Kits de prueba de ADN: ¿Cuáles son los riesgos de privacidad?

Una colaboración de Debra Ross
Los kits comerciales de pruebas de ADN se están volviendo cada vez más populares, pero ¿cuáles son los riesgos de privacidad involucrados? Exploramos quién puede acceder a su información de ADN y las posibles consecuencias inesperadas de las pruebas de ADN.
VICTORIA MCINTOSH TECNÓLOGA CERTIFICADA EN PRIVACIDAD 

Privacidad de las pruebas de ADN

¿Alguna vez te has preguntado qué te hace? ¿Reflexionaste sobre cómo llegaste a ser y con quién compartes genes? Hay una nueva opción para encontrar respuestas, y todo lo que necesita es una gota de saliva.

No debería sorprender que las pruebas comerciales de ADN estén ganando popularidad. La genealogía en sí misma es, después de todo, una práctica antigua: los miembros de la familia real del Reino Unido, por ejemplo, pueden rastrear su ascendencia hasta Enrique VII . Ahora, con las pruebas comerciales de ADN, los mapas genealógicos son muy accesibles. Tu ADN es un mapa que contiene los rasgos de cada persona que te precedió. Con el análisis correcto, las pruebas de ADN también pueden desbloquear datos sobre problemas de salud o predisposiciones.

Pero si estás considerando una prueba, no tan rápido. Resulta que el conocimiento tiene un precio, uno con consecuencias potencialmente duraderas. Tu ADN puede exponer secretos, incluso aquellos que no son tuyos, y ponerte en riesgo de maneras que no se anuncian. Existen enormes preocupaciones de privacidad con las pruebas comerciales de ADN, comenzando con lo que usted acepta en la letra pequeña.

¿Quién es el propietario de los datos? 

Su saliva puede pertenecerle, pero ¿el código desentrañado, en forma digital? Eso es diferente. Para probar sus genes, los servicios comerciales de ADN solicitan los derechos sobre su información. Estos detalles se encuentran con frecuencia dentro de los términos de servicio y pueden ser muy desconcertantes. AncestryDNA, por ejemplo, afirma que «no reclama ningún derecho de propiedad sobre el ADN enviado para la prueba», sin embargo:

“Al enviar ADN a AncestryDNA, usted le otorga a AncestryDNA y a las Compañías del Grupo Ancestry una licencia libre de regalías, mundial, sublicenciable y transferible para alojar, transferir, procesar, analizar, distribuir y comunicar su Información genética con el fin de proporcionarle productos y servicios, llevar a cabo la investigación y el desarrollo de productos de Ancestry, mejorar la experiencia del usuario de Ancestry y crear y ofrecer productos y servicios personalizados”. 

Otros proveedores incluyen declaraciones similares en sus términos. 23andMe, por ejemplo, incluye una ‘Renuncia a los derechos de propiedad’ sobre el ADN enviado.

Si bien las empresas obtienen el consentimiento antes de utilizar el ADN para la investigación, es posible que los usuarios no se den cuenta de que tienen otra opción. Judy Russell, The Legal Genealogis t , señala que las opciones a menudo no son claras. Los formularios de consentimiento son ejemplos frecuentes de mal diseño. Como resultado, los usuarios pueden sentir que es necesario dar su consentimiento para que la investigación se someta a pruebas. Como sugiere Russell en su blog:

“Entonces, cuando AncestryDNA dice que muchos cientos de miles de sus más de 1 millón de personas que tomaron la prueba aceptaron participar en el estudio de investigación, no creo ni por un minuto que más que una pequeña fracción supiera que (a) no tienen que estar de acuerdo y (b) si estuvieron de acuerdo, estaban de acuerdo en revelar hasta el último ápice y tilde de su historia familiar”.

Cuando HIPAA y otras regulaciones de privacidad de salud no se aplican

Dado que el ADN es información de salud, muchos usuarios pueden esperar que los datos estén protegidos por la legislación de privacidad. HIPAA, por ejemplo, es la conocida legislación de privacidad de la salud en los Estados Unidos y en Canadá existen leyes de privacidad de la salud en la mayoría de las provincias. Si un médico solicita pruebas genéticas, la ley impone salvaguardias y limitaciones de uso.

Sin embargo, HIPAA solo se aplica a la información genética cuando está bajo la autoridad de «proveedores de atención médica». Los hospitales, las clínicas individuales y los consultorios médicos privados deben respetar las prácticas de privacidad de HIPAA, al igual que las aseguradoras. Otras empresas privadas no lo hacen, a menos que estén prestando un servicio para una entidad de atención médica de HIPAA. Para dar un ejemplo claro, una empresa que proporciona tecnología de rayos X para hospitales normalmente cumple con HIPAA. Esto se debe a que los clientes de sus hospitales son responsables de las prácticas de privacidad de los socios comerciales. Sin embargo, HIPAA no se aplica si la compañía de rayos X nunca trabaja con proveedores de atención médica.

Las empresas, incluidas AncestryDNA y 23andMe, no son proveedores de atención médica. Mientras sus laboratorios estén secuenciando ADN con fines e intereses comerciales, HIPAA no se aplica. Como dice Peter Pitts, escribiendo para Forbes , «La Ley de Portabilidad se aprobó cuando las pruebas genéticas eran solo un sueño lejano en el horizonte de la medicina personalizada». Esto plantea la pregunta, ahora que las pruebas genéticas pueden ser comunes, ¿debería ampliarse la legislación para incluir organizaciones o laboratorios que procesan información genética incluso si no están afiliados a proveedores de atención médica?

¿Qué pasa con otras leyes, como el RGPD?

Para las personas fuera de los Estados Unidos, la ley puede ofrecer más protección. En Canadá, las empresas privadas están sujetas a PIPEDA, que incluye limitaciones de recopilación, uso y divulgación. La información de salud también puede estar bajo la jurisdicción de las leyes provinciales de información de salud. La Ley de información de salud personal de Ontario, por ejemplo, incluye » laboratorios o centros de recolección de muestras » como custodios de la atención médica. Esto impone restricciones sobre cómo se pueden usar los datos sin consentimiento; en particular, los datos no pueden divulgarse fuera de la provincia de Ontario sin consentimiento, o a menos que sea con fines de planificación de la atención médica.

En Europa, el Reglamento General de Protección de Datos se aplica a todas las organizaciones que procesan información personal. La información genética se menciona explícitamente en la ley, en el artículo 9 , ‘Procesamiento de categorías especiales de datos personales’. Las empresas comerciales de pruebas de ADN que incluyen el procesamiento de datos genéticos europeos son conscientes de la ley y pueden aplicar niveles más altos de protección a los sujetos de datos europeos. El sitio web de 23andMe incluye una página específica para ilustrar el cumplimiento del RGPD.

Consecuencias inesperadas: cuando tu ADN afecta tu seguro

¿Estás predispuesto a ciertas condiciones? ¿Su ADN sugiere problemas de salud a medida que envejece? En los Estados Unidos, su compañía de seguros quiere saber… y en algunos casos, puede que ya tenga acceso a la información.

La Ley de No Discriminación por Información Genética (GINA, por sus siglas en inglés) impide que las aseguradoras de salud usen información de ADN para discriminar, pero la ley no se aplica a los seguros de vida. Christina Farr de Fast Company informa que los clientes se enfrentan a la denegación de cobertura sobre información de ADN, como por ejemplo, tener una predisposición genética al cáncer de mama.

También existe la cuestión de si los usuarios tienen una opción antes de entregar los datos. En 2017, la Cámara de Representantes propuso HR 1313, la Ley de Programas de Bienestar para Empleados. Esta ley permitiría a los empleadores solicitar pruebas genéticas a los empleados y familias si desean estar cubiertos por el seguro médico de la empresa. Iain Thomson de The Register escribe que si bien las pruebas no serían obligatorias, “aquellos que se nieguen podrían ver cómo sus costos de salud aumentan hasta en un 50 por ciento… La legislación propuesta evitaría las protecciones [GINA]”. Afortunadamente, a partir de 2019, el acto parece haber sido retirado, con el estado de “Murió en un Congreso anterior”, según Govtrack.us .

¿Tus padres son quienes dicen ser? 

Todos lo hemos visto antes en películas y telenovelas: un personaje descubre que uno de sus padres no tiene parentesco consanguíneo. Las pruebas de paternidad no son nuevas; se ha utilizado para probar la paternidad durante más de dos décadas y resolver disputas. Las empresas comerciales de secuenciación de ADN, sin embargo, ofrecen un nuevo giro. Con una prueba de paternidad, la relación entre padre e hijo ya está en entredicho. Los resultados de las pruebas comerciales de ADN, por el contrario, pueden sorprender. Como resultado de la prueba, las familias ven cuando no hay coincidencia genética entre padre e hijo. Según los detalles de la base de datos, las pruebas también pueden proporcionar datos sobre padres potenciales. Si el padre y el hijo están en la misma base de datos, se puede descubrir la coincidencia. Como recordatorio de las posibles consecuencias, 23and me incluye una advertencia en sus Términos de servicio. “Una vez que obtienes tu Información Genética, el conocimiento es irrevocable .”

Tu privacidad vs. la privacidad de tu familia

La capacidad del ADN para exponer a los padres genéticos plantea serios problemas éticos y violaciones inesperadas de la privacidad sin consentimiento. Hasta la fecha, las agencias de adopción pueden estar obligadas por ley a no divulgar información identificable a pedido de los padres. Las leyes de privacidad de la adopción son un tema candente desde hace mucho tiempo.

¿Quién tiene más derecho a reclamar: el derecho del adoptado a conocer su filiación o el derecho de los padres a proteger su propia privacidad? Con las pruebas de ADN, es posible que los padres no tengan la opción de exponer su información. Si el niño se hace una prueba de ADN, una vez que tenga información sobre su propio ADN, puede compararla con diferentes bases de datos para encontrar una coincidencia. En algunos casos, esto es anunciado por genealogistas, como la publicación de blog de Amie Tennant de FamilySearch titulada » Conectando con su familia biológica a través de pruebas de ADN «.

¿Qué pasa con la privacidad de otros miembros de la familia? ¿Cuánto de su ADN cuenta una historia sobre otras relaciones? Cuando entregamos nuestro ADN a empresas de pruebas comerciales, podemos exponer a miembros de la familia sin su consentimiento. Un estudio de la revista Science titulado » Inferencia de identidad de datos genómicos mediante búsquedas familiares de largo alcance» revela la verdad: el 60 % de los estadounidenses de ascendencia europea pueden coincidir con sus primos terceros o parientes más cercanos. Brian Resnick, que informa para Vox , estima que ese número aumentará a medida que la tecnología mejore y más personas entreguen sus datos a las empresas de ADN. ¿Cuáles son las consecuencias de las conexiones familiares?

Ya tenemos un ejemplo: en California, la participación de una persona en una base de datos de pruebas de ADN condujo al arresto de su familiar.

Uso de pruebas comerciales de ADN para atrapar a un asesino 

En abril de 2018, el FBI en California realizó un arresto en un caso sin resolver durante décadas: el Golden State Killer. La noticia rompió titulares, sensacionalista por el arresto y cómo se encontró al sospechoso. Para encontrar al Golden State Killer, los investigadores probaron una nueva táctica. Tomaron evidencia de ADN forense anterior y la compararon con una plataforma comercial de ADN, GEDMatch El sospechoso no había subido su ADN… pero un pariente de Oregón sí. De repente, las autoridades tuvieron una nueva pista. Al tomar la coincidencia de ADN de Oregón y ubicar a los parientes en un árbol genealógico, podrían reducir el grupo de sospechosos, hasta reducirlo lo suficiente como para realizar un arresto.

La aplicación de la ley que usa ADN para resolver crímenes no es una tendencia nueva. El uso de pruebas de ADN ha sido aceptable desde 1988, el primer caso exitoso de pruebas de ADN dentro de un juicio por asesinato. Sin embargo, los llamados para que la policía acceda a las bases de datos comerciales de ADN están generando alarmas. En el pasado, la evidencia de ADN era el último clavo en el ataúd. En 1988, la policía confirmó la culpabilidad de un acusado cuando el ADN de la víctima coincidía con una mancha de sangre en su camiseta. Con el Golden State Killer, los investigadores no usaron ADN para confirmar la prueba. En cambio, se convirtió en una nueva pista de búsqueda.

Más acceso de las fuerzas del orden público en aumento

El acceso a las pruebas de ADN por parte de las fuerzas del orden es una preocupación creciente. ¿Cuánto acceso a los resultados de las pruebas de ADN deben tener la policía y los investigadores? En enero de 2019, la ira pública aumentó cuando FamilyTreeDNA permitió al FBI acceder a su investigación. Escribiendo para el Miami Herald , Monique Madan anota 23 y Me responde a las solicitudes legales caso por caso.

Ancestry DNA también sigue las solicitudes legales legítimas, incluidas las de órdenes judiciales o citaciones. Estas solicitudes van en aumento.

En noviembre de 2019, los tribunales permitieron que un detective en Florida garantizara el acceso para buscar en los servidores completos de GEDMatch. Estableció un precedente desconcertante: si se pueden obtener órdenes judiciales, es probable que otras agencias utilicen órdenes judiciales para eludir las políticas de privacidad de las empresas de pruebas de ADN. Hablando con Science News , Erin Murphy de la Universidad de Nueva York comenta que la capacidad de obtener una orden judicial es un gran cambio de juego. “ Es una señal de que ninguna información genética puede estar segura ”.

Otros, sin embargo, son más escépticos. También hablando con Science News , la abogada y bioética Kayte Spector-Bagdady sugiere que no será tan simple. A diferencia de las empresas que realizan un análisis de la salvia, GEDMatch completa su base de datos al permitir que los usuarios carguen sus datos sin procesar, de forma gratuita, desde otros servicios. La orden no se aplicaría a las empresas que realizan análisis de consumidores privados directos al consumidor, y si se otorga una orden para la búsqueda policial de bases de datos como 23andMe, la empresa tiene derecho a apelar. Si las empresas sienten que la privacidad del usuario está en juego, “ todavía tienen derecho a impugnar las órdenes judiciales ”.

Eso es suponiendo, sin embargo, que la empresa requiere una orden judicial para empezar. Antes de mayo de 2019, las fuerzas del orden podían acceder a los perfiles de GED Match de forma predeterminada, y así fue como la policía pudo usar la herramienta para encontrar al Golden State Killer. Pronto, es posible que los usuarios vean regresar esos días: en diciembre de 2019, la firma de pruebas forenses Verogen compró GEDMatch . Como Verogen se especializa en ayudar a la policía, el acceso futuro de las fuerzas del orden es un hecho.

¿Por qué la aplicación de la ley del ADN es un problema?

A medida que crece el acceso de las fuerzas del orden, los científicos y los defensores de los derechos civiles tienen preocupaciones. Los investigadores, por ejemplo, temen que menos personas estén dispuestas a compartir su ADN para investigaciones de salud por temor a terminar en una base de datos policial. Existen diferencias significativas entre los datos genéticos en manos de médicos y en manos de agencias legales. La Dra. Caitlin Curtis de la Universidad de Queensland en Australia plantea la pregunta:

“Puede ser aceptable recibir una puntuación de riesgo genético para la salud de un médico, pero ¿queremos que las fuerzas del orden público predigan la salud mental de los sospechosos o que esa información se considere en los tribunales?”.

Otros, incluido Russel , preguntan si entregar ADN a la policía viola la Cuarta Enmienda, que prohíbe «registros e incautaciones irrazonables». Al revisar casos anteriores de uso policial de pruebas de ADN, queda claro que el método no es infalible. Matthew Sheer, escribiendo para The Atlantic , demuestra varias formas en las que el ADN puede hacerlo bien… o hacerlo mal. Al comentar el artículo de Sheer, Erin Murph, de la Universidad de Nueva York, lo expresa claramente: “ el hecho de que estemos avanzando no significa que no se sigan cometiendo errores ”.

ADN en la dark web: los hackers también quieren entrar

Incluso si una empresa planifica la mejor política de privacidad, ¿será capaz de mantenerla? La policía no es la única que quiere tu ADN: es un objetivo valioso para los piratas informáticos. Las violaciones de datos son una pesadilla común para los equipos de seguridad, ya les está sucediendo a los repositorios de ADN. En 2018, el sitio de pruebas de ADN MyHeritage sufrió una violación de 92 millones de nombres de usuario y contraseñas. Desde entonces, la compañía agregó autenticación de dos factores para los inicios de sesión para aumentar la seguridad, pero su truco no será el último. Un año después, en noviembre de 2019, los atacantes obtuvieron una gran cantidad de datos de Veritas Genetics . Para aquellos cuyo ADN ahora está en la dark web, las opciones son limitadas.

¿Por qué querrían los hackers tu ADN? Matt Jancer con Men’s Journal ofrece la realidad del cibercrimen. Los piratas informáticos pueden vender ADN a cambio de un rescate, amenazando con revelar condiciones médicas o secretos familiares a las personas equivocadas. Son datos valiosos, y cualquier depósito de datos valiosos está en riesgo. Peor aún, hay una gran diferencia entre una lista de contraseñas robadas y una base de datos de secuencias de ADN. Para empezar, su ADN no se puede restablecer ni cambiar: una vez que está en la web oscura, está fuera para siempre.

La punta del iceberg  

La triste realidad es que solo estamos comenzando a comprender lo que se puede hacer con nuestro ADN. Los horrores tecnológicos ya se están volviendo reales. Adrian Potoroaca de Techspot revela que en China los científicos están combinando el ADN con un software de dibujo para generar modelos aproximados del rostro de una persona. La técnica, llamada fenotipado de ADN, permite a los científicos identificar visualmente a los individuos sin fotografías. Más escalofriante es para qué se utilizan los datos. Según Mark Munsterhjelm, de la Universidad de Windsor, Ontario, “ la tecnología se usa para cazar personas ”.

Otras prácticas siniestras no son difíciles de visualizar. Por ejemplo, ¿podría aplicarse el ADN robado para piratear sistemas de seguridad biométricos? No parece ser demasiado descabellado, con investigadores como Tsutomu Matsumoto eludiendo los sistemas que utilizan la impresión 3D y los ositos de goma. Cuando se trata de pruebas comerciales de ADN, los clientes deben comprender que la diversión conlleva riesgos. Una vez que se analiza su ADN, puede usarse para mucho más que encontrar parientes perdidos. David Gewirtz de ZNet lo dice mejor: “ Tu ADN es, fundamentalmente, el código fuente para… ti. 

DNA testing kits: What are the privacy risks?

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.