I. Glenn Cohen, de la Facultad de Derecho de Harvard, explica el panorama legal que rodea a los datos genéticos, las razones para más leyes de protección al consumidor y los pasos que deben seguir los consumidores para proteger sus datos personales y genéticos.
Un experto en políticas de derecho sanitario afirma que el futuro incierto de una empresa de biotecnología muestra la necesidad de proteger la información genética personal.
Un reciente papel publicado en el New England Journal of Medicine pide regulaciones para proteger los datos personales y genéticos de los clientes’ a la luz del futuro incierto de la empresa de biotecnología 23andMe.
La empresa de pruebas genéticas se hizo muy popular después de su lanzamiento en 2007, con millones de clientes enviando muestras de saliva para su análisis y conocer su ascendencia y composición genética.
La empresa fue valorada en 6.000 millones de dólares, o 17,65 dólares por acción, poco después de salir a bolsa en 2021. Desde entonces, ha caído a alrededor de 48 millones de dólares, o 1,78 dólares por acción, después de una violación de datos en 2023 y la renuncia de algunos miembros de la junta. La firma dijo en enero que está explorando “alternativas estratégicas”, incluida la venta de la empresa o los activos, la reestructuración o la combinación de negocios, entre otras opciones.
En esta conversación editada, I. Glenn Cohen, uno de los autores del artículo y director de la facultad del Centro Petrie-Flom En la Facultad de Derecho de Harvard, explica el panorama legal que rodea a los datos genéticos, las razones para más leyes de protección al consumidor y los pasos que deben seguir los consumidores para proteger sus datos personales y genéticos.
Si 23andMe se declarara en quiebra, ¿qué podría pasar con los datos genéticos de 14 millones de personas que posee la empresa?
Como 23andMe enfrenta importantes dificultades financieras y podría comprarse directamente o declararse en quiebra y vender sus activos, toda la información genética y de salud proporcionada por las personas es un activo valioso para la empresa. Muchas personas han utilizado servicios como 23andMe, Ancestry.com y otros, que son empresas de pruebas genéticas directas al consumidor, para responder preguntas sobre su ascendencia o su código genético.
Pero al responder estas preguntas por sí mismos, también han contribuido a estas enormes bases de datos genéticas. Nuestra preocupación es que puedan terminar en manos de alguien que no sea 23andMe, de una manera que muchas personas que le han dado su información a 23andMe nunca contemplaron y podrían oponerse.
¿Cuáles son los posibles escenarios de caso y cuáles son sus preocupaciones?
Uno de ellos trata sobre la seguridad de los datos. Vimos que 23andMe en sí fue objeto de una violación masiva de datos en 2023, y si la empresa que se hace cargo de los datos carece de una buena seguridad de datos, existe la posibilidad de una violación.
Curiosamente, hubo un tiempo en que el Pentágono le decía al personal militar que no usara estos kits de ADN para uso doméstico porque le preocupaba la seguridad nacional. Una preocupación más cotidiana es que su información genética pueda estar disponible para otros y es posible que usted pueda ser reidentificado.
Para darte un ejemplo de a estudiar varios años Hace tiempo, varios investigadores utilizaron datos genéticos para intentar identificar, a través de lo que se denomina tecnología y enfoque de estudios de asociación del genoma completo (GWAS), qué partes del genoma estaban asociadas con ser gay. Es comprensible que muchas personas que habían proporcionado su información genética estuvieran molestas ante la idea de que este pudiera ser un posible uso de su información.
Entonces, si bien los clientes han tomado la decisión de compartir con 23andMe, de quien obtienen muchos beneficios, en realidad tienen muy poco que decir sobre lo que sucederá si la empresa es adquirida o si la empresa quiebra y sus activos se venden.
¿Las regulaciones federales de privacidad sanitaria ofrecen protección de la privacidad a los consumidores?
La Ley de Responsabilidad de Portabilidad del Seguro Médico (HIPAA) es la ley que, entre otras cosas, cuando usted habla con su médico, crea reglas sobre lo que se puede compartir bajo qué contexto.
El problema es que la definición de HIPAA de entidades y socios comerciales cubiertos significa que cuando usted ha proporcionado información, incluidos sus datos genéticos, no a un sistema hospitalario, no a un médico, sino a una empresa de venta directa al consumidor como 23andMe, usted no está cubierto por HIPAA. La ley lo trata esencialmente como un consumidor, no como un paciente.
Ahora bien, hay otras leyes federales que te cubren un poco. La Ley de No Discriminación por Información Genética impide a las aseguradoras de salud, pero también a los empleadores, utilizar la información genética de una manera discriminatoria. Entonces, ese tipo de ley seguirá aplicándose, pero las leyes de privacidad de la salud a nivel federal no se aplicarán directamente cuando se trata de una empresa privada como 23andMe.
¿Qué pasa con las protecciones de privacidad que 23andMe ofrece a los consumidores?
Deberíamos decir desde el principio que pide a sus consumidores su consentimiento para utilizar sus datos con fines de investigación. Existe la opción de no dar su consentimiento, aunque aproximadamente el 80 por ciento de los consumidores lo han dado.
Los acuerdos de consumo tienen una declaración de privacidad que dice que todos los clientes estadounidenses tienen ciertos derechos, como el derecho a optar por no almacenar muestras de saliva y el derecho a solicitar la eliminación de su cuenta. También dice que no comparte información a nivel individual, sobre enfermedades o genotipos, ni desidentifica información voluntariamente con compañías de seguros, empleadores, bases de datos públicas o agencias policiales sin una citación.
Pero la empresa comparte información personal con proveedores de servicios y contratistas para análisis de muestras, marketing y análisis. Además, la declaración de privacidad se reserva el derecho de la empresa de transferir información personal de los clientes’ en caso de venta o quiebra, y los clientes no pueden proteger sus datos para que no se acceda a ellos, se vendan o se transfieran como parte de esa transacción.
¿Pueden las leyes de quiebra ofrecer algunas garantías a los consumidores de 23andMe?
Una de las coautoras del artículo, Melissa Jacoby, es una estudiosa del derecho de quiebras. Mi especialidad es el derecho sanitario, pero haré todo lo posible para explicarlo. Muchas empresas que poseían información confidencial se declararon en quiebra y, durante esa quiebra, vendieron datos de consumidores a un tercero.
La ley de quiebras ofrece algunas protecciones. La quiebra en sí es un proceso público. Hay atención del público y, a veces, los reguladores, como la [Comisión Federal de Comercio] o los fiscales generales estatales, pueden involucrarse en casos y tratar de iniciar procedimientos de quiebra. Un tribunal federal supervisa una quiebra y la de Estados Unidos Trustee Program, una agencia dentro del Departamento de Justicia, a veces también puede involucrarse.
En algunos casos, la ley de quiebras había requerido que un defensor de la privacidad del consumidor investigara una venta y determinara si se ajustaba a las declaraciones de privacidad de la empresa en quiebra, así como a la ley.
Éstas son algunas protecciones, pero no son perfectas. Una cosa que queremos destacar es que cuando la mayoría de las personas han dado su información genética, nunca han pensado en ello, y sólo queremos que la gente le preste atención.
¿Cuáles son sus recomendaciones de políticas para proteger los datos personales y genéticos de los consumidores’?
Estados Unidos tiene una ley federal de privacidad sanitaria que está un poco desactualizada en comparación con nuestros países pares en Europa. Una solución a este problema sería tener una protección más general de la privacidad de los datos que cubriera todos los datos personales, incluidos los datos genéticos, y que se aplicaría también en casos de quiebra.
Ha habido muchos intentos de lograr que el Congreso actualice exhaustivamente la ley federal de privacidad, incluidas las leyes de privacidad de la salud. Realmente no lo han logrado. Así que no estamos conteniendo la respiración.Un enfoque más específico podría ser pensar en ampliar el alcance de la ley HIPAA para cubrir empresas como 23andMe, o potencialmente ampliar lo que cubre la Ley de No Discriminación de Información Genética, en términos de discriminación e información genética. Las nuevas regulaciones también podrían abordar los casos en que se produce la superposición de una empresa que tiene información genética y quiebra. Eso es lo que nos gustaría ver. No estoy seguro de si sucederá.
¿Qué podrían hacer los consumidores mientras tanto?
De ahora en adelante, pensaría en estas cosas mientras decides si vale la pena correr los riesgos del tipo de información que obtendrás de una empresa directa al consumidor como 23andMe.
Además, cuando se te da el derecho a elegir no dar tu consentimiento para compartir datos, creo que vale la pena pensar en eso. Y si esto es algo que te preocupa, este podría ser el momento de entrar y eliminar esa información en tu cuenta, aunque no sea una solución perfecta.
Hay muchas razones por las que las personas sienten curiosidad por su ascendencia o información genética. Mi esperanza es que esta experiencia también pueda hacer que las empresas sean más sensibles a la privacidad. Me encantaría ver un espacio donde la gente pueda tener su pastel y comérselo también, para obtener la información que quiere sin sentir que esa información podría ponerlos en riesgo si hay una quiebra y cosas así.
