Trabajo:Privacidad en datos genéticos

From FdIwiki ELP
Jump to: navigation, search

Introducción

Desde hace unos años los test genéticos son omnipresentes. Se venden como la panacea: te permiten detectar enfermedades de forma precoz, encontrar a parientes lejanos que desconocías o incluso descubrir tus orígenes étnicos. Sin embargo, ¿qué es realmente lo que estamos comprando?

Ante el módico precio por el que se ofrecen, seguro que no te has parado a pensar en si los datos que te proporcionan son realmente útiles y fiables, qué uso puede hacer de ellos la empresa o si te podrían traer problemas en un futuro. Estos interrogantes son los que a nosotros nos gustaría despejar.

Objetivos

En este trabajo nos centraremos en:

  • Concienciar sobre la importancia de los datos genéticos
  • Explicar la legislación vigente y las protecciones que nos ofrece
  • Analizar las políticas de privacidad y términos de uso de las empresas dedicadas a realizar estos tests
  • Explorar los principales riesgos asociados a estos datos y servicios

Originalidad

Debido a que la recopilación de datos genéticos a gran escala es un fenómeno reciente que afecta mayoritariamente al mundo anglosajón, existe una falta de información en español sobre la importancia de este tipo de datos, los beneficios y riesgos asociados a proporcionarlos y su situación a nivel legal. El potencial completo de este tipo de datos aún está por descubrir, así como el grado de riesgo que pueden llegar a comportar.

Asimismo, también su situación legal es compleja debido a la existencia de casos límite en los marcos generales vigentes (RGPD en Europa) como la compartición de datos entre investigadores. Si buscamos en Google "datos genéticos rgpd" o "protección legal datos genéticos", los resultados que encontramos son demasiado técnicos y relacionados con el ámbito jurídico. Por ejemplo, los tres primeros resultados de la búsqueda "datos genéticos rgpd" que obtenemos son:

artículos que difícilmente va a leer y a entender una persona sin estudios jurídicos. Nuestro objetivo es que el artículo sea entendible para todo el mundo.


Con relación a los términos de servicio de las empresas que proveen información genética, existen páginas como ToS;DR que recopilan información sobre estos términos. Sin embargo, en estas páginas actualmente existen pocas contribuciones al respecto. Más concretamente, solamente estaban incluidos dos servicios, uno tenía seis contibuciones y el otro ninguna. A la vista de esta situación, hemos tratado de hacer contribuciones sobre este tipo de empresas proveedoras, de forma que podamos aportar a la comunidad (principalmente anglosajona), facilitando la comparación de las garantías de privacidad entre los diferentes proveedores de servicios de datos genéticos.

Desarrollo del trabajo

En primer lugar, pensamos en cuáles serían las mejores formas de llevar nuestra investigación al público. Por un lado, queríamos llegar a la mayor cantidad de gente posible. Por otro, queríamos construir algo de valor para satisfacer a aquellos que estuviesen realmente interesados en el tema. Por ello, decidimos dividir nuestro trabajo en dos pilares fundamentales:

  • Un artículo sobre el tema: para llegar al público general, vamos a publicar un artículo con información que responda a las preguntas planteadas en los objetivos, y que posteriormente publicaremos.
  • ToS;DR: es una página que resume los términos de uso y políticas de privacidad de diferentes servicios. En ella vamos a contribuir añadiendo información sobre las principales empresas del sector.

En términos generales, el trabajo se ha desarrollado a lo largo de las siguientes direcciones:

  • Una investigación acerca de las diversas compañías que ofrecen servicios relacionados con datos genéticos. Desde empresas que directamente venden tests a otras cuyo modelo de negocio se basa en extraer información o comparar resultados de dichos tests. Hemos analizado sus políticas de privacidad y términos de servicio.
  • Hemos revisado la legislación vigente en Europa (prestando particular atención a las directivas que afectan a toda la eurozona). También hemos analizado los riesgos y beneficios asociados al tratamiento de datos genéticos. En nuestra investigación, han jugado un papel importante los análisis desarrollados por la fundación PHG (organización asociada a la Universidad de Cambridge) sobre la situación de los datos genéticos en Europa, que incluye varios de los puntos que mencionamos en nuestro artículo.
  • Hemos buscado casos reales en los que hayan entrado en juego algunos de los riesgos encontrados, con propósitos ilustrativos pero también para cerciorarnos de que no se trata de posibilidades teóricas, sino de realidades que pueden ocurrir si no se toman precauciones.

Resultado

Artículo

El objetivo del artículo es recopilar la información más relevante de nuestra investigación, sintetizarla y explicarla de forma sencilla para el público general. Por ello, nos hemos centrado en lo concerniente a los tests genéticos, que es la parte más cercana a la población general. La organización del artículo se puede resumir en 3 grandes secciones

1. Aplicaciones de los datos genéticos, donde se explican las principales aplicaciones prácticas (medicina, tareas forenses, uso sociológico…).

2. Riesgos asociados a proporcionar datos genéticos, donde se exponen los potenciales problemas de este tipo de datos (su naturaleza vitalicia e identificativa, discriminación asociada a datos genéticos…), proporcionando además casos donde estos riesgos se han hecho realidad.

3. Medidas de protección para mitigar los riesgos, donde se incluyen tanto la legislación como las condiciones ofrecidas por las empresas en sus términos de usuario y las medidas técnicas como la criptografía.

Nuestro objetivo original era publicar el artículo en un medio generalista, para asegurarnos la visibilidad, feebdack por parte del medio, y posiblemente mayor confianza en nuestras conclusiones por parte de los lectores. Sin embargo, debido a la fecha de entrega del trabajo, nos vimos obligados a enviar el artículo a los medios en fechas muy cercanas a la Navidad, lo que disminuyó la posibilidad de respuesta a nuestros correos. Finalmente, tras no recibir respuesta por parte de ninguno de los medios con los que contactamos, nos vimos obligados a modificar nuestra estrategia.

El artículo, de unas 2000 palabras, ha sido publicado en LinkedIn, y puede leerse en este enlace. Nótese que no hace falta tener cuenta de LinkedIn o tener la sesión iniciada para poder leerlo. Como complemento al artículo y para incrementar su difusión, hemos publicado además una pequeña infografía que resume los riesgos más significativos de los test genéticos, y que también ha sido publicada en LinkedIn:

Datos-geneticos-2020-infografia.jpg

ToS;DR

El objetivo era incluir en ToS;DR información de los siguientes servicios: Ancestry, 23andMe, MyHeritage, FTDNA, tellmeGen y GEDmatch. Los cinco primeros son empresas dedicadas a la realización de tests genéticos, y la última es una base de datos genética pública.

De estos, solo estaban presentes en ToS;DR Ancestry y 23andMe. 23andMe no tenía ninguna información y Ancestry muy poca (en total seis contribuciones). Hemos realizado 10 contribuciones a estos dos servicios, y todas han sido aprobadas:

Tosdr2.png
Tosdr1.png









Estas contribuciones también se pueden ver en la página oficial de ToS;DR, buscando los servicios correspondientes

23andMe TOSDR.png
Ancestry TOSDR.png

o bien consultando los siguientes enlaces:


Por otro lado, para los otros cuatro servicios teníamos que solicitar primero que se añadiesen a la página a través del foro de ToS;DR:

FamilyTreeDNA forum.png
MyHeritage forum.png
TellmeGen forum.png
GEDmatch forum.png

Es posible acceder a las solicitudes del foro usando los siguientes enlaces:


Además los cuatro servicios ya aparecen en la página oficial de ToS;DR:

FamilyTreeDNA TOSDR.png
MyHeritage TOSDR.png
TellmeGen TOSDR.png
GEDmatch TOSDR.png


Aunque hemos conseguido que se añadan estos servicios en ToS;DR nos ha resultado imposible añadir contribuciones en ellos. Desde hace más de un mes, el crawler de documentos de ToS;DR se enfrenta a problemas técnicos y no se pueden hacer anotaciones en servicios añadidos recientemente. A fecha 20 de enero de 2021 aún no ha sido solucionado. No obstante, nos comprometemos a añadir contribuciones en estos servicios una vez arreglado el crawler.

Impacto

Como hemos explicado antes, nuestras vías de impacto son, por un lado, concienciación del público general, y por otro lado facilitar información más específica a usuarios interesados.

Por ello, tenemos dos métricas principales:

  • Número de visualizaciones del artículo en LinkedIn.
  • Número de contribuciones a ToS;DR.

El artículo está en español, pero ToS;DR recibe la mayoría de sus visitas de países anglosajones. Por ello, podemos suponer que el público alcanzado por ambas vías tiene muy poco solapamiento, así que tiene sentido contar las dos métricas por separado, sin preocuparnos de estar contando "dos veces" el mismo impacto. Además, se trata de dos tipos de impacto bastante distintos.

Artículo

En primer lugar, vamos a explicar la forma que tiene LinkedIn de contar las visualizaciones de las publicaciones que hemos realizado en esta red. En este artículo, se diferencian visualizaciones de posts y de artículos, entre otro tipo de visualizaciones.

  • Un post es una publicación corta (de hasta 1300 caracteres), que se muestra en el feed de los usuarios. Para este tipo de publicaciones, las visitas cuentan cada vez que se muestra en el feed de un usuario, independientemente de que el usuario se pare a leerlo o a interactuar con ello o pase de largo.
  • Un artículo es una publicación más extensa que un post (hasta 100.000 caracteres), al estilo de otras páginas webs o blogs como Medium o TowardsDataScience (webs con gran prestigio en los que se pueden publicar artículos en la modalidad self-publishing). Para este tipo de publicaciones, que no aparecen en el feed de los usuarios, las visitas cuentan cada vez que alguien (ya sea usuario o no de LinkedIn) abre intencionadamente el artículo, ya sea a través del post que se genera al crear el artículo, a través de enlaces directos compartidos en diferentes redes como WhatsApp, Twitter, etc. o búsquedas en Google o en otros buscadores.

Así pues, las visitas de estos dos tipos de publicaciones se contabilizan de forma diferente e independiente. En nuestro caso, hemos publicado dos posts (de uno de ellos no tenemos información de visualizaciones, puesto que desconocíamos que LinkedIn solamente mostraba la información de visualizaciones de la última publicación realizada) y un artículo en esta red. Las visitas que hemos obtenido son las siguientes:

Publicación infografía

La publicación puede encontrarse en este enlace. Esta publicación se hizo en formato post. Las visualizaciones obtenidas para esta publicación han sido las siguientes:

Visualizaciones infografia.png

Publicación artículo

La publicación puede encontrarse en este enlace. Esta publicación se hizo en formato artículo. Finalmente, hemos obtenido 1142 visualizaciones:

Visitas articulo.jpeg

ToS;DR

ToS;DR, es "long content", es decir, es un documento vivo, que va evolucionando y se mantiene relevante o incluso gana valor con el paso del tiempo. Está claro que el número de contribuciones a ToS;DR no es directamente conmensurable con otras métricas como el número de visitas a estas contribuciones, pero para hacernos una idea, la página recibe cientos de miles de visitas al mes. Por supuesto, no todas estás visitas tendrán como objetivo visualizar nuestras contribuciones, pero hemos sentado la base para que nosotros mismos u otros usuarios interesados continuen añadiendo información de manera desinteresada sobre estos servicios, de forma que sea más fácil para los lectores entender cuáles son las condiciones que ofrece cada uno de estos servicios.

Como ya hemos mencionado anteriormente, hemos añadido 4 servicios nuevos y aportado 10 contribuciones a servicios ya existentes.

Además, hemos comprobado que la búsqueda en Google de "datos genéticos tosdr" o "genetic data tosdr", obtiene como primer resultado el trabajo en la Wiki de la asignatura, con lo que cualquiera que realice estas búsquedas podrá llegar a toda la información que hemos recopilado de una forma sencilla, lo cual permitirá formar una opinión sobre el tema y decidir si es conveniente o no comprar un test genético.

Google tosdr.PNG Google tosdr2.PNG

Integrantes

Este trabajo fue realizado durante el curso 2020/2021 en el marco de la asignatura de Ética, legislación y profesión por:

  • Pablo Villalobos Sánchez - 5º DG Ingeniería Informática - Matemáticas
  • Eduardo Rivero Rodríguez - 5º DG Ingeniería Informática - Matemáticas
  • David Andrés López Gómez - 4º G Ingeniería Informática
  • Marcos Brian Leiva Cerna - 5º DG Ingeniería Informática - Matemáticas
  • Daniel Herranz Gómez - 5º DG Ingeniería Informática - Matemáticas
  • Alberto Maurel Serrano - 5º DG Ingeniería Informática - Matemáticas

Referencias

1. ToS;DR https://tosdr.org/#

2. GDPR and genomic data report, PHG Foundation https://www.phgfoundation.org/documents/gdpr-and-genomic-data-report.pdf

3. Política de privacidad de MyHeritage https://www.myheritage.es/privacy-policy

4. Política de privacidad de 23andme https://www.23andme.com/en-int/about/privacy/?version=4.7

5. Identity inference of genomic data using long-range familial searches https://science.sciencemag.org/content/362/6415/690

6. Rules for the processing genetic data under GDPR, Nature https://www.nature.com/articles/s41431-017-0045-7#:~:text=GDPR%2C%20in%20contrast%2C%20explicitly%20recognizes,and%20biometric%20data%2C%20among%20others

7. Google v CNIL case https://europeanlawblog.eu/2019/10/29/google-v-cnil-case-c-507-17-the-territorial-scope-of-the-right-to-be-forgotten-under-eu-law/

8. Base jurídica para el tratamiento de datos genéticos https://protecciondatos-lopd.com/empresas/proteccion-datos-geneticos/

9. Reidentification of anonymous volunteers in DNA study by Harvard professor https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/?sh=1e484d8e92c9

10. MyHeritage account data compromised in data breach https://www.theverge.com/2018/6/5/17430146/dna-myheritage-ancestry-accounts-compromised-hack-breach

11. Golden State Killer identified through GEDmatch https://www.washingtonpost.com/news/true-crime/wp/2018/04/27/golden-state-killer-dna-website-gedmatch-was-used-to-identify-joseph-deangelo-as-suspect-police-say/

12. Report on the use and misuse of genetic data http://blogs.asucollegeoflaw.com/lsi/files/2014/01/Use-Misuse-of-Genetic-Data.pdf

13. Phishing attempts to MyHeritage possibly connected to GEDmatch breach https://blog.myheritage.com/2020/07/security-alert-malicious-phishing-attempt-detected-possibly-connected-to-gedmatch-breach/