Datos genéticos sin protección

La venta ilegal de información biológica revela la fragilidad de la regulación actual

Un tubo para muestras de la empresa 23andMe.Cayce Clifford (Bloomberg)

La protección de los datos personales ha alcanzado una notable sofisticación legal en los últimos años. En Europa y en otras regiones, las empresas y entidades que utilizan información sobre los ciudadanos están obligadas a presentar una justificación legal para usarlos, a limitar su recolección a un propósito concreto, a mantenerlos en servidores seguros y a destruirlos después. Luego están los otros datos,...

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte

La protección de los datos personales ha alcanzado una notable sofisticación legal en los últimos años. En Europa y en otras regiones, las empresas y entidades que utilizan información sobre los ciudadanos están obligadas a presentar una justificación legal para usarlos, a limitar su recolección a un propósito concreto, a mantenerlos en servidores seguros y a destruirlos después. Luego están los otros datos, los genéticos, mal protegidos por esas regulaciones. Ya hay más de 30 millones de personas en el mundo que han aportado muestras de saliva o sangre a compañías que secuencian tramos de su ADN y venden al usuario las conclusiones: como el origen de sus ancestros o su riesgo de enfermedades y condiciones neurológicas. Son datos sensibles que no se custodian de forma adecuada.

El caso que ha publicado este diario ilustra bien el mayor fallo de seguridad conocido hasta ahora en este terreno. En septiembre pasado, un grupo de piratas informáticos se infiltró en las bases de datos de 23andMe, una de las mayores firmas del sector, y robó los perfiles genéticos de cuatro millones de personas. Por alguna razón, eligieron a los clientes con ascendencia china y judía askenazí. Los datos salieron a la venta en la deep web, el lado oscuro de internet, quizá buscando compradores entre las aseguradoras. Conocer las propensiones genéticas de un posible cliente puede resultar útil antes de firmarle una póliza. Que los hackers se centraran en chinos y judíos plantea hipótesis aún más sombrías.

En cualquier caso, la brecha de seguridad de 23andMe revela que la protección de los datos genéticos es precaria. Los 30 millones de personas que han subido sus perfiles genéticos a internet, sobre todo en Estados Unidos, pueden parecer poca cosa en comparación con la población general, pero la cifra no solo crece deprisa, sino que resulta engañosamente humilde. La razón es que las webs de genealogía contienen millones de relaciones familiares. No hace falta secuenciar el ADN de todo el mundo, porque cualquier muestra genética sirve para tirar del hilo hasta descifrar el ovillo. Las policías occidentales han resuelto así muchos casos en los últimos años. En un país como España, con 46 millones de habitantes, se estima que el ADN de un millón de personas bastaría para identificar a cualquier ciudadano con la ayuda de las webs genealógicas.

Estos datos son valiosos para la medicina: ayudan al diagnóstico y al tratamiento de enfermedades. Los investigadores los utilizan anonimizados, pero las webs genealógicas diluyen esa medida. Y el ADN utilizado en una investigación no puede destruirse, sería una mala práctica científica. Si las normas de protección de datos y la reciente ley europea de inteligencia artificial han llegado tras procesos largos y difíciles, la regulación de los datos genéticos puede ser aún más complicada. Conviene ponerse en marcha.

Más información

Archivado En