Trabajo:Privacidad en datos genéticos

De FdIwiki ELP
Saltar a: navegación, buscar

Introducción

Desde hace unos años los test genéticos son omnipresentes. Se venden como la panacea: te permiten detectar enfermedades de forma precoz, encontrar a parientes lejanos que desconocías o incluso descubrir tus orígenes étnicos. Sin embargo, ¿qué es realmente lo que estamos comprando?

Ante el módico precio por el que se ofrecen, seguro que no te has parado a pensar en si los datos que te proporcionan son realmente útiles y fiables, qué uso puede hacer de ellos la empresa o si te podrían traer problemas en un futuro. Estos interrogantes son los que a nosotros nos gustaría despejar.

Objetivos

En este trabajo nos centraremos en:

  • Concienciar sobre la importancia de los datos genéticos
  • Explicar la legislación vigente y las protecciones que nos ofrece
  • Analizar las políticas de privacidad y términos de uso de las empresas dedicadas a realizar estos tests
  • Explorar los principales riesgos asociados a estos datos y servicios

Originalidad

Debido a que la recopilación de datos genéticos a gran escala es un fenómeno reciente que afecta mayoritariamente al mundo anglosajón, existe una falta de información en español sobre la importancia de este tipo de datos, los riesgos asociados a proporcionarlos y su situación a nivel legal. El potencial completo de este tipo de datos aún está por descubrir, así como el grado de riesgo que pueden llegar a comportar. Asimismo, también su situación legal es compleja debido a la existencia de casos límite en los marcos generales vigentes (RGPD en Europa) como la compartición de datos entre investigadores.

En cuanto a nuestras contribuciones a ToS;DR (explicadas más adelante), antes de nuestro trabajo tan solo estaban incluidos 2 de los 6 servicios, solo en uno de ellos había contribuciones y solamente tenía 6. Con las contribuciones aprobadas, lograremos aportar a la comunidad, facilitando comparar las garantías de privacidad entre proveedores de servicios de datos genéticos.

Desarrollo del trabajo

En primer lugar, pensamos en cuáles serían las mejores formas de llevar nuestra investigación al público. Por un lado, queríamos llegar a la mayor cantidad de gente posible. Por otro, queríamos construir algo de valor para satisfacer a aquellos que estuviesen realmente interesados en el tema. Por ello, decidimos dividir nuestro trabajo en dos pilares fundamentales:

  • Un artículo sobre el tema: para llegar al público general, vamos a publicar un artículo con información que responda a las preguntas planteadas en los objetivos, y que posteriormente publicaremos.
  • ToS;DR: es una página que resume los términos de uso y políticas de privacidad de diferentes servicios. En ella vamos a contribuir añadiendo información sobre las principales empresas del sector.

En términos generales, el trabajo se ha desarrollado a lo largo de las siguientes direcciones:

  • Una investigación acerca de las diversas compañías que ofrecen servicios relacionados con datos genéticos. Desde empresas que directamente venden tests a otras cuyo modelo de negocio se basa en extraer información o comparar resultados de dichos tests. Hemos analizado sus políticas de privacidad y términos de servicio.
  • Hemos revisado la legislación vigente en Europa (prestando particular atención a las directivas que afectan a toda la eurozona). También hemos analizado los riesgos y beneficios asociados al tratamiento de datos genéticos. En nuestra investigación, han jugado un papel importante los análisis desarrollados por la fundación PHG (organización asociada a la Universidad de Cambridge) sobre la situación de los datos genéticos en Europa, que incluye varios de los puntos que mencionamos en nuestro artículo.
  • Hemos buscado casos reales en los que hayan entrado en juego algunos de los riesgos encontrados, con propósitos ilustrativos pero también para cerciorarnos de que no se trata de posibilidades teóricas, sino de realidades que pueden ocurrir si no se toman precauciones.

Resultado

Artículo

El objetivo del artículo es recopilar la información más relevante de nuestra investigación, sintetizarla y explicarla de forma sencilla para el público general. Por ello, nos hemos centrado en lo concerniente a los tests genéticos, que es la parte más cercana a la población general. La organización del artículo se puede resumir en 3 grandes secciones

1. Aplicaciones de los datos genéticos, donde se explican las principales aplicaciones prácticas (medicina, tareas forenses, uso sociológico…).

2. Riesgos asociados a proporcionar datos genéticos, donde se exponen los potenciales problemas de este tipo de datos (su naturaleza vitalicia e identificativa, discriminación asociada a datos genéticos…), proporcionando además casos donde estos riesgos se han hecho realidad.

3. Medidas de protección para mitigar los riesgos, donde se incluyen tanto la legislación como las condiciones ofrecidas por las empresas en sus términos de usuario y las medidas técnicas como la criptografía.

Nuestro objetivo original era publicar el artículo en un medio generalista, para asegurarnos cierta visibilidad, feebdack por parte de la publicación, y posiblemente mayor confianza en nuestras conclusiones por parte de los lectores. Sin embargo, tras enviar el artículo a varias publicaciones y no recibir respuesta, nos vimos obligados a modificar nuestra estrategia.

Finalmente, el artículo ha sido publicado en LinkedIn, y puede leerse en este enlace. Nótese que no hace falta tener cuenta de LinkedIn o tener la sesión iniciada para poder leerlo. Como complemento al artículo, hemos publicado además una pequeña infografía que resume los contenidos, y que también ha sido publicada en LinkedIn:

Datos-geneticos-2020-infografia.jpg

ToS;DR

Nuestro objetivo es incluir información de los siguientes servicios: Ancestry, 23andMe, MyHeritage, FTDNA, tellmeGen y GEDmatch. Los 5 primeros son empresas dedicadas a la realización de tests genéticos, y la última es una base de datos genética pública.

De estos, solo estaban presentes en ToS;DR Ancestry y 23andMe. 23andMe no tenía ninguna información y Ancestry muy poca. Hemos realizado 10 contribuciones a estos dos servicios y todas han sido aprobadas:


Tosdr1.png
Tosdr2.png


Por otro lado, para los otros 4 servicios teníamos que pedir primero que se añadiesen a la página. De momento, hemos conseguido que se añada MyHeritage.

Myheritage1.png
Myheritage edition.png


Sin embargo, nos ha sido imposible añadir contribuciones para él. En estos momentos el crawler de documentos de ToS;DR se enfrenta a problemas técnicos y no se pueden hacer anotaciones en servicios añadidos recientemente:

https://forum.tosdr.org/t/crawling-errors-crawling-update/407

Cuando lo arreglen, intentaremos aportar contribuciones para todos estos servicios.

Impacto

Como hemos explicado antes, nuestras vías de impacto son, por un lado, concienciación del público general, y por otro lado facilitar información más específica a usuarios interesados.

Por ello, tenemos dos métricas principales:

  • Número de visualizaciones del artículo en LinkedIn.
  • Número de contribuciones a ToS;DR.

El artículo está en español, pero ToS;DR recibe la mayoría de sus visitas de países anglosajones. Por ello, podemos suponer que el público alcanzado por ambas vías tiene muy poco solapamiento, así que tiene sentido contar las dos métricas por separado, sin preocuparnos de estar contando "dos veces" el mismo impacto. Sin embargo, se trata de dos tipos de impacto bastante distintos.

El artículo tiene un ciclo de vida bastante efímero, es muy probable que tras una o dos semanas desde su publicación ya no reciba más visitas. ToS;DR, sin embargo, es "long content" [1], es decir, es un documento vivo, que va evolucionando y se mantiene relevante o incluso gana valor con el paso del tiempo.

Está claro que el número de contribuciones a ToS;DR no es directamente conmensurable con otras métricas más intuitivas, pero para hacernos una idea, la página recibe cientos de miles de visitas al mes [2]. Por supuesto, sólo una proporción muy pequeña de usuarios acabará viendo nuestras contribuciones.

Teniendo todo esto en cuenta, a día XXX las métricas obtenidas son:

RELLENAR EL ÚLTIMO DÍA

Integrantes

Este trabajo fue realizado durante el curso 2020/2021 en el marco de la asignatura de Ética, legislación y profesión por:

  • Pablo Villalobos Sánchez - 5º DG Ingeniería Informática - Matemáticas
  • Eduardo Rivero Rodríguez - 5º DG Ingeniería Informática - Matemáticas
  • David Andrés López Gómez - 4º G Ingeniería Informática
  • Marcos Brian Leiva Cerna - 5º DG Ingeniería Informática - Matemáticas
  • Daniel Herranz Gómez - 5º DG Ingeniería Informática - Matemáticas
  • Alberto Maurel Serrano - 5º DG Ingeniería Informática - Matemáticas

Referencias

1. ToS;DR https://tosdr.org/#

2. GDPR and genomic data report, PHG Foundation https://www.phgfoundation.org/documents/gdpr-and-genomic-data-report.pdf

3. Política de privacidad de MyHeritage https://www.myheritage.es/privacy-policy

4. Política de privacidad de 23andme https://www.23andme.com/en-int/about/privacy/?version=4.7

5. Identity inference of genomic data using long-range familial searches https://science.sciencemag.org/content/362/6415/690

6. Rules for the processing genetic data under GDPR, Nature https://www.nature.com/articles/s41431-017-0045-7#:~:text=GDPR%2C%20in%20contrast%2C%20explicitly%20recognizes,and%20biometric%20data%2C%20among%20others

7. Google v CNIL case https://europeanlawblog.eu/2019/10/29/google-v-cnil-case-c-507-17-the-territorial-scope-of-the-right-to-be-forgotten-under-eu-law/

8. Base jurídica para el tratamiento de datos genéticos https://protecciondatos-lopd.com/empresas/proteccion-datos-geneticos/

9. Reidentification of anonymous volunteers in DNA study by Harvard professor https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/?sh=1e484d8e92c9

10. MyHeritage account data compromised in data breach https://www.theverge.com/2018/6/5/17430146/dna-myheritage-ancestry-accounts-compromised-hack-breach

11. Golden State Killer identified through GEDmatch https://www.washingtonpost.com/news/true-crime/wp/2018/04/27/golden-state-killer-dna-website-gedmatch-was-used-to-identify-joseph-deangelo-as-suspect-police-say/

12. Report on the use and misuse of genetic data http://blogs.asucollegeoflaw.com/lsi/files/2014/01/Use-Misuse-of-Genetic-Data.pdf

13. Phishing attempts to MyHeritage possibly connected to GEDmatch breach https://blog.myheritage.com/2020/07/security-alert-malicious-phishing-attempt-detected-possibly-connected-to-gedmatch-breach/