Trabajo:Privacidad en datos genéticos

De FdIwiki ELP
Saltar a: navegación, buscar

Introducción

Desde hace unos años los test genéticos son omnipresentes. Se venden como la panacea: te permiten detectar enfermedades de forma precoz, encontrar a parientes lejanos que desconocías o incluso descubrir tus orígenes étnicos. Sin embargo, ¿qué es realmente lo que estamos comprando?

Ante el módico precio por el que se ofrecen, seguro que no te has parado a pensar en si los datos que te proporcionan son realmente útiles y fiables, qué uso puede hacer de ellos la empresa o si te podrían traer problemas en un futuro. Estos interrogantes son los que a nosotros nos gustaría despejar.

Objetivos

En este trabajo nos centraremos en:

  • Concienciar sobre la importancia de los datos genéticos
  • Explicar la legislación vigente y las protecciones que nos ofrece
  • Analizar las políticas de privacidad y términos de uso de las empresas dedicadas a realizar estos tests
  • Explorar los principales riesgos asociados a estos datos y servicios

Originalidad

Debido a que la recopilación de datos genéticos a gran escala es un fenómeno reciente que afecta mayoritariamente al mundo anglosajón, existe una falta de información en español sobre la importancia de este tipo de datos, los beneficios y riesgos asociados a proporcionarlos y su situación a nivel legal. El potencial completo de este tipo de datos aún está por descubrir, así como el grado de riesgo que pueden llegar a comportar.

Asimismo, también su situación legal es compleja debido a la existencia de casos límite en los marcos generales vigentes (RGPD en Europa) como la compartición de datos entre investigadores. Si buscamos en Google "datos genéticos rgpd" o "protección legal datos genéticos", los resultados que encontramos son demasiado técnicos y relacionados con el ámbito jurídico. Por ejemplo, los tres primeros resultados de la búsqueda "datos genéticos rgpd" que obtenemos son:

artículos que difícilmente va a leer y a entender una persona sin estudios jurídicos. Nuestro objetivo es que el artículo sea entendible para todo el mundo.


Con relación a los términos de servicio de las empresas que proveen información genética, existen páginas como ToS;DR que recopilan información sobre estos términos. Sin embargo, en estas páginas actualmente existen pocas contribuciones al respecto. Más concretamente, solamente estaban incluidos dos servicios, uno tenía seis contibuciones y el otro ninguna. A la vista de esta situación, hemos tratado de hacer contribuciones sobre este tipo de empresas proveedoras, de forma que podamos aportar a la comunidad (principalmente anglosajona), facilitando la comparación de las garantías de privacidad entre los diferentes proveedores de servicios de datos genéticos.

Desarrollo del trabajo

En primer lugar, pensamos en cuáles serían las mejores formas de llevar nuestra investigación al público. Por un lado, queríamos llegar a la mayor cantidad de gente posible. Por otro, queríamos construir algo de valor para satisfacer a aquellos que estuviesen realmente interesados en el tema. Por ello, decidimos dividir nuestro trabajo en dos pilares fundamentales:

  • Un artículo sobre el tema: para llegar al público general, vamos a publicar un artículo con información que responda a las preguntas planteadas en los objetivos, y que posteriormente publicaremos.
  • ToS;DR: es una página que resume los términos de uso y políticas de privacidad de diferentes servicios. En ella vamos a contribuir añadiendo información sobre las principales empresas del sector.

En términos generales, el trabajo se ha desarrollado a lo largo de las siguientes direcciones:

  • Una investigación acerca de las diversas compañías que ofrecen servicios relacionados con datos genéticos. Desde empresas que directamente venden tests a otras cuyo modelo de negocio se basa en extraer información o comparar resultados de dichos tests. Hemos analizado sus políticas de privacidad y términos de servicio.
  • Hemos revisado la legislación vigente en Europa (prestando particular atención a las directivas que afectan a toda la eurozona). También hemos analizado los riesgos y beneficios asociados al tratamiento de datos genéticos. En nuestra investigación, han jugado un papel importante los análisis desarrollados por la fundación PHG (organización asociada a la Universidad de Cambridge) sobre la situación de los datos genéticos en Europa, que incluye varios de los puntos que mencionamos en nuestro artículo.
  • Hemos buscado casos reales en los que hayan entrado en juego algunos de los riesgos encontrados, con propósitos ilustrativos pero también para cerciorarnos de que no se trata de posibilidades teóricas, sino de realidades que pueden ocurrir si no se toman precauciones.

Resultado

Artículo

El objetivo del artículo es recopilar la información más relevante de nuestra investigación, sintetizarla y explicarla de forma sencilla para el público general. Por ello, nos hemos centrado en lo concerniente a los tests genéticos, que es la parte más cercana a la población general. La organización del artículo se puede resumir en 3 grandes secciones

1. Aplicaciones de los datos genéticos, donde se explican las principales aplicaciones prácticas (medicina, tareas forenses, uso sociológico…).

2. Riesgos asociados a proporcionar datos genéticos, donde se exponen los potenciales problemas de este tipo de datos (su naturaleza vitalicia e identificativa, discriminación asociada a datos genéticos…), proporcionando además casos donde estos riesgos se han hecho realidad.

3. Medidas de protección para mitigar los riesgos, donde se incluyen tanto la legislación como las condiciones ofrecidas por las empresas en sus términos de usuario y las medidas técnicas como la criptografía.

Nuestro objetivo original era publicar el artículo en un medio generalista, para asegurarnos cierta visibilidad, feebdack por parte de la publicación, y posiblemente mayor confianza en nuestras conclusiones por parte de los lectores. Sin embargo, tras enviar el artículo a varias publicaciones y no recibir respuesta, nos vimos obligados a modificar nuestra estrategia.

Finalmente, el artículo, de unas 2000 palabras, ha sido publicado en LinkedIn, y puede leerse en este enlace. Nótese que no hace falta tener cuenta de LinkedIn o tener la sesión iniciada para poder leerlo. Como complemento al artículo y para incrementar su difusión, hemos publicado además una pequeña infografía que resume los contenidos, y que también ha sido publicada en LinkedIn:

Datos-geneticos-2020-infografia.jpg

ToS;DR

El objetivo era incluir en ToS;DR información de los siguientes servicios: Ancestry, 23andMe, MyHeritage, FTDNA, tellmeGen y GEDmatch. Los cinco primeros son empresas dedicadas a la realización de tests genéticos, y la última es una base de datos genética pública.

De estos, solo estaban presentes en ToS;DR Ancestry y 23andMe. 23andMe no tenía ninguna información y Ancestry muy poca (en total seis contribuciones). Hemos realizado 10 contribuciones a estos dos servicios, y todas han sido aprobadas:

Tosdr2.png
Tosdr1.png









Estas contribuciones también se pueden ver en la página oficial de ToS;DR, buscando los servicios correspondientes:

23andMe TOSDR.png
Ancestry TOSDR.png

o bien consultando los siguientes enlaces:


Por otro lado, para los otros cuatro servicios teníamos que solicitar primero que se añadiesen a la página a través del foro de ToS;DR:

FamilyTreeDNA forum.png
MyHeritage forum.png
TellmeGen forum.png
GEDmatch forum.png


Es posible acceder a las solicitudes del foro usando los siguientes enlaces:


Además los cuatro servicios ya aparecen en la página oficial de ToS;DR:

FamilyTreeDNA TOSDR.png
MyHeritage TOSDR.png
TellmeGen TOSDR.png
GEDmatch TOSDR.png


Aunque hemos conseguido que se añadan estos servicios en ToS;DR nos ha resultado imposible añadir contribuciones en ellos. Desde hace más de un mes, el crawler de documentos de ToS;DR se enfrenta a problemas técnicos y no se pueden hacer anotaciones en servicios añadidos recientemente. A fecha 20 de enero de 2021 aún no ha sido solucionado. No obstante, nos comprometemos a añadir contribuciones en estos servicios una vez arreglado el crawler.

Impacto

Como hemos explicado antes, nuestras vías de impacto son, por un lado, concienciación del público general, y por otro lado facilitar información más específica a usuarios interesados.

Por ello, tenemos dos métricas principales:

  • Número de visualizaciones del artículo en LinkedIn.
  • Número de contribuciones a ToS;DR.

El artículo está en español, pero ToS;DR recibe la mayoría de sus visitas de países anglosajones. Por ello, podemos suponer que el público alcanzado por ambas vías tiene muy poco solapamiento, así que tiene sentido contar las dos métricas por separado, sin preocuparnos de estar contando "dos veces" el mismo impacto. Además, se trata de dos tipos de impacto bastante distintos.

Artículo

El artículo ha recibido XXX visualizaciones.

//Foto de las visualizaciones

Lo hemos publicado como un artículo dentro de Linkedin. Esto significa que no aparece en el feed de los demás usuarios de nuestra red, y que solo se puede acceder a él a través de un enlace. De la misma forma, solo se cuentan como visitas aquellas personas que han entrado al artículo, no aquellas que han visto en su feed el post pero no les ha interesado el artículo y han decidido no entrar a él.

ToS;DR

ToS;DR, es "long content" [1], es decir, es un documento vivo, que va evolucionando y se mantiene relevante o incluso gana valor con el paso del tiempo. Está claro que el número de contribuciones a ToS;DR no es directamente conmensurable con otras métricas como el número de visitas a estas contribuciones, pero para hacernos una idea, la página recibe cientos de miles de visitas al mes [2]. Por supuesto, sólo una proporción muy pequeña de usuarios acabará viendo nuestras contribuciones.

Como ya hemos mencionado anteriormente, hemos añadido 4 servicios nuevos y aportado 10 contribuciones a servicios ya existentes.

Además, hemos visto que si buscas en Google "datos genéticos tosdr" o "genetic data tosdr", el primer resultado que aparece es el trabajo en la Wiki de ELP:

Google tosdr.PNG Google tosdr2.PNG

Integrantes

Este trabajo fue realizado durante el curso 2020/2021 en el marco de la asignatura de Ética, legislación y profesión por:

  • Pablo Villalobos Sánchez - 5º DG Ingeniería Informática - Matemáticas
  • Eduardo Rivero Rodríguez - 5º DG Ingeniería Informática - Matemáticas
  • David Andrés López Gómez - 4º G Ingeniería Informática
  • Marcos Brian Leiva Cerna - 5º DG Ingeniería Informática - Matemáticas
  • Daniel Herranz Gómez - 5º DG Ingeniería Informática - Matemáticas
  • Alberto Maurel Serrano - 5º DG Ingeniería Informática - Matemáticas

Referencias

1. ToS;DR https://tosdr.org/#

2. GDPR and genomic data report, PHG Foundation https://www.phgfoundation.org/documents/gdpr-and-genomic-data-report.pdf

3. Política de privacidad de MyHeritage https://www.myheritage.es/privacy-policy

4. Política de privacidad de 23andme https://www.23andme.com/en-int/about/privacy/?version=4.7

5. Identity inference of genomic data using long-range familial searches https://science.sciencemag.org/content/362/6415/690

6. Rules for the processing genetic data under GDPR, Nature https://www.nature.com/articles/s41431-017-0045-7#:~:text=GDPR%2C%20in%20contrast%2C%20explicitly%20recognizes,and%20biometric%20data%2C%20among%20others

7. Google v CNIL case https://europeanlawblog.eu/2019/10/29/google-v-cnil-case-c-507-17-the-territorial-scope-of-the-right-to-be-forgotten-under-eu-law/

8. Base jurídica para el tratamiento de datos genéticos https://protecciondatos-lopd.com/empresas/proteccion-datos-geneticos/

9. Reidentification of anonymous volunteers in DNA study by Harvard professor https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/?sh=1e484d8e92c9

10. MyHeritage account data compromised in data breach https://www.theverge.com/2018/6/5/17430146/dna-myheritage-ancestry-accounts-compromised-hack-breach

11. Golden State Killer identified through GEDmatch https://www.washingtonpost.com/news/true-crime/wp/2018/04/27/golden-state-killer-dna-website-gedmatch-was-used-to-identify-joseph-deangelo-as-suspect-police-say/

12. Report on the use and misuse of genetic data http://blogs.asucollegeoflaw.com/lsi/files/2014/01/Use-Misuse-of-Genetic-Data.pdf

13. Phishing attempts to MyHeritage possibly connected to GEDmatch breach https://blog.myheritage.com/2020/07/security-alert-malicious-phishing-attempt-detected-possibly-connected-to-gedmatch-breach/