Las pruebas de ascendencia genética y la protección de datos personales

Las pruebas de ascendencia genética y la protección de datos personales

 

¿Qué son las pruebas de ascendencia genética?

 

Los estudios de ascendencia genética, también conocidos como test de ancestralidad o test de ADN de orígenes, ofrecen a las personas información sobre su ascendencia a partir de un análisis genético.

 

A partir de una muestra generalmente de saliva se extrae información genética que pasa a compararse con la información genética de otros clientes que hayan pagado por el mismo servicio a la misma empresa, y así establecen las similitudes y las diferencias que permiten realizar un mapa étnico. Estas pruebas dicen cómo se parece tu ADN al de otras personas, aunque según los expertos y genetistas, no puede decirse que trace una herencia genética en sí. Los datos genéticos facilitados por los usuarios quedan almacenados en la base genética de las empresas que prestan estos servicios.

 

Se trata en definitiva de estudios de entretenimiento, o de ocio, cuya utilidad clínica no queda clara.

 

¿Cómo se regulan los datos genéticos en el Reglamento General de Protección de Datos?

 

Para prestar estos servicios las empresas deben “recabar” una muestra, “extraer” la información genética, “compararla”, y luego, “conservarla”. Algunas de estas empresas además “ceden” o comparten esta información con terceros. Todas las anteriores (recogida, extracción, comparación, conservación…) son operaciones de tratamiento de datos personales.

 

Los datos genéticos son considerados categorías especiales de datos, por la especial relevancia que tienen para la privacidad de las personas.

 

El RGPD en su art. 9 establece una prohibición general de tratamiento de datos genéticos que identifiquen a personas de manera inequívoca: “Quedan prohibidos el tratamiento de datos personales que revelen datos genéticos dirigidos a identificar de manera unívoca a una persona física”.

 

Esta prohibición puede ser levantada si se dan una serie de requisitos, que serían las excepciones a esa prohibición. La primera de estas excepciones es el consentimiento, y nos referimos al consentimiento de protección de datos, que es independiente del consentimiento desde el punto de vista clínico. El consentimiento es la base que legitima el uso de información genética para este tipo de tratamiento de datos.

 

Otras bases de legitimación podrían aplicar al tratamiento de datos de salud o genéticos, como pueden ser el cumplimiento de obligaciones legales, la protección de intereses vitales, las razones de interés público, los fines médicos, los fines de investigación etc. Sin embargo, cuando hablamos de test de ancestralidad genética el consentimiento parece ser la base adecuada.

 

En consecuencia, los datos genéticos recogidos con el fin de conocer el origen y ascendencia de las personas se deben recoger con autorización de dichas personas.

¿Qué requisitos debe cumplir el consentimiento para considerarse válido?

No todo vale, cualquier consentimiento no es válido. El consentimiento para tratar datos considerados categorías especiales debe cumplir unos requisitos para entenderse como válido.

Debe ser una manifestación de la voluntad expresa, informada y libre. La mera contratación del servicio de teste de ascendencia no constituye un consentimiento en sí, sino que debe existir una información previa al usuario, y una manifestación afirmativa de éste, por ejemplo, mediante un: “Sí, acepto”. A su vez esta aceptación debe ser específica por finalidad, es decir, que, si la empresa desea utilizar los datos genéticos para diversos fines, debe requerir el consentimiento para cada uno de estos fines.

 

La información que acompaña al consentimiento debe ser clara, sencilla de comprender. Un consentimiento redactado con un lenguaje muy jurídico, un texto demasiado extenso con errores de traducción o incluso en otro idioma, podría no considerarse válido por dificultar la comprensión del usuario del servicio.

Este consentimiento además debería advertir sobre los riesgos que comprende el hecho de facilitar la información genética y su conservación.

¿Cuáles son los riesgos de facilitar la información genética? 

Dar a conocer los riesgos no es exhortar a las personas a que no colaboren con las investigaciones clínicas, o a que dejen de usar radicalmente estos servicios que determinan la ascendencia genética. De hecho, entendemos que las bases de datos genéticas pueden ser extremadamente útiles si se utilizan con fines lícitos y éticos, especialmente en el ámbito de la medicina y la investigación clínica, pero el usuario debe conocer los riesgos que la comunicación de su información de salud puede comprender. Las personas que participan voluntariamente en estos estudios, incluso pagando por un servicio, y tienen derecho a saber qué puede pasar con sus datos.

Las empresas que ofrecen servicios de determinación de la ascendencia genética lo hacen, generalmente, con fines lucrativos, y cobran una suma de dinero por este servicio. Este estudio, a la vez que satisface la curiosidad del usuario, permite a las empresas obtener una información que posee un alto valor en el mercado, ya que la información adquirida enriquece la base de datos genética de la compañía. Salvo excepciones esta información genética no se suele utilizar para fines de utilidad clínica. Además, se han conocido casos de empresas que han vendido su base de datos genética por varios millones de euros a laboratorios que investigan enfermedades o fabrican medicamentos. Esto también podría suponer un choque para el usuario que facilitó sus datos genéticos pagando por un estudio de ancestralidad, ya que quizás no fue informado de la posibilidad de que sus datos fueran vendidos a terceros por millones de euros sin compensación alguna al titular del dato.

El riesgo de que esta información genética pueda ser hackeada nunca se reduce a cero. Aun y cuando se empleen medidas de seguridad tecnológicas para proteger los datos la seguridad 100% garantizada no existe.

Los usuarios deben entender que su información genética pasa a formar parte de una base de datos de ADN que permitirá comparar los datos de otros con los suyos propios.  Algunas empresas permiten un mayor control de los datos estableciendo niveles de autorización, que es importante entender y evaluar antes de habilitar cada consentimiento.

El ADN no identifica solamente al usuario, sino que podría ofrecer información sobre personas de su entorno, por ejemplo, sus familiares. Los usuarios muchas veces no son conscientes de que al facilitar su muestra pueden estar facilitando información genética de sus propios familiares.

Se han conocido casos de empresas americanas que han compartido esta base de datos con el FBI. Existe la preocupación de que estas bases de datos terminen convirtiéndose en una base de consulta por las fuerzas y cuerpos de seguridad inclusive para delitos menores.

La normativa europea es restrictiva y protectora, pero muchas de estas empresas no son europeas, desconociéndose en muchos casos por el usuario el nivel de protección y las garantías que ofrecen. Por ejemplo, de las empresas más famosas en cuanto a test de ascendencia genética a fecha de este artículo, MyHeritage está ubicada en Israel, otras, en EEUU. Los usuarios deben saber que su información genética queda almacenada en estos países.

Es clave que los usuarios lean detenidamente las cláusulas de consentimiento, si las hubiera. Que sean críticos con estos textos y que desconfíen si no son claros, transparentes. No debe facilitarse una información tan sensible a una empresa que no genere confianza, o que ni siquiera solicite el consentimiento.

Los resultados de estos estudios son inesperados. Un usuario, por ejemplo, puede reencontrarse con familiares como padres hermanos que no conocía. En algún caso pueden suponer buenas noticias, en otros, decepciones. Si has participado en este estudio y obtenido tu informe hace años, aun puedes recibir noticias si se encuentran coincidencias entre tus genes y los de otras personas que contraten los mismos servicios.

Conocidos estos riesgos los usuarios deben valorar si les merece la pena facilitar su información genética para satisfacer una curiosidad que ni siquiera es exacta, persiguiendo exclusivamente fines de ocio y entrenamiento.

¿Qué recomendamos a los usuarios de estos servicios? 

• Que elijan laboratorios, de ser posible acreditados por ENAC y que soliciten ayuda a expertos genetistas para la interpretación de los resultados cuando estos sean relevantes para su salud o su vida privada.

• Que lean con atención las cláusulas de consentimiento que aceptan, y se cuestionen lo que no entiendan o no esté claro.

• Que analicen los riesgos antes de participar en los estudios, y que solo hagan si les compensa asumir dichos riesgos a cambio de satisfacer su curiosidad.

• No debe olvidarse que lo que inicialmente puede parecer un divertido regalo de cumpleaños puede tener consecuencias para la privacidad de un colectivo de individuos que ignoran estos riesgos.

 

¿Qué recomendamos a las empresas que ofrecen los estudios de ascendencia genética?

• Recabar asesoramiento especializado en esta materia, designar a un delegado de protección de datos, de ser posible Certificado de acuerdo con el esquema nacional de la AEPD en caso de ser empresas españolas.

• Reforzar la transparencia, teniendo en cuenta el tipo de cliente al que se dirigen y su nivel de información. Redactar cláusulas de consentimiento sencillas, concisas pero claras.

• Aplicar la minimización del dato, y siempre que sea posible, anonimizarlo de manera que este proceso sea irreversible, es decir que no pueda volver a identificarse la persona a la que pertenece la información.

• Limitar el uso del dato a lo autorizado por el cliente absteniéndose de ceder esta información a terceros.

• Permitir un mayor control de los datos al usuario estableciendo niveles de autorización. Por ejemplo, solicitando un consentimiento para el uso de la información a fin de emitir el informe, otros consentimientos para la comparativa posterior de sus datos con los de otras personas, otro consentimiento para establecer los llamados Matches, etc.

• Implantar estrictas medidas de seguridad para proteger la información de posibles accesos no autorizados y fundamentalmente de la ciberdelincuencia dada el gran valor que posee esta información para el cibercrimen.