos genéticos si 23andMe se vende a otra empresa?

¿Qué puede hacer ahora para proteger sus datos genéticos?

¿Qué pueden hacer 23andMe, los reguladores y los legisladores?

Related Issues

Related Issues

Search form

Search form

La venta de los datos de 23andMe sería perjudicial para la privacidad. Esto es lo que pueden hacer los clientes.

La venta de los datos de 23andMe sería perjudicial para la privacidad. Esto es lo que pueden hacer los clientes.

¿Qué ocurre con mis datos genéticos si 23andMe se vende a otra empresa?

¿Qué puede hacer ahora para proteger sus datos genéticos?

¿Qué pueden hacer 23andMe, los reguladores y los legisladores?

Related Issues

Join EFF Lists

Discover more.

Related Updates

Discover more.

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate