En la era de las pruebas genéticas, ¿cómo se protegerá la información confidencial?

Ancestry, 23andMe y otras populares compañías que ofrecen pruebas genéticas se comprometieron a ser sinceras a la hora de compartir los datos de ADN de los usuarios con investigadores, policías u otras compañías, una medida destinada a abordar las crecientes preocupaciones de privacidad de los consumidores.

Según las nuevas directrices, las compañías dijeron que obtendrían el "consentimiento expreso por separado" de los usuarios antes de entregar su información genética individual a empresas y otros terceros, incluidas las aseguradoras. También dijeron que revelarían el número de solicitudes de cumplimiento de la ley que reciben cada año.

Los nuevos compromisos se producen aproximadamente tres meses después de que los investigadores locales utilizaran un servicio de comparación de ADN para localizar a un hombre que se cree que es el asesino del Golden State, que supuestamente violó y asesinó a docenas de mujeres en California en los años setenta y ochenta. Los investigadores identificaron al sospechoso utilizando una muestra de ADN de hace décadas obtenida de la escena del crimen, la cual cargaron a GEDmatch, una base de datos de aproximadamente un millón de conjuntos de ADN distintos compartidos por voluntarios.

Los investigadores indicaron que no necesitaban una orden judicial antes de usar GEDmatch, lo que generó nuevos temores de que los datos biológicos de los usuarios sean de muy fácil acceso y que puedan terminar en manos equivocadas, sin una regulación adicional sobre el rápido crecimiento y popularidad de la industria.

Sin embargo, el cumplimiento de las reglas es voluntario. Si bien la política ofrece a los usuarios de sitios participantes agregar nuevas protecciones en un momento de gran "incertidumbre", no tiene fuerza de ley, según advirtió Justin Brookman, director de política de privacidad y tecnología al consumidor en Consumers Union.

"En general, creo que debería haber requisitos de transparencia más estrictos y reglas legalmente vinculantes para todos en torno a la transparencia y el uso de datos súper confidenciales como estos", añadió.

Jules Polonetsky, líder de Future of Privacy Forum, una organización sin fines de lucro con base en Washington DC que ayudó a las compañías a redactar las nuevas pautas de privacidad, alegó que el trabajo de su organización comenzó meses antes del incidente del asesino del Golden State. Pero argumentó que espera que el plan pueda servir como un "primer esfuerzo para mostrar al sector cuál es la forma correcta de manejar algunos de estos desafíos".

"No creo que el consumidor promedio haya abordado la gama de problemas en los que debería pensar cuando toman la decisión de compartir los datos de ADN", agregó Polonetsky.

Los servicios de pruebas de ADN al consumidor han ganado popularidad en los últimos años: un informe de la firma de investigación Kalorama Information estima que el mercado podría triplicarse en valor de USD 99 millones a USD 310 millones para el 2022.

El crecimientio fue impulsado por el gobierno federal, que recientemente abrió la puerta a 23andMe para vender a los consumidores pruebas genéticas que podrían usarse para informarles de su posible riesgo de contraer ciertas enfermedades. Y la industria ha sido sobrecargada con nuevas inversiones en medio del gran interés de académicos y fabricantes de medicamentos que esperan aprovechar las bases de datos de ADN en busca de nuevos conocimientos y curas.

Hace unos días, 23andMe anunció que había llegado a un acuerdo de investigación con GlaxoSmithKline, para una inversión de USD 300 millones del gigante farmacéutico en la compañía de genómica. Como parte de ese pacto, GlaxoSmithKline puede acceder a datos genéticos "desidentificados" sobre los usuarios de 23andMe, siempre y cuando hayan dado su consentimiento previo, para que la empresa pueda "obtener información y descubrir nuevos objetivos farmacológicos que impulsen la progresión de la enfermeadad", según abogó la compañía.

Bajo las "mejores prácticas" adoptadas por 23andMe y otras empresas del mismo sector, se permite dicho intercambio. GlaxoSmithKline "no recibe ningún acceso directo ni recibe ningún tipo de información individual del cliente", apostilló Kate Black, responsable de privacidad global de 23andMe. Así pues solo tenía acceso a información con amplios segmentos de usuarios y sus características médicas. La compañía de análisis de ADN también afirmó que previamente había pedido permiso a los usuarios para participar en la investigación, y estima que el 80 por ciento de sus usuarios acepta participar en dichos estudios.

Otras compañías como Helix, MyHeritage, Habit, African Ancestry y FamilyTreeDNA, se comprometieron a adoptar un enfoque similar, según anunció el Foro sobre la Privacidad en el Futuro.

Los clientes de estos servicios de pruebas de ADN obtendrían algunos derechos limitados para eliminar sus datos biológicos, pero es posible que no puedan retirar los datos que ya estaban siendo utilizados por los investigadores. Las empresas, mientras tanto, deberían asegurarse de que la persona que envía los datos de ADN es la propietaria real de esos datos.

"Como que la privacidad es un tema candente y los consumidores están preocupados por la privacidad, esto es el equivalente a la presión social", comentó Elissa Levin, que lidera los servicios clínicos y de políticas en Helix, una compañía que conecta a los consumidores con aplicaciones que analizan datos del genoma. "Creo que realmente será una oportunidad para comenzar a tener una verdadera claridad y transparencia entre los buenos jugadores y los no tan buenos".

Sin embargo, los usuarios aún pueden no saberlo todo. Bajo las reglas de la industria, los servicios de pruebas de ADN no tienen que decir a sus consumidores cada vez que sus datos han sido despojados de su identidad, combinados con la información genética de otros para convertirlos en estadísticos y, tal vez, compartidos con un tercero para un análisis posterior.

Y aunque las compañías han dicho que reportarán cada año las solicitudes de cumplimiento de la ley que reciben, es posible que los usuarios no conozcan las demandas legales. Empresas como Ancestry y 23andMe se han comprometido a "intentar notificar" a sus clientes sobre tales solicitudes siempre que puedan. Además, la herramienta utilizada por los investigadores en el caso del asesino del Golden State, GEDmatch, es una base de datos de código abierto que no está cubierta por las mejores prácticas de la industria.

Aquellos que prometen proteger los datos personales confidenciales de los consumidores, y luego no cumplen con esas promesas, podrían ser sancionados por la Comisión Federal de Comercio (FTC por sus siglas en inglés).

"La FTC se mantiene vigilante para proteger la privacidad y seguridad de los consumidores. Si las empresas no cumplen sus promesas con los consumidores podrían estar sujeros a la aplicación de la ley de la FTC", apuntó la portavoz Juliana Gruenwald Henderson.

Algunas compañías ya se adhieren a algunas de las nuevas reglas hechas por la industria. Ancestry y 23andMe, por ejemplo, actualmente informan a los usuarios de las solicitudes de cumplimento de la ley que reciben. En 2017, Ancestry recibió 34 solicitudes, todas relacionadas con robo de identidad o tarjetas de crédito, y proporcionó datos en 31 casos. En 23andMe, la compañía recibió cinco solicitudes este año pero no entregó datos de usuarios en ninguna de ellas.