Si en su día enviaste tu ADN o iris a 23AndMe o Worldcoin, y ahora quieres que borren tus datos, estos son los pasos a seguir

"Nuestros datos personales" es un concepto que nos hace pensar inmediatamente en nociones como nuestras direcciones de correo o nuestros historiales de búsqueda, pero la cantidad de información que entra en esta categoría no ha hecho más que multiplicarse en los últimos primaveras.

Hoy en día, empresas como 23andMe (especializada en estudio genéticos) o Worldcoin (centrada en el registro biométrico a través de escaneos de iris) manejan información profundamente sensible, como nuestro ADN o patrones únicos de nuestro cuerpo.

¿Qué ha pasado con 23andMe?

Recordemos que 23andMe es una empresa conocida por ofrecer pruebas genéticas directas al consumidor, que se ha notorio en bancarrota tras primaveras de problemas financieros, y de disputas con inversores.

Esto genera ahora graves preocupaciones de privacidad, ya que más de 12 millones de personas compartieron su ADN con la compañía... pues, durante la reestructuración, sus activos podrían ser vendidos, incluyendo los datos genéticos.

¿Puedes conminar a 23AndMe o a Worldcoin a borrar tus datos?

Worldcoin, por ejemplo, ofrece instrucciones en su web para borrar nuestros datos. Mientras que, en la sección 'Configuration > 23andMe Data' del ámbito de usufructuario de la web de 23andMe es posible clicar en las opciones 'Delete Data > Permanently Delete Data'.

Pero, entre la inseguridad jurídica que provoca la presente situación de la empresa, y toda una serie de nociones poco claros (datos 'anonimizados' o ya cedidos), se hace necesario repasar qué derechos nos concede la legislatura.

¿Qué dicen los expertos?

Delante esta situación surge una pregunta esencia: ¿Qué pueden hacer los ciudadanos europeos para proteger su privacidad?

La respuesta se encuentra en el Reglamento Militar de Protección de Datos (RGPD), la norma europea que regula el tratamiento de los datos personales. Pero aunque el RGPD establece una protección sólida en teoría, su aplicación praxis presenta desafíos importantes.

Hemos consultado a dos expertos en el mismo, Samuel Parra (abogado especializado en protección de datos en ÉGIDA) y Jorge García Herrero (abogado y delegado de protección de datos).

1. ¿Qué obligaciones tienen empresas como 23andMe o Worldcoin?

"Las obligaciones en materia de protección de datos para estas empresas son las mismas que para una empresa española" (Samuel Parra)

El RGPD se aplica a todas las empresas que ofrecen servicios a personas que se encuentren en la Unión Europea, independientemente de dónde tenga su sede la empresa. Esto significa que tanto 23andMe como Worldcoin están obligadas a cumplir con esta legislatura si prestan servicios a usuarios en Europa.

Entre sus principales obligaciones destacan:

• Respaldar la seguridad de los datos frente a accesos no autorizados.
• Respetar los derechos de los usuarios, incluido el derecho a ingresar, rectificar o suprimir sus datos.
• Obtener un consentimiento manifiesto y revocable para tratar datos especialmente sensibles, como los genéticos o biométricos.

2. El derecho de supresión: ¿puedo pedir que eliminen mis datos?

Sí. El RGPD reconoce el derecho de supresión (asimismo llamado "derecho al olvido"). Esto significa que cualquier persona puede pedir a una empresa la aniquilación de sus datos personales, incluyendo los genéticos y biométricos, siempre que no exista una obligación admitido que impida su supresión.

"No se exige ninguna formalidad específico; aquí rige la teoría de 'tan sencillo entrar como salir'". (Samuel Parra)

"El interesado puede dirigir la solicitud incluso a un correo de contacto que no sea el especialmente previsto por la ordenamiento, y ésta tiene que atenderlo". (García Herrero)

Aspectos importantes sobre este derecho:

• El usufructuario debe identificarse adecuadamente para que la empresa pueda delimitar sus datos.
• El consentimiento para tratar datos puede ser retirado en cualquier momento, y en ese caso, la empresa debe dejar de tratarlos.

3. ¿Y si los datos ya fueron cedidos o anonimizados?

Aquí es donde la situación se complica.

Según Parra, si los datos han sido anonimizados correctamente, ya no se consideran "personales" y no están protegidos por el RGPD. Pero esta anonimización debe ser irreversible: si es posible retornar a identificar a la persona a partir de esos datos, la protección del RGPD sigue aplicando.

En cuanto a los datos ya cedidos a otras empresas (como farmacéuticas), García Herrero nos aclara que:

• El usufructuario puede exigir a la empresa que referencia a esos terceros de la obligación de supresión.
• Adicionalmente, el usufructuario tiene derecho a solicitar llegada a la índice de entidades a las que se les hayan cedido sus datos.

Por postrero, Parra nos recuerda que, en cualquier caso, hasta ahora "el consentimiento otorgado a 23andMe no implicaba la cesión de datos no anonimizados a terceros".

4. ¿Qué puede hacer un usufructuario si la empresa ignora su solicitud?

Aunque la legislatura es clara, su cumplimiento no siempre es inmediato. Si una empresa no contesta o rechaza una solicitud de supresión, el usufructuario puede:

• Presentar una protesta frente a la autoridad doméstico de protección de datos (como la AEPD en España).
• Interponer una demanda civil por daños y perjuicios.
• En casos extremos, las autoridades pueden ordenar la suspensión de actividades de la empresa en Europa, como ya ocurrió con Worldcoin en España.

Dicho eso, Parra nos advierte:

"En el estado presente de 23andMe, lo más frecuente es que no conteste a este tipo de peticiones, máxime cuando una eventual aprobación de un organismo castellano tendría mercadería nulos. Pero aun así, si 23andMe no contesta a una solicitud de aniquilación o la deniega, el usufructuario puede desarrollar una protesta en la AEPD".

5. ¿Qué sanciones enfrentan estas empresas si incumplen?

El RGPD prevé sanciones significativas para quienes lo incumplen:

• Hasta 20 millones de euros o el 4% de la facturación integral anual, lo que sea más detención.
• Igualmente pueden imponerse prohibiciones temporales o permanentes de negociar en condado europeo.

Sin confiscación, hay un matiz importante: si la empresa no tiene presencia física o activos en la UE, ejecutar esas sanciones puede ser difícil en la praxis: este es uno de los principales retos actuales del RGPD.

6. ¿Son iguales los datos genéticos y biométricos a mercadería legales?

Uno y otro tipos de datos están considerados como categorías especiales de datos personales bajo el RGPD, lo que implica que:

• No pueden tratarse a excepción de que exista una excepción (como el consentimiento del usufructuario).
• Uno y otro requieren medidas reforzadas de protección y seguridad.

Pero existen matices:

• El tratamiento de datos genéticos está prohibido por defecto, a excepción de excepciones como el consentimiento.
• Los datos biométricos solo están prohibidos cuando su objetivo es la identificación unívoca de una persona.

Adicionalmente, hay una diferencia de impacto potencial: mientras que los datos biométricos afectan a una sola persona, los datos genéticos pueden comprometer la privacidad de familiares enteros, ya que contienen información hereditaria. García Herrero explica muy gráficamente lo que eso supone:

"Si permites que un tercero que no ofrece garantías trate tu documento biométrico (caso de WorldCoin), el problema es tuyo. Sin confiscación, con los datos genéticos, pespunte que el tonto de la grupo se meta el hisopo de 23andMe en la boca para que los datos inferibles de sus datos genéticos comprometan la privacidad de toda la grupo: una compañía de seguros que pueda rastrear el parentesco ya podrá incrementar las primas del seguro de vida cuando valore el aventura de cáncer o similar, que son hereditarios".

Imagen | Marcos Merino mediante IA

En Genbeta | Estos son los datos personales que nunca deberías contar en redes sociales, según el INCIBE y la Protección Civil