Ética IA

Genoma como mercancía: privacidad, propiedad y ADN en procedimiento penal

4 de abril de 2026•

Resumen Ejecutivo

El auge de las pruebas genéticas directas al consumidor (DTC-GT), comercializadas por empresas como Ancestry, 23andMe o MyHeritage, ha transformado el acceso a la información genómica, pero también ha generado profundas tensiones jurídicas. Este artículo analiza, desde un enfoque comparado Estados Unidos-Unión Europea, los principales conflictos normativos y judiciales derivados de la recolección masiva de ADN por parte de entidades privadas. Se examinan: (i) la fragmentación del marco regulatorio estadounidense frente al estándar europeo de derechos fundamentales; (ii) la discusión doctrinal sobre si el ADN debe ser tratado como objeto de propiedad o como dato de privacidad; (iii) los procedimientos judiciales para que las fuerzas de seguridad accedan a bases genéticas comerciales; (iv) los desafíos del consentimiento y la anonimización bajo el RGPD; y (v) la responsabilidad civil por filtraciones de datos, a la luz del incidente de 23andMe de 2023. Se concluye que la armonización internacional y el reconocimiento de una «autonomía relacional» son imprescindibles para equilibrar el progreso científico-judicial con la intangibilidad de la privacidad humana.

Palabras clave: privacidad genética, genealogía forense, RGPD, propiedad del ADN, 23andMe, consentimiento informado.

I. Introducción

1.1. Evolución de las pruebas genéticas de consumo directo y su impacto en la genealogía forense

El mercado mundial de pruebas genéticas de consumo directo (DTC-GT por sus siglas en inglés) ha experimentado un crecimiento exponencial desde 2010, alcanzando un volumen de negocio estimado de 25.000 millones de dólares anuales (Zhang, 2020). Empresas como 23andMe, Ancestry.com, MyHeritage y AncestryDNA han recolectado datos genómicos de más de 50 millones de individuos en todo el mundo, creando enormes bases de datos secundarias que trascienden la intención inicial de los usuarios al solicitarse un test de ascendencia personal (James, 2022).

La genealogía forense representó inicialmente una aplicación limitada y ad hoc de estas bases de datos. Sin embargo, el caso del "Golden State Killer" en 2018 —donde el asesino en serie Joseph DeAngelo fue identificado mediante la búsqueda genealógica comparativa en la plataforma GEDmatch— marcó un antes y un después en el panorama jurídico criminal (Lynch, 2018). Este caso demostró que la Genealogía Genética Investigativa (FIGG, por sus siglas en inglés) podía resolver crímenes graves que habían permanecido sin resolver durante décadas, generando una onda expansiva de adopción por parte de fuerzas de seguridad en Estados Unidos, Reino Unido, Canadá y otros países.

1.2. El cambio de paradigma: Del éxito del Golden State Killer a la preocupación por la privacidad genética masiva

El paradójico efecto del éxito de FIGG ha sido la polarización extrema de posiciones. Por un lado, agencias de aplicación de la ley, jueces y académicos celebraron la técnica como una herramienta de justicia sin precedentes. El Departamento de Justicia de los Estados Unidos (DOJ) emitió en 2019 una "Política Provisional" que regulaba el uso de FIGG en investigaciones criminales, reconociendo explícitamente su legitimidad procesal (DOJ, 2019). Desde 2018 hasta 2024, más de 600 casos criminales han sido resueltos o avanzados significativamente mediante genealogía genética forense en Norteamérica (Geary, 2023; James, 2022).

Sin embargo, esta expansión ha ocurrido sin un consenso jurídico sólido sobre qué salvaguardas deben acompañarla. La rápida adopción de FIGG por parte de agencias de seguridad ha supuesto un cambio paradigmático: de la privacidad genética como derecho individual a la privacidad genética como obstáculo a superar en nombre de la seguridad pública. La tensión es evidente: los usuarios que voluntariamente proporcionan su ADN a una empresa de genealogía comercial no contemplan que sus parientes biológicos —sin haber consentido jamás— podrían verse involuntariamente implicados en una investigación criminal o tener sus datos expuestos a escrutinio estatal (James, 2022; Zhang, 2020).

1.3. Delimitación del objeto de estudio: Intersección entre intereses comerciales, seguridad pública y derechos fundamentales

Este artículo se propone analizar la encrucijada jurídica en la que confluyen tres actores con intereses frecuentemente contrapuestos: las empresas comerciales de DTC-GT (cuyo modelo de negocio depende de la recolección y monetización de datos genéticos), las autoridades de seguridad pública (que ven en FIGG una herramienta investigadora de enorme potencial), y los sujetos titulares de derechos fundamentales (cuyos datos genómicos, al ser compartidos a nivel familiar, adquieren una dimensión colectiva que trasciende la privacidad individual).

El objeto de estudio se circunscribe a cuatro eje analíticos principales:

Marco normativo comparado: Cómo Estados Unidos y la Unión Europea han respondido —o no— de manera efectiva a la recolección masiva de ADN y su uso forense.
Naturaleza jurídica del genoma: La disputa doctrinal y jurisprudencial sobre si el ADN debe gozar de protección como objeto de propiedad privada o como derecho fundamental a la privacidad.
Procedimientos acceso a bases de datos: Los estándares de proporcionalidad y necesidad que deben regular el acceso de autoridades públicas a bases de datos comerciales.
Responsabilidad civil y seguridad de datos: El régimen de imputación de responsabilidad cuando empresas como 23andMe sufren incidentes de ciberseguridad que comprometen millones de genomas.

II. Marco Normativo Comparado: El Modelo Estadounidense vs. el Estándar Europeo

2.1. El régimen jurídico en los Estados Unidos: Fragmentación legislativa y el enfoque de la "excepcionalidad genética"

En los Estados Unidos no existe una ley federal única que regule la recolección, almacenamiento o uso forense de datos genéticos procedentes de empresas de DTC-GT. En su lugar, opera un mosaico fragmentado de regulaciones sectoriales, estatales y federales que intentan abordar aspectos parciales del problema sin resolver su raíz estructural (Zhang, 2020).

2.1.1. Alcance y limitaciones de GINA y HIPAA

La Genetic Information Nondiscrimination Act (GINA) de 2008, aunque pionera en su momento, establece una prohibición limitada contra la discriminación genética en el ámbito del empleo y de los seguros sanitarios. Sin embargo, GINA no se aplica a seguros de vida, seguros de discapacidad, seguros de cuidados de larga duración, ni a contextos de investigación criminal (Geary, 2023). Además, GINA no impone obligaciones específicas a las empresas DTC-GT sobre seguridad, consentimiento informado o anonimización. Su protección es, por tanto, focalizada pero incompleta.

La Health Insurance Portability and Accountability Act (HIPAA), por su parte, solo se aplica a entidades de cobertura sanitaria y proveedores de servicios de salud cubiertos. Las empresas comerciales como 23andMe o Ancestry, que operan como plataformas de consumo general más que como proveedores médicos, quedan frecuentemente excluidas del ámbito de aplicación de HIPAA, especialmente cuando los consumidores adquieren tests de ascendencia que no tienen propósito médico explícito (Zhang, 2020).

2.1.2. La intervención de la FTC en la protección del consumidor

La Federal Trade Commission (FTC) ha asumido un rol más proactivo en años recientes, utilizando su autoridad bajo la Section 5 de la FTC Act para perseguir prácticas "desleales o engañosas" por parte de empresas genéticas. En 2024, la FTC reclasificó explícitamente los datos genéticos como una "prioridad de ejecución" debido a los riesgos que su difusión no consentida puede plantear (FTC, 2024).

No obstante, la intervención de la FTC opera ex post (posterior al daño) y se basa en una evaluación casuística de si una empresa violó las afirmaciones de su política de privacidad. La FTC no tiene autoridad para emitir regulaciones de carácter general sobre qué estándares mínimos de seguridad, consentimiento o anonimización deben adoptar las empresas genéticas (Gitter, 2023). Esta limitación estructural ha permitido que empresas continúen operando bajo políticas de privacidad modificables unilateralmente, donde el consentimiento del usuario permanece en un estado indefinido de revocabilidad teórica pero práctica irreversibilidad.

2.2. El marco de la Unión Europea: El dato genético como categoría especial y derecho fundamental

La Unión Europea ha adoptado un enfoque radicalmente distinto, elevando la protección de los datos genéticos a la categoría de derecho fundamental a través del Reglamento General de Protección de Datos (RGPD) de 2018.

2.2.1. El RGPD y la Directiva (UE) 2016/680

El RGPD clasifica los datos genéticos como una categoría especial de datos (artículo 9), cuyo tratamiento está prohibido de forma general, salvo en supuestos de excepcionalidad delineados exhaustivamente en la ley. El RGPD requiere:

Consentimiento explícito e informado para el tratamiento de datos genéticos, con un umbral más alto que el consentimiento requerido para datos ordinarios (artículo 7).
Anonimización efectiva de los datos genéticos para operaciones de investigación científica, lo que plantea desafíos técnicos reconocidos internacionalmente: los genomas, incluso cuando se eliminan identificadores directos, pueden ser re-identificados mediante técnicas comparativas o complementarias (EDPB, 2021).
Evaluaciones de impacto en la protección de datos (DPIA) obligatorias antes de cualquier tratamiento de datos genéticos, particularmente si está vinculado a vigilancia masiva o perfilado (artículo 35).
Derechos de acceso, rectificación, limitación y oposición, aunque con excepciones limitadas para investigación científica bajo el artículo 89, que deben estar acompañadas de garantías de seguridad específicas.

La Directiva (UE) 2016/680, aplicable a tratamientos de datos por autoridades públicas para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales, requiere que el tratamiento de datos genéticos por parte de la policía esté sometido al principio de proporcionalidad y sea realizado solo cuando sea "absolutamente necesario" (artículo 9).

2.2.2. Implementación en España: La Ley Orgánica 7/2021 y la Ley de Investigación Biomédica

España ha desarrollado un marco específico a través de la Ley Orgánica 7/2021 de Protección de Datos Personales, que transpone el RGPD, y la Ley 14/2011 de Investigación Biomédica, que regula el tratamiento de datos biomédicos en investigación.

La Ley Orgánica 7/2021 establece en su artículo 9 que los datos genéticos son datos especiales cuyo tratamiento requiere consentimiento explícito. La Ley de Investigación Biomédica añade un requisito adicional: la investigación que implique muestras biológicas o datos genómicos debe contar con autorización previa de Comités de Ética en Investigación (CEI) y debe garantizar la trazabilidad completa de las muestras y datos (Cabezas-López, 2019).

Sin embargo, existe una "grieta regulatoria" en relación a las empresas comerciales DTC-GT: mientras que estas empresas están técnicamente sujetas al RGPD si operan en la UE o recolectan datos de residentes europeos, la supervisión práctica es débil, las sanciones (aunque nominalmente significativas, hasta el 4% del volumen de negocio global) rara vez alcanzan magnitudes disuasorias, y la capacidad de las autoridades de protección de datos para inspeccionar y regular empresas con servidores ubicados fuera de la UE es limitada.

III. La Naturaleza Jurídica de la Información Genética: ¿Derecho de Propiedad o Derecho a la Privacidad?

3.1. Análisis de la jurisprudencia clásica y su rechazo a los derechos de propiedad

Durante décadas, la jurisprudencia estadounidense rechazó de forma categórica la idea de que los individuos pudieran ejercer derechos de propiedad sobre su propia información genética. El caso paradigmático fue Moore v. Regents of the University of California (1990), donde la Corte Suprema de California determinó que John Moore, paciente diagnosticado con leucemia de células pilosas, no tenía derecho de propiedad sobre su línea celular desarrollada a partir de su sangre, incluso aunque la Universidad de California y sus investigadores generaron una línea celular comercialmente valiosa a partir de sus células (Moore v. Regents, 1990).

El razonamiento de la corte fue que permitir derechos de propiedad sobre células o genomas individuales crearía obstáculos inaceptables a la investigación médica, haría imposible la donación de órganos, y generaría fragmentación problemática de la cadena de títulos sobre información biológica (Gitter, 2023). Esta doctrina ha sido seguida en múltiples jurisdicciones estadounidenses durante más de tres décadas.

Un caso igualmente relevante fue Greenberg v. Miami Children's Hospital (2003), donde un grupo de familias con una enfermedad genética rara (síndrome de Canavan) demandó al hospital porque sus donaciones de muestras de sangre y tejido fueron utilizadas para desarrollar un test genético patentado sin consentimiento informado específico y sin que las familias recibieran beneficio alguno del descubrimiento (Greenberg v. Miami Children's, 2003). A pesar de la inequidad aparente, el tribunal rechazó la reclamación de propiedad, aunque reconoció potencialmente causas de acción bajo enriquecimiento injusto o incumplimiento de fiducia.

3.2. Tendencias actuales: Hacia el reconocimiento del interés propietario en el ADN

No obstante, las últimas decisiones judiciales y desarrollos legislativos sugieren un giro gradual hacia el reconocimiento de intereses propietarios. El caso Cole v. Gene by Gene, Ltd. (2022) en Texas, donde usuarios demandaron a una empresa DTC-GT por venta no autorizada de sus datos genéticos a terceros (incluyendo agencias de seguridad), marcó un cambio significativo. Aunque la corte no resolvió definitivamente si existía un derecho de propiedad, permitió que procediera la demanda bajo teorías de conversión y enriquecimiento injusto, sugiriendo una apertura a reconocer algún tipo de interés protegible (Gitter, 2023).

3.3. Legislaciones estatales disruptivas: Alaska, Florida y el debate sobre compensación económica

Varios estados estadounidenses han comenzado a legislar en la dirección opuesta a la jurisprudencia clásica:

Alaska (Ley HB 312, aprobada en 2023) reconoce explícitamente que los individuos poseen un "derecho a la propiedad privada" sobre su información genética y ADN. Bajo esta ley, las empresas que recolecten o comericalicen datos genéticos sin consentimiento informado específico están obligadas a compensar a los titulares. Alaska también ha establecido un estándar de daños mínimo de 5.000 dólares por violación, escalable a 100.000 dólares si la violación fue intencional (Gitter, 2023).

Florida ha adoptado legislación similar reconociendo un "derecho de propiedad limitado" sobre datos genéticos que permite a los individuos reivindicar compensación por usos no autorizados. Esta legislación parece anticipar un modelo donde el ADN no es visto como un "común sin propietario" sino como un activo personal sobre el cual el individuo ejerce un control económico real.

El fundamento doctrinal de estas legislaciones es la idea de que la privacidad genética, al ser inmutable, única e irreversiblemente divulgada, requiere un nivel de protección más fuerte que la privacidad convencional. Al reconocer un aspecto propietario, las leyes de Alaska y Florida crean un desincentivo económico más fuerte para empresas que consideren comercializar datos genéticos sin consentimiento explícito.

IV. Procedimientos Judiciales y Acceso a Bases de Datos Genéticas Comerciales

4.1. La Genealogía Genética Investigativa (FIGG/IGG) como herramienta de instrucción criminal

La Genealogía Genética Investigativa (FIGG) es una metodología forense que compara el perfil genético de un sospechoso con bases de datos públicas o comerciales de genealogía para identificar parientes biológicos, permitiendo que investigadores construyan un árbol genealógico e identifiquen al sospechoso mediante relaciones familiares (James, 2022).

El proceso típico funciona así: (1) se obtiene una muestra de ADN del lugar del crimen; (2) se realiza un perfil genético parcial o completo; (3) se carga ese perfil en una plataforma como GEDmatch (que agrega datos de múltiples empresas de genealogía) o directamente en Ancestry o 23andMe; (4) la plataforma identifica parientes lejanos (primos terceros, cuartos); (5) los investigadores construyen un árbol genealógico trabajando hacia atrás desde esos parientes hasta encontrar un ancestro común; (6) desde el ancestro común, construyen hacia adelante hasta identificar potenciales sospechosos en la generación presente.

El caso del Golden State Killer es el ejemplo paradigmático: el ADN de Joseph DeAngelo fue identificado no porque él mismo había cargado su perfil genético en una base de datos, sino porque uno de sus parientes lejanos (que sí había proporcionado su ADN a Ancestry) permitió que ese pariente fuera identificado, lo que llevó a los investigadores al árbol genealógico completo en el que DeAngelo aparecía (Lynch, 2018).

4.2. Requisitos procesales para el acceso a bases de datos: órdenes judiciales y estándar de causa probable

En los Estados Unidos, la jurisdicción varía considerablemente. El DOJ emitió en 2019 una "Política Provisional" que establece que el acceso a bases de datos comerciales para fines forenses debe estar respaldado por "causa probable" de que el sospechoso está implicado en la comisión de un delito (DOJ, 2019). Sin embargo, esta política no tiene fuerza vinculante y muchos fiscales continúan operando bajo interpretaciones más laxas de lo que constituye "acceso" versus "búsqueda".

Existe una ambigüedad fundamental: cuando un investigador carga un perfil de ADN forense en GEDmatch (que es una plataforma de acceso público), ¿está "buscando" una base de datos privada que requiere una orden judicial, o simplemente está accediendo a un servicio de búsqueda disponible públicamente sin requisito de autorización? Algunos tribunales han sostenido que, dado que GEDmatch permite búsquedas sin autenticación por parte de cualquiera (incluida la aplicación de la ley), el acceso no constituye una "búsqueda" bajo la Cuarta Enmienda que requiera orden judicial (Geary, 2023). Otros tribunales, particularmente en estados como Maryland, han adoptado un estándar más restrictivo (véase infra, sección 4.4).

4.3. El principio de "necesidad estricta" en la jurisprudencia del TJUE (asunto C-118/22) y del TEDH (caso S. y Marper)

En contraste, la jurisprudencia europea ha desarrollado un estándar considerablemente más restrictivo. El Tribunal Europeo de Derechos Humanos (TEDH), en el caso S. y Marper c. Reino Unido (2008), resolvió que el almacenamiento indefinido de perfiles de ADN de individuos condenados vulnera el artículo 8 del Convenio Europeo de Derechos Humanos (derecho a la vida privada) cuando no está acompañado de una justificación específica y proporcional (TEDH, 2008). El tribunal enfatizó que los datos biométricos tienen un carácter intrínsecamente invasivo y que su almacenamiento masivo, incluso de sospechosos no condenados, crea un régimen de vigilancia genética que roza la totalidad.

El Tribunal de Justicia de la Unión Europea (TJUE), en fecha más reciente (sentencia de 30 de enero de 2024 en el asunto C-118/22, NG v. Director de la Policía Nacional de Bulgaria), ha reafirmado que la recogida y almacenamiento de datos biométricos por autoridades públicas está sometido al principio de "necesidad estricta" y debe estar acompañado de garantías específicas contra el acceso indiscriminado. La corte claramente rechazó un enfoque de recolección general de datos biométricos para fines estadísticos generales o de vigilancia, insistiendo en que cada extracción de datos biométricos de un individuo debe ser justificada por una "razón legítima" específica (TJUE, 2024).

4.4. Modelos de regulación específica: El caso de Maryland

Maryland ha legislado específicamente sobre FIGG a través de la Ley de "Genealogía Genética Forense" (2022), que requiere que cualquier búsqueda en una base de datos comercial de genealogía:

Esté autorizada explícitamente por una orden judicial basada en causa probable.
Sea documentada y reportada a un tribunal.
Incluya una notificación posterior al sospechoso de que su perfil fue identificado a través de FIGG.

Maryland representa el modelo más protector en los Estados Unidos, aunque sigue siendo débil en comparación con los estándares europeos.

V. Conflictos Jurídicos en Materia de Protección de Datos

5.1. El desafío del consentimiento: Del consentimiento informado al "consentimiento amplio" (broad consent)

Una de las tensiones centrales en el régimen de DTC-GT es la degradación práctica del consentimiento genuinamente informado. Las empresas operan bajo lo que se denomina "broad consent" (consentimiento amplio): un usuario acepta un formulario de consentimiento genérico que autoriza el tratamiento "para investigación, genealogía, y propósitos secundarios relacionados" sin especificar qué investigaciones, qué terceros participarán, o cómo se utilizarán los datos en contextos forenses (EDPB, 2021; Zhang, 2020).

El RGPD exige que el consentimiento sea "específico" e "informado": el interesado debe comprender exactamente qué está ocurriendo con sus datos. Sin embargo, en la práctica, los usuarios de 23andMe o Ancestry raramente comprenden que sus datos podrían ser accedidos por autoridades de seguridad, o que sus parientes biológicos podrían ser identificados involuntariamente a través de genealogía forense (Zhang, 2020).

Además, el consentimiento en contextos genéticos presenta un problema inherente: una vez que el ADN es recolectado y secuenciado, la revocación del consentimiento no aporta protección práctica. A diferencia de otros datos personales que podrían ser "olvidados" o eliminados, el ADN no puede ser "des-secuenciado". Si la información genética ha sido compartida, copiada, o analizada, la revocación del consentimiento prospectivo no remedios el daño ya ocurrido.

5.2. El problema de la anonimización: ¿Es técnicamente posible el anonimato del genoma bajo el RGPD?

El RGPD y la Directiva 2016/680 permiten ciertos usos de datos genéticos sin consentimiento explícito cuando los datos están anonimizados de forma efectiva. La anonimización significa que el dato no puede ser atribuido a un interesado identificado o identificable.

Sin embargo, existe un consenso técnico y académico creciente de que los genomas completos no pueden ser verdaderamente anonimizados. Incluso cuando se eliminan identificadores directos (nombre, número de identificación), un genoma completo es inherentemente único y puede ser re-identificado mediante:

Búsquedas comparativas: Comparando el genoma "anonimizado" con bases de datos públicas de genealogía o secuencias genómicas (como 1000 Genomes Project, que está de dominio público).
Análisis de datos genealógicos: Incluso sin acceso directo a GEDmatch, los investigadores pueden publicar datos genómicos anonimizados que terceros ingresan en plataformas de genealogía pública.
Inferencia estadística: A través de técnicas de aprendizaje automático, es posible re-identificar individuos incluso a partir de datos genómicos parcialmente enmascarados.

El Consejo Europeo de Protección de Datos ha reconocido esta realidad en orientaciones técnicas recientes, sugiriendo que la "seudonimización" (enmascaramiento reversible) es una opción más realista que la anonimización verdadera para datos genómicos (EDPB, 2021).

5.3. Derechos de terceros y la "autonomía relacional": El impacto del tratamiento de datos en los parientes biológicos

Quizás el desafío más conceptualmente novedoso es el reconocimiento de que los datos genéticos son estructuralmente compartidos. Cuando un individuo proporciona su ADN a 23andMe, no solo está revelando información sobre sí mismo, sino información sobre todos sus parientes biológicos: padres, hermanos, tíos, primos, etc., muchos de los cuales nunca consintiron a que su información genética fuera recolectada (Zhang, 2020).

La jurisprudencia tradicional de privacidad se construye alrededor de derechos individuales autónomos. Pero la privacy genética exige un paradigma diferente: la autonomía relacional. Bajo este enfoque, el derecho a la privacidad genética de un individuo debe estar templado por el reconocimiento de que los parientes biológicos tienen un "interés protegible" en mantener la privacidad de su propia información genética involuntariamente revelada.

Algunos ordenamientos, particularmente en Escandinavia, han comenzado a explorar este concepto. Las leyes de Suecia y Noruega, por ejemplo, reconocen explícitamente que los parientes biológicos tienen derecho a ser notificados si sus datos genéticos van a ser tratados o si han sido identificados a través de búsquedas genealógicas (Ansell y Fagerholm, 2015).

5.4. La exención para fines de investigación científica y sus límites

Tanto el RGPD como la Directiva 2016/680 contienen excepciones explícitas que permiten el tratamiento de datos especiales (incluyendo datos genéticos) "por razones de interés público importante" en el contexto de investigación científica. El artículo 9(2)(j) del RGPD permite el tratamiento de datos genéticos si "es necesario para fines de investigación científica" y está acompañado de "garantías técnicas y organizativas adecuadas".

Sin embargo, el uso de esta exención por parte de empresas comerciales de ADN genera controversia, ya que estas entidades a menudo operan unidades de investigación internas que justifican el tratamiento masivo de datos genéticos fuera del control del usuario. El artículo 89 del RGPD permite que los Estados miembros introduzcan excepciones a derechos fundamentales del interesado —como el derecho de acceso, rectificación, limitación y oposición— si el ejercicio de tales derechos pudiera imposibilitar u obstaculizar gravemente el logro de los fines de la investigación.

Esta potestad derogatoria, si no se equilibra con medidas de seguridad técnicas y organizativas rigurosas (como el cifrado y la seudonimización estricta), corre el riesgo de convertir la investigación científica en un "caballo de Troya" para la vigilancia genética y la explotación comercial indiscriminada (EDPB, 2021; Zhang, 2020).

VI. Responsabilidad Civil y Seguridad frente a Filtraciones de Datos

6.1. Obligaciones de seguridad de las empresas recolectoras de ADN bajo el estándar de la FTC y el RGPD

La protección de los datos genéticos exige un estándar de seguridad técnica y organizativa que sea directamente proporcional a la sensibilidad de la información tratada (FTC, 2024). En el ámbito de los Estados Unidos, la FTC ha establecido que cualquier entidad que recolecte o almacene datos genéticos está bajo el aviso de que se espera una seguridad acorde con el riesgo potencial de daño que su revelación podría causar tanto al individuo como a su red familiar (FTC, 2024). Entre las medidas exigidas se incluyen controles de acceso robustos, el cifrado de datos públicamente accesibles y la monitorización constante de las cuentas de los usuarios para prevenir accesos no autorizados (FTC, 2024).

En el marco de la Unión Europea, el RGPD impone obligaciones similares a través del artículo 32, reforzadas por el artículo 29 en el caso de categorías especiales de datos. El principio de "responsabilidad proactiva" (accountability) obliga a las empresas de DTC-GT a implementar medidas de "protección de datos desde el diseño y por defecto". Las deficiencias en estas prácticas han llevado a acciones de ejecución contra empresas como 1Health/Vitagene y CRI Genetics, acusadas de mantener protocolos de seguridad insuficientes y de engañar a los consumidores sobre su capacidad real de eliminar datos o anonimizarlos de forma efectiva (FTC, 2024).

6.2. Análisis de incidentes críticos: El hackeo de 23andMe y la responsabilidad por negligencia en la custodia

El caso más paradigmático de vulnerabilidad en el sector ha sido el incidente de ciberseguridad de 23andMe, anunciado en octubre de 2023. Este evento resultó en el acceso no autorizado a la información personal de aproximadamente 6,4 millones de clientes en los Estados Unidos (Kroll Settlement, 2026). La filtración puso de manifiesto los riesgos de las funciones de red social dentro de las plataformas genéticas, donde el acceso a una sola cuenta puede comprometer datos de parientes vinculados a través de herramientas de búsqueda de familiares.

La responsabilidad jurídica en estos incidentes suele fundamentarse en la negligencia en la custodia de los datos. En el caso de 1Health/Vitagene, por ejemplo, la FTC alegó que la empresa no cumplió con sus propias promesas de privacidad, al almacenar datos genéticos de forma identificable a pesar de asegurar que se mantenían desvinculados de la identidad del usuario (FTC, 2024). Este tipo de prácticas se consideran "engañosas o injustas", lo que permite la imposición de sanciones civiles sustanciales y la obligación de destruir los datos obtenidos ilícitamente (FTC, 2024).

6.3. Cuantificación del daño y reparación: Desafíos en las demandas colectivas y la suficiencia de los daños estatutarios

La reparación del daño derivado de una filtración genética presenta obstáculos procesales complejos. En el acuerdo de conciliación del litigio de 23andMe, se establecieron medidas reparadoras que incluyen cinco años de servicios gratuitos de monitorización genética y de privacidad, así como reembolsos de hasta 10.000 dólares por gastos documentados derivados del incidente (Kroll Settlement, 2026). No obstante, para la mayoría de los afectados, la compensación en efectivo se limitó a sumas modestas (entre 100 y 165 dólares), lo que plantea interrogantes sobre si estas cifras reflejan el valor real de la pérdida de privacidad de un dato inmutable y hereditario (Kroll Settlement, 2026; Gitter, 2023).

Uno de los principales problemas en la litigación de DTC-GT es la dificultad para obtener la certificación de demanda colectiva (class action). Como se observó en Cole v. Gene by Gene, Ltd., los tribunales han denegado en ocasiones estas certificaciones argumentando que los daños sufridos por los usuarios son individualizados y dependen de los formularios de consentimiento específicos firmados por cada cliente (Gitter, 2023). Esta fragmentación judicial beneficia a las empresas, que pueden utilizar contratos no estandarizados para evitar litigios masivos (Gitter, 2023).

Además, existe una tensión inherente en la valoración del daño: mientras que para el individuo el dato tiene un valor de privacidad, para la empresa el valor es agregado y comercial. Autores como Gitter (2023) sugieren que los daños estatutarios actuales (que oscilan entre 5.000 y 100.000 dólares en estados como Alaska) son insuficientes para disuadir a empresas que generan ingresos anuales de cientos de millones de dólares a través de la explotación de la "materia prima" genética de sus usuarios.

VII. Conclusiones

7.1. Necesidad de armonización internacional frente al vacío legal

El análisis exhaustivo del régimen jurídico de las empresas de recolección de ADN (DTC-GT) revela una fragmentación normativa que compromete la seguridad jurídica global. Mientras que los Estados Unidos operan bajo un modelo sectorial y reactivo centrado en la nondiscriminación (GINA) y la protección del consumidor (FTC), la Unión Europea ha elevado la protección de los datos genéticos a la categoría de derecho fundamental mediante el RGPD (Zhang, 2020). Sin embargo, incluso en el marco europeo, persiste una "laguna legal" respecto a la comercialización directa de estos test, que a menudo se asimilan erróneamente a productos de consumo general, eludiendo la supervisión médica exigida por leyes como la de Investigación Biomédica en España (Cabezas-López, 2019).

La rápida evolución de técnicas como la Genealogía Genética Investigativa (FIGG) ha superado la capacidad de respuesta legislativa, creando un escenario de vacío legal donde las políticas de privacidad corporativas, a menudo modificables de forma unilateral, constituyen la única barrera real entre la intimidad del ciudadano y el escrutinio estatal o comercial (Gitter, 2023; James, 2022). La disparidad entre legislaciones restrictivas, como la de Maryland, y estados con regulaciones mínimas evidencia la urgencia de una armonización internacional que establezca estándares mínimos de protección para una información que, por su naturaleza hereditaria, no conoce fronteras nacionales (Geary, 2023).

7.2. Hacia un equilibrio entre el progreso científico-judicial y la intangibilidad del núcleo de la privacidad humana

El éxito de la FIGG en la resolución de crímenes atroces —desde el Golden State Killer hasta casos de violación agravada— no debe servir de "cheque en blanco" para la erosión de los derechos fundamentales (James, 2022; Noronha, 2014). La jurisprudencia más reciente del TJUE y del TEDH marca un cambio de rumbo necesario: la recogida y el tratamiento de datos genéticos y biométricos por parte de las autoridades debe someterse al principio de "necesidad estricta" y a una motivación individualizada, rechazando el almacenamiento masivo e indiferenciado que caracteriza a los modelos de vigilancia total (TJUE, 2024; Jover, 2026; TEDH, 2008).

Asimismo, el paradigma de la privacidad genética debe evolucionar hacia el reconocimiento de una autonomía relacional. Dado que la información genómica es estructuralmente compartida, el consentimiento individual resulta insuficiente para proteger los intereses de los parientes biológicos, quienes se ven involuntariamente expuestos por las decisiones de sus consanguíneos (Zhang, 2020). El futuro del derecho genético parece orientarse hacia la consolidación de intereses propietarios sobre el ADN —como sugieren las leyes de Alaska y Florida— como mecanismo para devolver al individuo el control sobre su "plano de vida" y asegurar que el progreso biotecnológico no se realice a costa de la dignidad humana (Gitter, 2023).

Referencias

Ansell, R. y Fagerholm, S. (2015). Legislation for forensic investigative genetic genealogy in Sweden. Forensic Science International: Synergy.
Cabezas-López, M. D. (2019). Informe sobre el marco legal de comercialización y uso de los Test Genéticos Directos al Consumidor en España. Ars Pharmaceutica.
DOJ (United States Department of Justice) (2019). Interim Policy: Forensic Genetic Genealogical DNA Analysis and Searching.
EDPB (European Data Protection Board) (2021). Document on response to the request from the European Commission for clarification on the consistent application of the GDPR, focusing on health research.
FTC (Federal Trade Commission) (2024). FTC Calls Out Genetic Data as an Enforcement Priority. WilmerHale.
Geary, L. (2023). A Critical Eye Toward Commercial DNA Database Criminal Procedures. The University of Chicago Law Review.
Gitter, D. M. (2023). Achieving Genetic Data Privacy Through Enforcement of Property Rights. UC Davis Law Review.
James, R. (2022). Uncovering Lies with Family Ties: The Use and Legal Implications of Investigative Genetic Genealogy in the United States and United Kingdom. SMU Law Review.
Jover, J. (2026). El TJUE frena la recogida automática de datos biométricos por la policía. Diario Sabemos.
Kroll Settlement Administration (2026). Settlement Announced in 23andMe Cyber Security Incident Litigation. PR Newswire.
Lynch, J. (2018). Distant Relatives Aren't The Only Ones Looking for Your DNA on Genealogy Sites—Law Enforcement Is Looking, Too. Electronic Frontier Foundation.
Noronha, S. B. (2014). Maryland v. King: Sacrificing the Fourth Amendment to Build up the DNA Database. Maryland Law Review.
TEDH (Tribunal Europeo de Derechos Humanos) (2008). S. y Marper c. Reino Unido (nos. 30562/04 y 30566/04). Gran Cámara.
TJUE (Tribunal de Justicia de la Unión Europea) (2024). Sentencia de 30 de enero de 2024, asunto C-118/22, NG v. Director de la Policía Nacional de Bulgaria.
Zhang, M. (2020). Legal Analysis on the Genetic Privacy Protection: A Comparative Perspective from the United States and the European Union. University of Macau Master Thesis.