¿Quién es el propietario de sus datos de ADN? Privacidad, consentimiento y qué sucede cuando una empresa de análisis cambia de manos

Las pruebas de ADN directas al consumidor pueden parecer una decisión pequeña y limitada: compras un kit, escupes en un tubo y, unas semanas después, descubres algo interesante sobre tu ascendencia o posibles características de salud. Pero los datos generados por ese simple acto no son como un número de tarjeta de crédito que puedes reemplazar si se ve comprometido. Los datos genéticos son exclusivamente personales, excepcionalmente duraderos y se comparten de forma única. No solo te describen a ti, sino también a las personas con las que tienes parentesco. Por eso, la pregunta sobre quién es el propietario de tus datos de ADN surge constantemente, especialmente cuando los titulares recuerdan al público que las empresas pueden ser adquiridas, reorganizadas o incluso vendidas en caso de quiebra.

Para las familias que atraviesan una pérdida, estas preguntas pueden surgir de maneras inesperadas. A veces, una prueba de ADN forma parte de la genealogía y la narración. Otras veces, está relacionada con cuestiones de salud importantes para los hijos o hermanos. Y en ocasiones, tras un fallecimiento, una familia se enfrenta a decisiones urgentes y prácticas sobre la preservación del material biológico para obtener respuestas que puedan proteger a los vivos. La planificación funeraria suele comenzar con lo inmediato y visible, pero la privacidad y el control de datos a largo plazo también merecen un lugar en la lista.

Qué significa realmente la “propiedad” en las pruebas de ADN para consumidores

Cuando las personas preguntan sobre la propiedad de los datos de ADN ancestral , a menudo se refieren a: "¿Los controlo como controlo mi propiedad?". En Estados Unidos, la respuesta suele ser más compleja. En muchos contextos de consumo, su relación con su información genética se rige por una combinación de términos contractuales (lo que usted aceptó al hacer clic en "aceptar"), políticas de privacidad (que pueden cambiar) y un conjunto de leyes que difieren según el estado. En la práctica, la "propiedad" a menudo importa menos que los "derechos": a qué puede acceder, qué puede eliminar, qué puede rechazar y qué puede transferirse si la empresa cambia de manos.

También ayuda separar tres cosas que los consumidores suelen agrupar como "mi ADN". Primero, está la muestra física que envías. Segundo, están los datos genéticos, sin procesar o procesados, extraídos de esa muestra. Tercero, están las interpretaciones y los informes generados a partir de esos datos. Distintas leyes y políticas pueden tratarlos de forma diferente, y distintas compañías pueden ofrecer distintos controles sobre cada uno. Por eso, la privacidad de las pruebas de ADN para consumidores comienza con leer la letra pequeña, incluso cuando preferirías no hacerlo.

Los datos genéticos son personales, pero también se comparten

La información genética no solo se relaciona con la identidad, sino también con las relaciones. Esta es una de las razones por las que los riesgos de las bases de datos de ADN son difíciles de reducir a la decisión de una sola persona. Un perfil de ADN puede ayudar a encontrar parientes compatibles. Puede revelar conexiones familiares desconocidas. En ocasiones, puede exponer atribuciones erróneas de paternidad, concepción por donante u otras verdades familiares profundamente personales. Y en cuanto a la salud, los hallazgos genéticos pueden ser relevantes para hermanos, padres e hijos que comparten riesgos hereditarios.

Esta cualidad "compartida" cambia la ética del consentimiento. Quizás puedas hacer clic en un botón para participar en una investigación, pero tu decisión puede tener consecuencias. Esto es parte de lo que diferencia el consentimiento para la gestión de datos genéticos del consentimiento para la mayoría de las demás prácticas de datos de consumidores.

La brecha de privacidad: por qué HIPAA no es la red de seguridad que mucha gente supone

Muchas familias asumen que los datos genéticos están protegidos, al igual que los historiales médicos. En realidad, la ley de privacidad de la salud de EE. UU. (HIPAA) se centra en las "entidades cubiertas", como proveedores de atención médica, planes de salud y centros de intercambio de información médica, y en ciertos "socios comerciales" que trabajan con ellos. El Departamento de Salud y Servicios Humanos de EE. UU. explica quién está cubierto por la HIPAA, y las empresas de pruebas directas al consumidor a menudo quedan fuera de esta definición porque no actúan como su médico ni como su hospital. Esto significa que sus datos de pruebas genéticas como consumidor podrían no recibir la protección que usted espera de la HIPAA.

Existen otras protecciones federales, pero son limitadas. La Ley de No Discriminación por Información Genética (GINA) prohíbe ciertos tipos de discriminación en seguros médicos y empleos basados ​​en información genética, pero tiene límites significativos, incluyendo que no cubre seguros de vida, de cuidados a largo plazo ni de discapacidad. Instituto Nacional de Investigación del Genoma Humano

Entonces, cuando las personas hablan sobre los derechos de privacidad del ADN y la ley de privacidad genética , lo que a menudo están describiendo es un panorama en el que las protecciones dependen en gran medida de la ley estatal, la política de la empresa y sus propias decisiones sobre el consentimiento explícito, el intercambio y la eliminación de datos.

Las leyes estatales están evolucionando, pero Estados Unidos todavía parece un mosaico

Ante la falta de una ley federal integral de privacidad genética, los estados han adoptado diferentes enfoques. La Ley Mi Salud, Mis Datos del estado de Washington es un ejemplo de un marco de privacidad de la salud del consumidor que define explícitamente los "datos genéticos" de forma amplia y otorga a los consumidores el derecho a acceder a ellos, revocar su consentimiento y solicitar su eliminación. Legislatura del Estado de Washington .

California también ha enfatizado los controles de los consumidores sobre la información genética. Durante el escrutinio público en torno a las dificultades financieras y el proceso de quiebra de 23andMe, el fiscal general de California destacó los derechos bajo la Ley de Privacidad de la Información Genética (GIPA) del estado, incluyendo la posibilidad de eliminar datos genéticos, destruir una muestra biológica y revocar el consentimiento para la recolección, uso y divulgación. Departamento de Justicia de California .

Para las familias, la lección práctica no es memorizar todos los estatutos. Es reconocer que sus derechos pueden depender de dónde viven, dónde opera la empresa y qué acordaron. Si se pregunta si una solicitud de eliminación de datos de ADN será realmente aceptada, la respuesta suele depender de esos detalles.

Las tres preguntas sobre el consentimiento que dan forma a casi todo

Cuando las personas plantean inquietudes sobre la privacidad de 23andMe o inquietudes sobre otras empresas de pruebas, el núcleo del problema generalmente recae en tres categorías de consentimiento: investigación, intercambio y retención.

El consentimiento para la investigación es fundamental, ya que las empresas de genética de consumo suelen basarse en datos agregados para sus colaboraciones en investigaciones científicas y comerciales. Por ejemplo, 23andMe ha declarado públicamente que una gran parte de sus clientes optaron por participar en su programa de investigación. Centro de medios de 23andMe

El consentimiento para compartir datos es el segundo componente, y es más amplio de lo que la mayoría de la gente cree. Puede incluir compartir con socios de investigación, proveedores de servicios y, en ocasiones, la integración con otras herramientas o plataformas. Muchas empresas también revelan que pueden responder a solicitudes legales de gobiernos o fuerzas del orden, o que ciertos usos pueden estar permitidos o exigidos por ley. Si desea comprender el intercambio de datos de pruebas de ADN , no se limite a una página de marketing. Busque el lenguaje específico sobre "terceros", "proveedores de servicios", "afiliados" y "cambio de control".

El consentimiento de retención es el tercer punto: cuánto tiempo conserva la empresa su muestra y datos, si puede solicitar su destrucción y qué ocurre con las copias de seguridad, los archivos y los conjuntos de datos derivados. Incluso cuando se ofrece la eliminación, las políticas suelen explicar que cierta información puede conservarse por motivos legales, de prevención del fraude o operativos, y que los datos desidentificados o agregados podrían no ser recuperables de la forma imaginada.

¿Qué sucede cuando una empresa se vende, se adquiere o se declara en quiebra?

Este es el momento en que la "propiedad" se convierte en una cuestión real. En muchas transacciones corporativas, las bases de datos son activos. Un comprador puede adquirir equipos físicos, patentes e información de clientes como parte de un acuerdo. Esta realidad es una de las razones por las que los juristas y los defensores de la privacidad se han preocupado por lo que sucede cuando las bases de datos genéticas de consumidores forman parte de un proceso de venta.

El proceso de quiebra y venta de 23andMe se convirtió en un ejemplo público de esa ansiedad. Reuters informó que Regeneron anunció un acuerdo para adquirir 23andMe mediante una subasta de quiebra, enfatizando el uso ético y los compromisos de privacidad, mientras que legisladores y observadores expresaron su preocupación por el destino de los datos genéticos sensibles.

En casos de quiebra, los tribunales a veces designan a un defensor del consumidor para evaluar el tratamiento de los datos personales durante una venta. Esta supervisión puede ser importante, pero no equivale a que usted controle el resultado. Una entrevista de Harvard Gazette sobre el caso de 23andMe enfatizó que, dado que los datos genéticos de venta directa al consumidor a menudo quedan fuera de la HIPAA, los consumidores pueden tener una influencia limitada sobre lo que sucede si una empresa es absorbida o sus activos se venden. Harvard Gazette

Otro riesgo en estas transiciones es la desviación de políticas. Una empresa puede prometer continuidad, pero las políticas de privacidad pueden actualizarse, y la reestructuración corporativa puede cambiar los incentivos. La Comisión Federal de Comercio (FTC) también ha dejado claro que los cambios retroactivos en las políticas de privacidad y las promesas engañosas de eliminación pueden dar lugar a la aplicación de la ley. En una acción judicial de 2023 que involucraba a la empresa de pruebas genéticas 1Health.io, la FTC alegó, entre otras cosas, engaño sobre la eliminación y cambios retroactivos injustos en las políticas de privacidad sin la debida notificación ni consentimiento. Comisión Federal de Comercio

Nada de esto significa que el uso de pruebas de ADN para consumidores sea inherentemente inseguro. Significa que, si se desea un control duradero, es necesario planificar el cambio corporativo como una posibilidad normal, no como un caso excepcional.

Preguntas prácticas sobre privacidad que debes hacer antes de realizar la prueba

Cuando las familias desean una forma clara de evaluar a una empresa de pruebas, el mejor enfoque es tratarla como cualquier otra relación de datos de alto riesgo: preguntar qué se recopila, qué se comparte, qué se conserva y qué se puede revocar. Si intenta comprender los derechos de privacidad del ADN en lenguaje cotidiano, estas preguntas suelen revelar la verdadera naturaleza de la relación:

• ¿Qué se almacenará exactamente: muestra, datos sin procesar, informes o todo lo anterior?
• ¿La participación en una investigación es voluntaria y puedo retirarme más tarde?
• ¿La empresa comparte datos con socios y tiene controles separados para los diferentes tipos de uso compartido?
• ¿Qué pasa con sus datos si la empresa se vende, se fusiona o entra en quiebra?
• ¿Puede enviar una solicitud de eliminación de datos de ADN ? ¿Eso incluye la destrucción de la muestra?
• ¿Explican cómo se aplica la eliminación a copias de seguridad, archivos y conjuntos de datos anónimos?
• ¿Tienen un historial de transparencia sobre incidentes de seguridad y cambios de políticas?

Si las respuestas son vagas, también es una respuesta. Las políticas vagas son donde el "consentimiento" puede convertirse silenciosamente en algo que no habrías aceptado si el lenguaje fuera claro.

Qué hacer si ya te hiciste la prueba y estás reconsiderándolo

Si ya tiene resultados y se siente incómodo, el objetivo es recuperar el máximo control que la plataforma le permita. Comience por descargar los datos que desee conservar, ya que la eliminación puede ser irreversible. Luego, revise su configuración de participación en investigaciones, preferencias de uso compartido y estado de la cuenta. La alerta al consumidor del fiscal general de California durante el proceso de quiebra de 23andMe destacó específicamente la eliminación, la destrucción de muestras y la revocación del consentimiento según la ley de California. Incluso si no se encuentra en California, esa alerta es un ejemplo útil de los tipos de control que pueden tener algunos consumidores. Departamento de Justicia de California

También es recomendable tratar su cuenta de pruebas genéticas como una cuenta de gran valor: use una contraseña única, active todas las funciones de seguridad disponibles y esté atento a las notificaciones de infracciones. Si le preocupa no solo la privacidad, sino también la estabilidad emocional de su familia, considere tener una conversación tranquila y explícita sobre qué desea que se haga con los datos en caso de fallecimiento inesperado. Esa sola conversación puede evitar conflictos posteriores.

¿Por qué esto pertenece a la planificación del final de la vida y la preparación familiar?

Para los lectores de Funeral.com, este tema no es abstracto. Tras un fallecimiento, las familias suelen descubrir que los "datos" forman parte del patrimonio, incluso cuando nadie ha usado esa palabra. Las familias cierran cuentas bancarias, gestionan suscripciones y conmemoran sus perfiles en redes sociales. El mismo marco se aplica a las cuentas genéticas: acceso, autoridad, consentimiento y cierre.

Si busca un punto de partida práctico, la guía de Funeral.com para la planificación del legado digital puede ayudarle a pensar en contraseñas, acceso a cuentas y cómo dejar instrucciones claras sin poner en riesgo la seguridad. Y si se encarga de la logística tras una pérdida, "Cuentas Digitales Tras un Fallecimiento" explica por qué muchas plataformas exigen un comprobante de fallecimiento y una prueba de autoridad, como la documentación del albacea, cuando las familias solicitan la eliminación o el acceso. "Notificar a los Bancos Tras un Fallecimiento " es otro recordatorio de que la "autoridad" suele ser un documento, no solo una relación.

También existe una intersección especialmente delicada entre la genética y la planificación funeraria cuando una muerte es inesperada o médicamente incierta. Las familias a veces consideran la preservación del material genético para futuras respuestas que podrían proteger a sus familiares vivos. La guía de Funeral.com sobre el almacenamiento de ADN después del fallecimiento explica la importancia de la recolección temprana y cómo las decisiones de disposición, como la cremación, pueden afectar las opciones posteriores.

En otras palabras, la pregunta no es solo quién posee tus datos de ADN mientras estás vivo. También es qué quieres que suceda con ellos cuando ya no estés aquí para tomar las decisiones. Las familias que planifican esto reducen la posibilidad de decisiones apresuradas, malentendidos o decisiones irreversibles tomadas bajo presión.

Una forma tranquila de pensar en el control

Si busca un modelo mental único, piense en capas. Su mayor control suele existir antes de la prueba, cuando puede decidir si participa o no y en qué empresa confiar. Su siguiente mejor control reside en su configuración: consentimiento para la investigación, preferencias de uso compartido y seguridad. Su tercer nivel de control es legal: lo que su estado le permite acceder, eliminar o revocar, y lo que debe divulgarse. Y el último nivel es la preparación: dejar instrucciones para que su familia sepa lo que desea y para que su albacea no tenga que adivinar.

Los datos genéticos son poderosos y pueden ser significativos. También pueden ser sensibles de maneras que no se manifiestan hasta años después, especialmente cuando cambian los incentivos de una empresa. Si considera la legislación sobre privacidad genética como un panorama cambiante y sus decisiones de consentimiento como algo que puede revisar, estará mucho más cerca del control real de lo que sugiere la palabra "propiedad".