Qué pasa con nuestros datos personales cuando la empresa que los tiene quiebra: ¿se pueden vender los datos genéticos?

La empresa 23andMe está al borde de la extinción. No vale ni una centésima parte de lo que llegó a cotizar en Bolsa hace tan solo 3 años y, con ella, se pierden sus clientes, sus proveedores y todos sus activos. ¿Y qué tiene de particular 23andMe? Que sus activos son: los datos genéticos de más de 17 millones de personas.

¿Realmente están protegidos nuestros datos y nuestra privacidad? ¿Podemos ejercer el derecho al olvido? Mario Yáñez, consultor tecnológico en empresas como Kyndryl, responde en La Linterna a estas preguntas y a qué pasa cuando una empresa que tiene tus datos personales entra en quiebra.

Qué era 23andMe y su importancia

23andMe era la mayor empresa de perfiles genéticos del mundo, con datos de más de 17 millones de personas, españoles también. La empresa con sede en Sunnyvale, California, almacena en sus servidores muestras genéticas y biológicas, y además, cruza datos buscando relaciones de parentesco entre sus usuarios y coincidencias genéticas.

El motivo de que esté al borde de la quiebra es que en septiembre dimitieron los consejeros independientes; la empresa no vale ni 6 millones de dólares cuando llegó a valer más de 6.000 millones y el modelo de negocio no parece funcionar. “Un usuario paga unos 100 dólares por enviar su saliva en un tubito, y en un par de semanas tiene un perfil genético detallado que le adjudica porcentajes étnicos y geográficos”, explica Yáñez.

Además, busca conexiones cercanas y distantes entre sus ficheros, ofreciendo conectar con familiares en varios grados de parentesco. También añade recomendaciones médicas, si el cliente las quiere recibir.

Víctima de hackeo

Hace un año, 23andMe sufrió una brecha de seguridad y unos hackers accedieron a datos genéticos y personales de casi 7 millones de usuarios, incluyendo información sensible de salud y datos de ascendencia. Después, los hackers vendieron información perteneciente a un millón de usuarios de ascendencia judía, incluyendo sus nombres, en foros de internet.

“Esto, justo después del auge de ataques antisemitas tras las agresiones terroristas de Hamás contra Israel y también se vendieron los datos de cientos de miles de usuarios con ascendencia china”, apunta el colaborador de La Linterna.

Por qué se pueden vender los datos médicos

En el caso de 23andMe se han dado dos circunstancias que son muy habituales en protección de datos, explica Yáñez. Primero las empresas que no cumplen la obligación de custodiar y proteger los datos de acuerdo con los estándares de seguridad de la industria. “Segundo el poco cuidado que ponen los usuarios a la hora de establecer usuarios y contraseñas robustas”.

Según Anya Prince, profesora de derecho en la Universidad de Iowa, esos datos se pueden comercializar porque las protecciones federales de privacidad de la salud en EE.UU. no se aplican en este caso, ya que 23andMe está fuera del ámbito de la atención médica, pues no ofrece atención y tratamiento, sino información. Las Leyes de protección de datos allí garantizan que la información médica personal solo sea compartida con el consentimiento del paciente o bajo ciertas condiciones pero, curiosamente, “los perfiles genéticos no”.

“La empresa puede disponer de los ficheros como considere”, aclara Yáñez. Eso sí, en España no ocurriría: “en lo que al reglamento de protección de datos se refiere, los datos médicos o de filiación política, religiosa, tendencia sexual, etc están bajo el máximo nivel de protección y custodia.

“Además, hay un punto clave en la legislación: da igual como se hayan generado o capturado los datos: el único dueño de los datos es la persona propietaria y es la única que puede decidir si se usan o no, se comparten o se borran. Ni la administración puede usarlos salvo orden judicial o casos muy especiales”, concluye.