27 Estados demandan a 23andMe para bloquear la venta de datos genéticos tras la filtración de 2023

27 Estados demandan a 23andMe para bloquear la venta de datos genéticos tras la filtración de 2023

Veintisiete estados y el Distrito de Columbia han presentado una demanda contra 23andMe para impedir que la empresa de pruebas de ADN en quiebra venda los datos genéticos de sus clientes. La demanda, presentada ante un tribunal de quiebras, se centra en una filtración ocurrida en 2023 que expuso información de salud sensible de casi 7 millones de personas, y sostiene que 23andMe engañó a los consumidores sobre la gravedad de ese incidente. Está en juego la información genética de aproximadamente 15 millones de clientes que nunca consintieron que sus datos biológicos más íntimos fueran subastados al mejor postor.

Este caso no es solo una historia de negligencia corporativa. Plantea una pregunta más dura e incómoda para los consumidores preocupados por la privacidad: ¿qué sucede cuando el riesgo para la privacidad no es una contraseña, una dirección IP o un correo electrónico, sino tu propio ADN?

Lo que realmente alega la demanda

La coalición de fiscales generales argumenta en dos frentes principales. Primero, que 23andMe no protegió adecuadamente los datos de los usuarios antes y durante la filtración de 2023, dejando a millones de clientes expuestos a daños que no podían anticipar. Segundo, que la empresa restó importancia al alcance del incidente, engañando a los clientes que de otro modo podrían haber tomado medidas para protegerse o solicitar la eliminación de sus datos.

Ahora que 23andMe se ha declarado en quiebra, la preocupación es que los datos genéticos recopilados bajo un conjunto de promesas puedan transferirse a un nuevo propietario que opere bajo políticas completamente diferentes. Los clientes que originalmente dieron su consentimiento para compartir su ADN para investigaciones de ascendencia o información de salud podrían encontrar esos datos absorbidos por un tercero desconocido sin obligación de respetar los términos de servicio originales.

Varios estados ya cuentan con leyes que abordan específicamente este escenario. Florida, por ejemplo, prohíbe la venta de datos genéticos sin el consentimiento expreso del cliente, respaldada por sanciones penales y multas. Pero no todos los estados tienen esas protecciones, razón por la cual se hizo necesaria una demanda coordinada entre múltiples estados.

Por qué tus herramientas de privacidad no pueden proteger los datos genéticos

Esta es la parte de la historia que la mayoría de la cobertura de privacidad digital pasa por alto. Las VPN, las aplicaciones de mensajería encriptada, los navegadores privados y herramientas similares son efectivos para proteger una categoría de datos: la información que transmites o generas digitalmente. Pueden proteger tu dirección IP, tu historial de navegación y tus comunicaciones contra la interceptación.

Pero no pueden hacer nada con los datos que ya has entregado voluntariamente en forma física. Cuando envías una muestra de saliva a una empresa de pruebas de ADN, no se aplica ninguna protección de privacidad a nivel de red. Los datos se recopilan, procesan y almacenan en los servidores de la empresa. A partir de ese momento, tu privacidad depende enteramente de las prácticas de seguridad de la empresa, sus obligaciones contractuales y las protecciones legales disponibles en tu jurisdicción.

Esta distinción importa porque cambia la naturaleza del riesgo. Con la mayoría de las amenazas a la privacidad digital, los usuarios tienen un control continuo. Puedes dejar de usar un servicio, borrar tus datos o cambiarte a una alternativa más privada. Con los datos genéticos, la información es inmutable. Tu ADN no se puede cambiar, restablecer ni revocar. Una vez que se filtra o se vende, la exposición es permanente.

Lo que esto significa para ti

Si eres cliente de 23andMe, la demanda significa que actualmente hay un esfuerzo legal activo para evitar que tus datos se vendan sin tu consentimiento. Sin embargo, los procedimientos legales llevan tiempo, y los resultados nunca están garantizados en un tribunal de quiebras, donde los intereses de los acreedores a menudo compiten directamente con las protecciones al consumidor.

Hay medidas concretas que vale la pena tomar ahora. Primero, verifica si ya has enviado una solicitud de eliminación de datos a 23andMe. La empresa ha ofrecido históricamente esta opción, y aunque el proceso de quiebra complica las cosas, enviar una solicitud formal de eliminación crea un registro documentado de tu intención. Segundo, revisa los acuerdos de consentimiento que firmaste al crear tu cuenta, ya que estos documentos pueden detallar tus derechos durante una transferencia corporativa.

Más allá de 23andMe específicamente, este caso es un buen incentivo para reflexionar de manera más amplia sobre la privacidad genética. Cualquier servicio que recopile datos biométricos o biológicos, ya sea con fines de salud, estado físico, ascendencia o investigación, posee información que queda fuera del alcance de las herramientas de privacidad convencionales. El marco legal que protege esos datos varía significativamente entre estados y aún está alcanzando a la tecnología.

Para quienes estén interesados en cómo está evolucionando la legislación de privacidad más amplia en Estados Unidos, la Ley Lofgren-Tillis ofrece una ventana útil sobre cómo los legisladores están pensando en los derechos de datos digitales y los límites de las protecciones existentes.

El panorama general sobre el riesgo de los intermediarios de datos

La situación de 23andMe también es un recordatorio de cómo operan los ecosistemas de intermediarios de datos. Incluso los datos recopilados con un fin benigno pueden terminar en manos de partes cuyas intenciones y prácticas son completamente desconocidas para el consumidor original. Las ventas por quiebra son una vía para que esto suceda. Las adquisiciones corporativas, los acuerdos de licencia de datos y las filtraciones de seguridad son otras.

Los datos genéticos se encuentran entre las categorías más sensibles de información personal que existen. Pueden revelar predisposiciones a enfermedades, relaciones familiares y herencia étnica. En las manos equivocadas, podrían ser utilizados por aseguradoras, empleadores o fuerzas del orden de maneras que los consumidores nunca anticiparon ni acordaron.

La demanda multiestatal contra 23andMe es un momento significativo para los derechos de privacidad genética en Estados Unidos. Independientemente de si logra bloquear la venta, ya ha demostrado que los fiscales generales estatales están dispuestos a coordinarse enérgicamente en temas de datos de los consumidores, y que los datos genéticos están siendo tratados cada vez más como una categoría que merece una protección legal reforzada.

Si tienes datos genéticos almacenados en alguna empresa de pruebas, ahora es el momento de revisar la configuración de tu cuenta, comprender tus derechos de eliminación y pensar cuidadosamente antes de enviar datos biológicos a cualquier servicio en el futuro. Ninguna VPN puede proteger tu ADN, pero las decisiones informadas antes de compartir datos son la herramienta de privacidad más poderosa disponible.