El equipo de investigación de Incogni ha analizado exhaustivamente las políticas de privacidad de los datos sanitarios de los 10 principales servicios de pruebas de ADN, para investigar las áreas en las que se podría ver comprometida la información personal más confidencial de los usuarios: sus datos genéticos
Se ha demostrado que varios servicios tienen políticas crípticas sobre el intercambio de datos con las autoridades competentes, la eliminación de os datos genéticos y la determinación de qué actos legislativos se aplican a sus bases de datos genéticos. La mitad de estos servicios carecen también de una Política de privacidad de datos sanitarios clara, como exige la ley del estado de Washington.
Esta investigación llega en el momento álgido de la temporada navideña de 2024, cuando los kits de pruebas genéticas como los de 23andMe y Ancestry son regalos muy populares. Los destinatarios de estos regalos desconocen cómo se pueden utilizar sus datos genéticos y los riesgos para la privacidad que conllevan, especialmente cuando empresas como 23andMe se han visto envueltas en escándalos que van desde filtraciones de datos hasta procedimientos de quiebra.
Los investigadores de Incogni han evaluado las 10 principales empresas comerciales de pruebas de ADN y cómo gestionan la información personal identificable (IPI) y la información técnicamente identificable, junto con la gestión de los datos genéticos de sus clientes. El estudio ha analizado a 23andMe, Ancestry, MyHeritage, Living DNA, FamilyTreeDNA, DNA Complete (antes Nebula Genomics), SelfDecode, LetsGetChecked, Toolbox Genomics y EverlyWell.
La investigación pone de manifiesto varios riesgos asociados al intercambio de datos genéticos y a la privacidad personal. Las empresas de pruebas de ADN afirman que las pruebas de datos genéticos son anónimas. Sin embargo, los datos genéticos se pueden combinar con otra información técnicamente identificable, lo que hace posible volver a identificar al individuo incluso después de anonimizarse. Estas vulnerabilidades pueden exponer a los usuarios a un uso indebido, intencionado o no, e incluso a ataques selectivos, como se vio en la filtración de datos de 23andMe que afectó a usuarios judíos y chinos.
Los investigadores de Incogni también descubrieron que cuatro de los servicios investigados, SelfDecode, LetsGetChecked, Toolbox Genomics y Everlywell, declaran que cumplen con la ley «solo están cuando obligados legalmente» o bajo la «creencia de buena fe» de que la divulgación es necesaria. Estos términos utilizan un lenguaje jurídico ambiguo que podría permitir el intercambio de información sin una orden judicial.
Entre los servicios que analizamos, 4 de cada 10 no especificaban dónde se almacenan las muestras físicas. Los servicios restantes hacen referencia vagamente a lugares de almacenamiento como una «instalación segura» (Ancestry), un «biobanco» (23andMe) o un «laboratorio en Houston» (FamilyTreeDNA). Todos los servicios conservan muestras físicas durante largos periodos.
Además, la mitad de los servicios (Living DNA, FamilyTreeDNA, DNA Complete, SelfDecode y Toolbox Genomics) carecen de una Política de privacidad de datos sanitarios clara, tal como exige la Ley My Health My Data (Mi Salud, Mis Datos) de Washington, que obliga a la transparencia en el tratamiento de los datos sanitarios de los residentes del estado.
«La comodidad y la curiosidad que despiertan los servicios de análisis de ADN vienen acompañadas de importantes contrapartidas en materia de privacidad que muchos usuarios no acaban de comprender», afirma Darius Belejevas, director general de Incogni. «Desde los riesgos en torno a las filtraciones de datos hasta las adquisiciones empresariales y las posibles interacciones con las autoridades, los datos genéticos conectados a la información de identificación personal son mucho más vulnerables de lo que cabría esperar».
Metodología
El equipo de investigación de Incogni, en colaboración con expertos jurídicos, analizó las políticas generales de privacidad, las condiciones de los servicios y las políticas de privacidad de los datos sobre salud de 10 servicios de pruebas de ADN entre el 30 de octubre y el 14 de noviembre de 2024. Los temas relacionados con la privacidad que nos parecieron especialmente interesantes se presentan más arriba, junto con los resultados de todos los servicios normalizados y sus implicaciones analizadas.