Montana da un empujón a la seguridad genética
Tabla de contenido:
Los estados de EE. UU. otorgan cada vez más a los consumidores más derechos de privacidad sobre su información digital, pero ¿qué pasa con sus datos biológicos? Su dirección de correo electrónico y número de teléfono son bastante confidenciales, pero palidecen en comparación con lo que hay en su ADN. La información genética permite a las personas inferir varias cosas sobre usted, desde su predisposición a múltiples enfermedades hasta si eres del tipo que busca emociones fuertes o no.
Menos de un cuarto de siglo después de que cartografiamos el genoma humano, las pruebas genéticas directas al consumidor (DTC) son una industria en crecimiento. Según YouGov, uno de cada cinco Los estadounidenses ya han enviado por correo su ADN para realizar pruebas. Más de la mitad de los encuestados de YouGov sintieron que la privacidad era una preocupación, pero, tentados por el atractivo de una nueva y emocionante tecnología, utilizan los servicios genéticos DTC de todos modos.
Estos temores sobre la privacidad genética están bien fundados. A diferencia de un número de teléfono, no puedes cambiar tus genes y, sin embargo, la privacidad de tu información genética en gran medida no está regulada. Ahora, gracias a los habitantes de Montana preocupados por la privacidad, eso está cambiando lentamente. El estado ha aprobado una ley llamada Ley de Privacidad de la Información Genética que impone reglas estrictas para la recopilación y el uso de datos genéticos.
La nueva ley interpreta los "datos genéticos" de manera amplia para incluir no cualquier ADN secuenciado sino también cualquier información fenotípica de esa secuenciación, que permite a las personas predecir el comportamiento y las características físicas. Más allá de eso, también incluye cualquier información autoinformada sobre condiciones de salud que una entidad utiliza para la investigación junto con esos datos de ADN.
A partir del 1 de octubre, cuando se promulgue la ley, cualquier organización que controle la información genética debe obtener el consentimiento del consumidor para transferirla, utilizarla y conservarla. El consumidor debe dar su consentimiento antes de transferir los datos a un tercero para su investigación.
¿Por qué necesitamos una ley genética?
Cuándo Consumer Reports Probó los conocidos servicios de genética de DTC y encontró que, en general, eran responsables de los datos de ADN de los clientes. No vendieron los datos genéticos a intermediarios de datos y exigieron que los clientes optaran por participar si querían que los datos se utilizaran para la investigación. Sin embargo, sin leyes apropiadas, esto depende principalmente de su autocontrol. El informe también señala que la "investigación" podría cubrir algunos casos de uso inesperados y no altruistas, incluido el desarrollo interno de productos, y que en muchos casos, también se podrían transmitir datos no relacionados con el ADN sobre un individuo, incluida información de salud.
La investigación de Consumer Reports no cubrió 1Health. En septiembre de 2023, la Comisión Federal de Comercio colocado con esta empresa de genética DTC, antes conocida como Vitagene, por maltratar los datos de los consumidores. La Comisión afirmó que la empresa cambió retroactivamente su política de privacidad sin informar a los clientes, ampliando el alcance de terceros a los que proporcionaría datos. La lista ampliada incluía cadenas de supermercados y fabricantes de suplementos nutricionales.
Según la denuncia de la FTC, 1Health/Vitagene tampoco logró desidentificar los datos de los clientes al almacenarlos sin la información de identidad que los acompañaba, como sus nombres. Según se informa, mantuvo los datos genéticos de algunos clientes junto con otra información de identificación, incluidos informes de salud y nombres parciales o completos. Algunos datos se almacenaron sin cifrar en la nube, según la Comisión dijo.
En cualquier caso, la información genética es especialmente difícil de anonimizar. Esta noción (que los datos pueden de alguna manera desinfectarse para evitar su uso para identificar a un paciente) es cuestionable. No basta con almacenar los datos sin ningún dato identificativo que los acompañe. El Instituto Nacional de Investigación del Genoma Humano del gobierno de EE. UU. advierte de la posibilidad de reidentificar a las personas a través de la información de su genoma. Esto es posible de varias maneras, incluida la referencia cruzada con otros tipos de bases de datos o la pertenencia a poblaciones identificables, como grupos étnicos.
Correspondía a la FTC apuntar a 1Health en su acuerdo de $75,000 porque la ley existente no regula los datos genéticos de manera integral. Por ejemplo, las empresas de pruebas genéticas DTC no están sujetas a la regulación federal de privacidad de datos médicos, HIPAA, que rige a los proveedores de salud o las aseguradoras. La Ley federal de no discriminación por información genética de 2008 (GINA) impide que las aseguradoras de salud o los empleadores obliguen a las personas a entregar sus datos genéticos o los utilicen para discriminarlas. Aún así, no cubre a los proveedores de servicios de genética DTC.
No basta con demandar a las empresas por prácticas engañosas en ausencia de leyes apropiadas de protección de la privacidad genética. En 2021, Justin Sherman, miembro y líder de investigación del Proyecto de Intermediación de Datos de la Escuela de Políticas Públicas de Sanford de la Universidad de Duke, instó al Comité de Finanzas del Senado controlar estrictamente la venta de datos genéticos a terceros.
Una historia de legislación consciente de la privacidad en Montana
Montana tiene un historial de promulgar leyes de privacidad innovadoras. En 2013, se convirtió el primer estado para obligar a la policía a obtener una orden judicial antes de recopilar información de ubicación de dispositivos electrónicos. También siguió a otros estados al introducir leyes generales de protección de la privacidad del consumidor con su Ley de Privacidad de Datos del Consumidor, aprobada en abril de 2023.
Montana tampoco es el único estado que aborda la privacidad genética. En 2021, Maryland se unió a la aprobación de una legislación que exige una orden judicial para la búsqueda de genealogía genética forense (FGGS). Este tipo de búsqueda en bases de datos genealógicos condujo a la captura del asesino del Golden Gate, Joseph James DeAngelo. La GIPA de Montana refuerza esa ley anti-dragnet al impedir que las empresas de pruebas genéticas DTC divulguen datos sin el consentimiento del consumidor o el debido proceso legal.
En octubre de 2021, California también pasado dos proyectos de ley directamente relacionados con la seguridad genética. La Ley de Privacidad Genética (SB 41) exigía que los clientes de pruebas genéticas directas al consumidor obtuvieran el consentimiento de los consumidores antes de recopilar, usar o divulgar sus datos genéticos. El segundo, AB 825, agregó datos genéticos a sus marcos de seguridad de datos y notificación de violaciones de datos.
¿Cuál será el efecto?
Las fuerzas del orden tienen una manera de eludir la legislación sobre privacidad, a menudo recurriendo a otros canales. La policía ha recurrido a comprar datos de ubicación de teléfonos móviles legalmente a intermediarios de datos, incluso cuando otros estados siguieron el ejemplo de Montana al imponer reglas de privacidad de datos de ubicación. Sin embargo, las leyes que restringen la venta de datos ascendentes en lugar de simplemente abordar los casos de uso de vigilancia descendentes hacen que, en primer lugar, sea más difícil obtener los datos de otra parte.
La GIPA de Montana no permite demandas privadas, pero permite al fiscal general del estado presentar casos contra los infractores, recuperando daños reales y legales. Esto no le da los dientes más afilados posibles, pero un fiscal general comprensivo aún podría darle un desagradable mordisco a las compañías de genética DTC que no respetan la privacidad del cliente. Al menos es un comienzo.
