El caso polémico de 23andMe ofrece una valiosa lección sobre la importancia de la privacidad y las normativas de protección de datos, especialmente en la Unión Europea.
Redactado por Abigail Sked
Paralegal
23andMe, fundada en 2006, ha popularizado las pruebas genéticas directas al consumidor. Con una base de usuarios en todo el mundo, incluidos países europeos donde las normativas de privacidad son particularmente estrictas, la compañía ofrece información sobre ascendencia y salud mediante muestras de saliva. Inicialmente, enfrentó críticas por problemas de privacidad, pero también recibió elogios, como el reconocimiento de Time Magazine en 2008 por su servicio de genomas personales. A lo largo de los años, ha bajado el precio de sus pruebas y expandido su base de usuarios, mientras establecía colaboraciones para investigaciones genéticas. Sin embargo, las preocupaciones sobre el uso de datos y problemas financieros recientes han afectado su reputación y estabilidad.
En 2023, la empresa sufrió una violación masiva de datos, comprometiendo la información de carácter personal de más de 6.9 millones de usuarios, lo que generó preocupaciones sobre la privacidad de los datos genéticos. Los datos robados incluían información como nombres, vínculos entre personas y, en algunos casos, fechas de nacimiento, ubicaciones, fotografías, direcciones y el porcentaje de ADN compartido con parientes. A raíz de esto, enfrentó múltiples demandas y recientemente acordó pagar 30 millones de dólares en un acuerdo colectivo. En el último año, el Consejo de Administración de 23andMe ha dimitido, el valor de mercado de la empresa ha sufrido una importante caída y los comentarios de su fundadora, Anne Wojcicki, sobre su disposición a considerar propuestas de adquisición por parte de terceros han causado inquietud entre los usuarios sobre el destino de sus datos de carácter personal, lo cual agrava la incertidumbre sobre la viabilidad futura de la empresa.
Estos problemas resaltan los desafíos en la protección de datos personales sensibles, y en este artículo vamos a analizar cómo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) pueden guiar a las empresas españolas en su actuación ante problemas como los que se ha enfrentado 23andMe. Entonces, ¿Qué podemos aprender de este caso?
1. El RGPD puede aplicarse a empresas de fuera de la UE
El RGPD se aplica a todas las empresas que realicen actividades de tratamiento de datos personales de personas que residan en la Unión Europea, independientemente de la ubicación de la empresa. Afecta a empresas dentro y fuera de la UE que ofrezcan bienes o servicios en la UE o monitoreen a personas en la UE y, como tales, deben cumplir las obligaciones del RGPD y permitir que los interesados ejerzan sus derechos en virtud del RGPD.
¿QUÉ ES EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) Y CÓMO ME AFECTA?
2. Los datos genéticos se consideran datos personales especialmente sensibles
El RGPD clasifica como categorías especiales de datos ciertos tipos de datos personales, debido a su potencial para afectar gravemente la privacidad y seguridad de las personas si son mal utilizados. Estos datos requieren una protección adicional y solo pueden ser tratados bajo circunstancias estrictas. Los tipos de datos sensibles incluyen:
- Datos de origen étnico o racial
- Opiniones políticas
- Creencias religiosas o filosóficas
- Pertenencia a sindicatos
- Datos genéticos
- Datos biométricos (cuando se utilizan para identificar de manera única a una persona, como huellas dactilares o reconocimiento facial)
- Datos de salud (información sobre el estado físico o mental de una persona)
- Datos sobre la vida sexual o la orientación sexual
El RGPD permite el tratamiento de datos personales de estas categorías solo bajo ciertas condiciones, como el consentimiento explícito del individuo, o cuando es necesario por razones de interés público o en el ámbito de la medicina, el empleo, o la seguridad pública.
¿VENDERÍAS UN ESCANEO DE TU IRIS POR CRIPTOMONEDA?
3. En caso de violación de datos, es posible que la ley le obligue a informar sobre dicha violación a las personas que se hayan visto afectadas
Bajo el RGPD, la notificación de una brecha de seguridad es obligatoria en ciertos casos, tanto a la autoridad de control de protección de datos (en España, la Agencia Española de Protección de Datos) como a los afectados. Las circunstancias son las siguientes:
-
Notificación a la autoridad de control:
- Es obligatorio comunicar la brecha a la autoridad de protección de datos dentro de las 72 horas posteriores a su detección si existe un riesgo para los derechos y libertades de las personas afectadas.
- Si la notificación no se realiza dentro de las 72 horas, debe incluirse una justificación del retraso.
- Esta notificación debe incluir información sobre la naturaleza de la brecha, el tipo y cantidad de datos afectados, y las medidas adoptadas para contener y gestionar la brecha.
-
Comunicación a los interesados (personas afectadas):
- Es obligatoria cuando la brecha de seguridad supone un alto riesgo para los derechos y libertades de los individuos afectados.
- La comunicación debe realizarse sin demora indebida y de manera comprensible, explicando el tipo de brecha, las posibles consecuencias, las medidas adoptadas o propuestas, y los datos de contacto.
- No es necesario notificar a los interesados si la empresa ha tomado medidas efectivas para proteger los datos (por ejemplo, mediante cifrado), si ya ha mitigado el riesgo, o si la notificación individual requeriría esfuerzos desproporcionados (en este caso se debe hacer una notificación pública).
4. Es increíblemente importante no utilizar la misma contraseña para varios sitios web
No usar la misma contraseña para varios sitios web es importante porque reduce el riesgo de que un solo fallo de seguridad exponga varias de tus cuentas. Además, emplear medidas de seguridad, como la autenticación en dos pasos, es crucial para proteger los datos personales.
Cómo crear contraseñas seguras
Para una contraseña segura, sigue estos consejos:
- Longitud: Usa contraseñas largas, de al menos 12 a 16 caracteres.
- Variedad de caracteres: Mezcla letras mayúsculas y minúsculas, números y caracteres especiales (como %, &, #).
- Evita palabras comunes y patrones: No uses combinaciones predecibles como "12345," "contraseña," o información personal como fechas de nacimiento o nombres.
- Usa un generador de contraseñas: Los gestores de contraseñas pueden generar contraseñas aleatorias y seguras, además de almacenarlas de manera segura.
- Frases únicas: Si prefieres crearla tú, puedes usar una combinación de palabras al azar que sea fácil de recordar para ti, pero difícil de adivinar, como "PerroPatoSol56!".
En Conesa Legal usamos un software específico para gestionar las contraseñas individuales y compartidas por equipos. Contacta con nosotros para que te recomendemos a nuestro proveedor en Cyberseguridad:
5. Adquirir una empresa no significa que uno pueda hacer lo que quiera con los datos personales que esa empresa ha recopilado
Imagina que tu empresa se encuentra en dificultades y tienes que plantearte venderla. ¿Qué podrá hacer la nueva empresa con los datos personales que tu empresa ha recopilado?
Consideremos el Artículo 21 de la Ley Orgánica 3/2018, que regula el tratamiento de datos en operaciones mercantiles.
Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.
- Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
- En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.
La nueva entidad podría utilizar los datos personales de tus clientes, pero debería cumplir con la normativa vigente sobre protección de datos. La continuidad del tratamiento de estos datos solo sería posible si se garantizara la protección de los derechos de los titulares, y si el nuevo tratamiento fuera compatible con los fines originales para los cuales se recopilaron los datos y también necesario para dichos fines.
La base jurídica más común en estos casos es el interés legítimo (artículo 6.1.f del RGPD). La empresa adquirente tiene un interés legítimo en continuar el tratamiento de los datos de los clientes para dar continuidad al negocio. La empresa debe asegurarse de que este interés no prevalezca sobre los derechos y libertades de los titulares de los datos mediante un análisis de equilibrio (balancing test).
Los clientes deberían ser notificados del cambio en el responsable del tratamiento y de los detalles de la nueva empresa. Esto incluiría actualizar la política de privacidad y proporcionar información sobre los derechos que pueden ejercer, como el derecho de acceso, rectificación, supresión, y oposición. La empresa adquirente debe estar preparada para responder a solicitudes de los clientes para eliminar sus datos si estos ya no quieren que la nueva empresa los tenga.
Resumen
El caso de 23andMe destaca la importancia de cumplir con la normativa de protección de datos, especialmente el RGPD y la LOPDGDD en España, al gestionar información personal sensible. La violación de datos sufrida por la empresa subraya los riesgos de seguridad en el tratamiento de datos personales y la responsabilidad de las empresas en proteger datos personales, incluso en situaciones de adquisición o reestructuración. Las empresas deben mantener una transparencia continua sobre el uso de los datos, implementar medidas de seguridad robustas y notificar brechas cuando proceda. Aprender de este caso puede ayudar a las empresas a evitar sanciones y a fortalecer la confianza de sus clientes en la protección de sus derechos de privacidad.
Te asesoramos en protección de datos
En CONESA LEGAL, estamos aquí para ayudarte a proteger tu empresa y garantizar el cumplimiento de la normativa de protección de datos. Si deseas asesoramiento personalizado para implementar el RGPD y la LOPDGDD en tu organización y evitar riesgos legales, no dudes en ponerte en contacto con nosotros. Tu tranquilidad y la seguridad de tus datos son nuestra prioridad.