La Agencia Española de Protección de Datos (AEPD) ha iniciado una investigación de la empresa estadounidense 23andMe, conocida por sus servicios de análisis genético. La compañía atraviesa una situación financiera complicada y ha sido objeto de rumores de venta, lo que ha encendido las alarmas sobre el destino de los datos genéticos de sus 15 millones de usuarios, generando inquietud sobre el posible uso comercial de estos datos en función del perfil del comprador.
La investigación de la AEPD se centra en cómo gestiona 23andMe los datos genéticos recopilados y en la posibilidad de que estos se compartan con terceros. Es un tema delicado, dada la cantidad de información personal que se extrae de los datos genéticos, que abarca no solo aspectos de análisis de salud individual, sino también predisposiciones a enfermedades y rasgos hereditarios.
Este asunto adquiere especial relevancia bajo el prisma del Reglamento General de Protección de Datos (RGPD), el cual establece el marco legal para la protección de datos personales, incluyendo una atención particular a las categorías especiales de datos, entre las que se encuentran los datos genéticos.
El Reglamento establece la obligación del responsable del tratamiento de proporcionar al interesado información clara y concisa sobre el tratamiento de sus datos, la cual debe incluir los fines del tratamiento, la base legal, los destinatarios de los datos y los derechos del interesado. En nuestro caso concreto, la AEPD investiga si 23andMe cumple con estas obligaciones de transparencia.
Por otro lado, preocupa que la compañía sea vendida a un tercero, como una aseguradora, no siendo válido el consentimiento original dado por los usuarios a 23andMe para el tratamiento por parte de esta, pues el RGPD exige que el consentimiento sea específico para la finalidad del tratamiento. Por lo tanto, sería necesario un nuevo consentimiento explícito por parte de los usuarios en caso de que esto sucediera.
Además, la transferencia de estos datos implicaría, no obstante, un cambio en la finalidad del tratamiento, ya que pasarían de utilizarse para obtener información sobre la ascendencia y predisposición a ciertas enfermedades, a ser empleados para calcular primas y evaluar riesgos, entre otros propósitos, por ejemplo, si la adquisición se realizase por una empresa aseguradora.
Por tanto, ante la posibilidad de que los datos genéticos de los usuarios de 23andMe sea compartida con terceros, debe garantizarse el cumplimiento de la normativa europea de protección de los datos personales, especialmente cuando se trata de categorías sensibles de datos, como son los genéticos.
