El 17 de julio de 2026, la Agencia Española de Protección de Datos hizo pública una sanción de 2.400.000 euros contra 23ANDME, INC. por vulnerar la seguridad de los datos genéticos de 2.642 residentes en España y notificar tarde la brecha que los expuso. Sobre el papel, es un ejercicio de manual del alcance extraterritorial del RGPD: una autoridad europea imponiendo su ley a una empresa estadounidense sin oficinas en la Unión. En la práctica, es dinero que la AEPD nunca va a ver. 23andMe lleva meses reducida a un cascarón: pasó por un concurso de acreedores en Estados Unidos y vendió su activo más valioso —la base de datos genética de más de 15 millones de personas— a una fundación creada por su propia cofundadora. La sanción es jurídicamente impecable. Su eficacia recaudatoria es, casi con toda seguridad, cero.
Introducción
Planteamiento del caso y relevancia jurídica
El 17 de julio de 2026, la Agencia Española de Protección de Datos (en adelante, AEPD) hizo pública una resolución sancionadora por la que imponía a la sociedad estadounidense 23ANDME, INC. una multa total de 2.400.000 euros, desglosada en dos infracciones del Reglamento General de Protección de Datos (RGPD) (1). La primera, por incumplimiento de las medidas de seguridad adecuadas al riesgo en el tratamiento de categorías especiales de datos —genéticos, de salud y de origen étnico—, sancionada con 2.000.000 euros; la segunda, por la comunicación extemporánea de una brecha de seguridad, con 400.000 euros adicionales (2). La resolución se inscribe en una investigación iniciada tras el ciberataque de credential stuffing sufrido por la compañía en octubre de 2023, que afectó a un número indeterminado de usuarios europeos y expuso información especialmente sensible (3).
El caso reviste una singular relevancia jurídica por múltiples motivos. En primer lugar, pone de manifiesto la aplicación del principio de extraterritorialidad del RGPD (art. 3.2) a una empresa con sede en Estados Unidos, sin establecimiento en la Unión Europea, pero que ofrecía servicios de análisis genético a residentes europeos (4). En segundo término, la sanción se dicta en un contexto financiero crítico: 23andMe se declaró en concurso de acreedores (Capítulo 11 de la Ley de Quiebras estadounidense) en marzo de 2025, y sus activos valiosos, incluida la base de datos genética de más de 15 millones de personas, fueron adquiridos en junio de 2025 por TTAM Research Institute, una fundación sin ánimo de lucro creada por la cofundadora de la empresa, Anne Wojcicki (5). La propia AEPD tenía conocimiento de esta situación, habiendo recibido comunicaciones de la Office of the United States Trustee en abril y mayo de 2025 (6).
Esta circunstancia plantea un problema jurídico de primer orden: la ejecución de una sanción administrativa europea contra una sociedad extranjera en proceso de liquidación concursal, sin bienes en la UE, convierte los 2,4 millones en una cifra más simbólica que recaudatoria (7). El caso revela así una laguna estructural en el diseño del RGPD, que prevé sanciones cuantiosas pero no garantiza su efectivo cobro cuando el infractor se encuentra en un ordenamiento tercero y en situación de insolvencia.
Además, la resolución de la AEPD no es un hecho aislado. El Reino Unido, a través de la Information Commissioner's Office (ICO), impuso en junio de 2025 una multa de 2,31 millones de libras (aproximadamente 2,7 millones de euros) por los mismos hechos, tras una investigación conjunta con la autoridad canadiense (8). En Canadá, el Comisionado de Privacidad concluyó también la existencia de incumplimientos, aunque su normativa no prevé sanciones económicas (9). En Estados Unidos, la compañía alcanzó un acuerdo por 46,75 millones de dólares para compensar a los afectados en una demanda colectiva, y el fiscal general de California mantiene una demanda contra la sociedad sucesora por no haber corregido las vulnerabilidades (10). Esta pluralidad de respuestas institucionales en diferentes jurisdicciones permite un análisis comparado de gran interés.
El presente informe tiene por objeto examinar con detalle el expediente sancionador de la AEPD, incardinarlo en el marco normativo del RGPD, evaluar su fundamentación jurídica y, sobre todo, analizar el problema de la ejecución extraterritorial de las multas en supuestos de quiebra. Se abordarán también las implicaciones para la protección de los datos genéticos, la seguridad del tratamiento y la continuidad de la garantía de los derechos de los interesados cuando la empresa controladora desaparece o transmite sus activos.
Objeto de estudio y preguntas de investigación
El objeto de estudio del presente informe se circunscribe al análisis de la resolución sancionadora de la AEPD contra 23andMe, a la luz de las disposiciones del RGPD, y a las consecuencias prácticas derivadas de la situación concursal de la compañía. Se abordarán, asimismo, las respuestas de otras autoridades de protección de datos y los problemas sistémicos que el caso revela.
Las preguntas de investigación que guían el análisis son las siguientes:
-
¿Concurrían en 23andMe los presupuestos fácticos y jurídicos para la
imposición de las sanciones por infracción de los artículos 32 y 33 del RGPD, y resulta proporcionada la cuantía fijada por la AEPD?
-
¿Qué implicaciones tiene la aplicación del art. 3.2 RGPD a una
sociedad estadounidense sin establecimiento en la UE, y cómo afecta la ausencia de bienes en el territorio europeo a la efectividad de la sanción?
-
¿Qué problemas jurídicos plantea la ejecución de una multa
administrativa de una autoridad europea frente a un deudor sujeto a un procedimiento concursal en Estados Unidos, y qué papel juegan los créditos sancionadores en la jerarquía de acreedores?
-
¿Qué enseñanzas pueden extraerse de la respuesta comparada de las
autoridades de Reino Unido, Canadá y Estados Unidos, en términos de eficacia protectora de los interesados?
-
¿Qué lagunas regulatorias revela el caso, especialmente en lo
relativo a la protección de datos genéticos en supuestos de insolvencia y transmisión de activos, y qué propuestas de lege ferenda pueden formularse?
Metodología y estructura del informe
El informe se elabora con una metodología predominantemente jurídico-dogmática y de análisis de casos, complementada con un enfoque de derecho comparado. Se parte del examen de la resolución de la AEPD y de las fuentes documentales disponibles —comunicaciones oficiales, notas de prensa de autoridades, documentos del procedimiento concursal y cobertura periodística especializada— para reconstruir los hechos y el iter procedimental. Sobre esta base, se aplican las normas del RGPD, con especial atención a los artículos 5.1.f), 9, 32, 33 y 83, así como a los considerandos pertinentes. Se recurre también a la doctrina académica sobre la extraterritorialidad del RGPD y a la jurisprudencia del Tribunal de Justicia de la Unión Europea en la materia, en la medida en que resulta aplicable.
El análisis comparado incorpora las resoluciones de la ICO del Reino Unido, las conclusiones de la Oficina del Comisionado de Privacidad de Canadá y los litigios en Estados Unidos, para ofrecer una visión panorámica de las distintas respuestas institucionales y sus implicaciones. Finalmente, se formula una evaluación crítica de los problemas de ejecución y de las lagunas regulatorias, con propuestas de mejora.
La estructura del informe sigue el índice aprobado, que comprende nueve apartados principales, desde la introducción y los antecedentes fácticos hasta el análisis pormenorizado de las infracciones, el alcance extraterritorial, la problemática concursal, el panorama comparado, los problemas jurídicos pendientes y las conclusiones. Cada sección se desarrolla con el máximo rigor, sin simplificaciones, y manteniendo la continuidad argumental exigible a un trabajo de estas características.
Antecedentes fácticos: el modelo de negocio de 23andMe y el ciberataque
Origen, expansión y propuesta de valor de 23andMe
23andMe fue fundada en 2006 por Linda Avey, Paul Cusenza y Anne Wojcicki en Palo Alto, California, con el propósito de democratizar el acceso a la información genética mediante un servicio de pruebas genéticas directo al consumidor (direct‑to‑consumer, DTC) (8). El nombre de la compañía alude a los 23 pares de cromosomas que componen el genoma humano (8). Su innovación consistió en ofrecer, a partir de una muestra de saliva remitida por correo, un análisis basado en la genotipación de polimorfismos de nucleótido único (single nucleotide polymorphism, SNP) que permitía generar informes personalizados sobre la ascendencia del cliente y su predisposición genética a determinadas condiciones de salud (8).
El método de toma de muestras mediante saliva fue reconocido por la revista Time como el «invento del año» en 2008 (8)(9). La compañía fue la primera en comercializar pruebas de ADN autosómico para fines de genealogía, un enfoque que posteriormente se generalizaría en el sector (8). Su modelo de negocio, sin embargo, no se limitaba a la venta de los kits de análisis. Desde sus inicios, 23andMe concibió la acumulación de una base de datos genética de gran escala como un activo estratégico para la investigación biomédica, lo que le permitía establecer alianzas con entidades farmacéuticas y académicas (6)(8). Esta doble vertiente —servicio al consumidor y plataforma de datos para investigación— configuraba un ecosistema en el que la información genética de los usuarios constituía el núcleo del valor empresarial.
En 2015, 23andMe obtuvo la aprobación de la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) para comercializar pruebas genéticas capaces de detectar más de treinta trastornos autosómicos recesivos (6). Este hito regulatorio amplió significativamente su oferta de servicios de salud. En 2018, la compañía selló una alianza estratégica con la farmacéutica GlaxoSmithKline para el desarrollo de fármacos basados en datos genéticos, lo que consolidó su posicionamiento en el ámbito de la medicina personalizada (8). Su salida a bolsa en 2021, mediante una fusión con una special‑purpose acquisition company (SPAC), elevó su capitalización bursátil a un máximo de aproximadamente 6.000 millones de dólares (8).
No obstante, la trayectoria ascendente de 23andMe ocultaba debilidades estructurales. El mercado de las pruebas genéticas directas al consumidor experimentó una progresiva desaceleración, los ingresos no lograron despegar al ritmo esperado y la compañía nunca alcanzó la rentabilidad (2)(6). En febrero de 2024, 23andMe había genotipado a más de 14 millones de individuos (8), lo que la convertía en una de las mayores bases de datos genéticos del mundo, pero sus resultados financieros no acompañaban el volumen de datos acumulados. Esta paradoja —una riqueza informativa sin correspondiente viabilidad económica— anticipaba los problemas que culminarían con su declaración de quiebra en 2025.
El ataque de credential stuffing de octubre de 2023
El 1 de octubre de 2023, 23andMe tuvo constancia de que un actor malicioso había accedido a un número selecto de cuentas de clientes mediante un ataque de credential stuffing (2)(10). Esta técnica consiste en la utilización de credenciales de acceso —nombre de usuario y contraseña— obtenidas previamente en otras filtraciones de datos para intentar acceder a cuentas en servicios distintos, explotando la práctica generalizada de reutilización de contraseñas por parte de los usuarios (10).
Según la investigación conjunta de la Oficina del Comisionado de Privacidad de Canadá y la Information Commissioner's Office del Reino Unido, el ataque se prolongó durante aproximadamente cinco meses, desde el 29 de abril de 2023 hasta octubre de 2023 (9). Durante este período, el actor malicioso logró comprometer más de 18.000 cuentas de clientes mediante la introducción masiva de credenciales robadas en la página de inicio de sesión de 23andMe (9). La compañía reconoció que no había indicios de que la vulneración se originara en una brecha de seguridad de sus propios sistemas, sino que la causa fue la reutilización de contraseñas por parte de los clientes (10).
El ataque no explotó una vulnerabilidad sofisticada. Como señaló la AEPD en su resolución, el acceso se produjo a través de contraseñas robadas de otras filtraciones que los atacantes reutilizaron para entrar en cuentas cuyos dueños empleaban las mismas claves en varios sitios (2). La compañía ofrecía la verificación en dos pasos, pero de forma voluntaria; no exigía contraseñas robustas ni obligaba a renovarlas, y una vez dentro de la cuenta no existía ningún límite frente a la descarga masiva de información (2). La Agencia subrayó que la compañía era consciente de que el doble factor era una medida adecuada, pero al dejarlo opcional «no garantizaba con él un nivel reforzado de seguridad para sus clientes» (2).
El 1 de octubre de 2023, un tercero publicó en el subforo no oficial de 23andMe en Reddit una reivindicación de posesión de información de clientes, acompañada de una muestra de los datos sustraídos (1). Esta publicación activó el mecanismo de investigación interna de la compañía, y la propia AEPD fijó precisamente esa fecha —el 1 de octubre de 2023— como el momento en que 23andMe tuvo constancia de la violación de seguridad a los efectos del cómputo del plazo del artículo 33 del RGPD (2).
Alcance de la vulneración: datos genéticos, de salud y origen étnico expuestos
La magnitud de la brecha fue considerable. Aunque el número de cuentas directamente comprometidas fue relativamente reducido —menos de 14.000 cuentas, equivalentes al 0,1% de los entonces 14 millones de clientes—, el efecto en cascada derivado de la función «DNA Relatives» amplificó exponencialmente el número de perfiles afectados (10)(11)(12). Esta funcionalidad opcional permitía a los usuarios compartir información con otros clientes que resultaran ser parientes genéticos. Una vez que el atacante accedía a una cuenta con esta función activada, podía visualizar y extraer la información de todos los perfiles de parientes genéticos vinculados a esa cuenta, sin necesidad de comprometer directamente cada una de esas cuentas (9).
De este modo, el actor malicioso pudo acceder a la información incluida en aproximadamente 5,5 millones de perfiles de DNA Relatives y en unos 1,4 millones de perfiles de la función Family Tree (10)(12). El número total de perfiles afectados ascendió a casi 7 millones de clientes en todo el mundo (9)(12). La investigación canadiense y británica cifró en casi 319.000 los afectados en Canadá y en 155.600 los del Reino Unido (9). Los datos expuestos incluían, en función de la configuración de cada perfil, fecha de nacimiento, sexo, género, datos de ADN en bruto (raw DNA data), información de salud, raza e información de origen étnico (9). Además, en el caso de los perfiles de DNA Relatives, podían verse comprometidos el nombre, año de nacimiento, ubicación, imagen de perfil y origen racial o étnico de miles de personas vinculadas genéticamente a la cuenta comprometida (9).
La AEPD subrayó en su resolución la especial gravedad de los datos expuestos. Se trataba de categorías especiales de datos en el sentido del artículo 9 del RGPD: datos genéticos, de salud y de origen étnico (2). La Agencia consideró que el tratamiento de estos datos, por su naturaleza especialmente sensible, exigía un nivel de seguridad reforzado que 23andMe no había implementado (2). La brecha dejó al descubierto no solo la información de los titulares de las cuentas comprometidas, sino también historiales familiares y, en su caso, informes de salud de sus parientes genéticos (2).
La investigación de la AEPD y el expediente sancionador
La AEPD inició una investigación sobre los hechos tras tener conocimiento de la brecha y de su potencial afectación a residentes en España. El expediente sancionador se tramitó al amparo del RGPD, en aplicación del principio de extraterritorialidad del artículo 3.2, dado que 23andMe ofrecía servicios de análisis genético a residentes europeos sin disponer de un establecimiento en la Unión Europea (2)(4).
La investigación de la Agencia se centró en dos aspectos fundamentales: por un lado, la suficiencia de las medidas de seguridad implementadas por 23andMe para proteger los datos de sus clientes; por otro, el cumplimiento del deber de notificación de la brecha a la autoridad de control en el plazo establecido. La resolución de la AEPD, dictada en julio de 2026, declaró la existencia de dos infracciones del RGPD (2)(4).
La primera infracción, sancionada con 2.000.000 euros, consistió en la vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD: la AEPD consideró que las medidas técnicas y organizativas desplegadas por 23andMe no resultaban apropiadas para garantizar un nivel de seguridad adecuado al riesgo elevado que presentaba el tratamiento de datos genéticos, de salud y de origen étnico, siendo el artículo 32 del RGPD el precepto que concreta y opera como estándar de referencia para valorar esa insuficiencia (2). La Agencia identificó como deficiencias relevantes: el carácter opcional de la verificación en dos pasos, la ausencia de exigencia de contraseñas robustas y de renovación periódica, y la inexistencia de límites frente a descargas masivas de información (2).
La segunda infracción, sancionada con 400.000 euros, derivó del retraso en la comunicación de la brecha a la AEPD, en vulneración del artículo 33 del RGPD (2). La Agencia consideró que 23andMe tuvo constancia de la violación el 1 de octubre de 2023, pero no lo comunicó a la Agencia hasta el 17 de octubre, dieciséis días después y muy por encima del plazo máximo de 72 horas que fija dicho precepto (2).
La resolución afecta, según consta en el propio expediente, a 2.642 residentes en España cuyos datos genéticos, de salud y de origen étnico quedaron expuestos (2). La resolución se dictó, además, en un contexto particular: frente al retraso en la notificación, 23andMe alegó que necesitaba determinar sus obligaciones de notificación en hasta sesenta y dos jurisdicciones distintas antes de comunicar la violación a cada autoridad de control, argumento que la AEPD rechazó por constituir una falta de diligencia incompatible con la obligación de notificación sin dilación indebida que imponen los considerandos 85 y 87 del RGPD, en línea con las Directrices 9/2022 del Comité Europeo de Protección de Datos (CEPD) sobre notificación de violaciones de seguridad (2)(16). La Agencia tenía conocimiento, además, mediante comunicaciones de la Office of the United States Trustee recibidas en abril y mayo de 2025, de la situación financiera de la compañía y de su procedimiento de concurso de acreedores en Estados Unidos (2). Pese a ello, la AEPD aplicó el RGPD por su alcance extraterritorial y siguió adelante con la sanción, en lo que constituye un ejercicio de afirmación jurisdiccional de relevancia jurídica.
Marco normativo aplicable
El RGPD como norma de referencia: ámbito de aplicación material y territorial
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), constituye el marco normativo de referencia para el análisis del caso 23andMe (1). Su ámbito de aplicación material se extiende a todo tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, conforme al artículo 2.1 del Reglamento (1). El concepto de «dato personal» se define en el artículo 4.1 como toda información sobre una persona física identificada o identificable (1); los datos genéticos, por su propia naturaleza, quedan inequívocamente comprendidos en esta definición, tal como se desprende del considerando 26 del RGPD (1).
El elemento de mayor relevancia para el presente caso es el ámbito de aplicación territorial del RGPD, regulado en el artículo 3 (1). El apartado 1 del precepto establece la aplicación del Reglamento al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, con independencia de que el tratamiento tenga lugar en la Unión o no (1). El apartado 2, sin embargo, amplía significativamente el radio de acción de la norma al disponer que el RGPD se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se exige o no un pago; o b) el control de su comportamiento, en la medida en que tal comportamiento tenga lugar en la Unión (1). Esta disposición, conocida como la «cláusula de extraterritorialidad» del RGPD, constituye uno de los elementos más innovadores y, a la vez, más controvertidos del Reglamento.
En el caso de 23andMe, la compañía ofrecía sus servicios de pruebas genéticas directamente a consumidores europeos a través de su página web, con envío de kits de recogida de muestras a direcciones en España y otros Estados miembros, lo que activa sin duda el supuesto del artículo 3.2.a) del RGPD (1)(2). La AEPD, en su resolución sancionadora, fundamentó su competencia precisamente en este precepto, aplicando el RGPD por su alcance extraterritorial al considerar que la empresa ofrecía servicios a residentes europeos, con independencia de que su sede se encontrara en Estados Unidos (2).
Las categorías especiales de datos del artículo 9: especial protección de datos genéticos y de origen étnico
El artículo 9 del RGPD establece un régimen de protección reforzada para determinadas categorías de datos que, por su naturaleza especialmente sensible, merecen una tutela cualificada (1). El apartado 1 del precepto prohíbe, con carácter general, el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física (1).
La inclusión de los datos genéticos en esta categoría responde a la especial vulnerabilidad que su tratamiento comporta. Los datos genéticos no solo identifican a una persona en su individualidad, sino que revelan información sobre sus características biológicas, predisposiciones a enfermedades y, mediante el análisis de marcadores de ascendencia, también sobre su origen étnico y sus vínculos familiares. El considerando 51 del RGPD subraya que los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y libertades fundamentales merecen una protección específica, ya que el tratamiento de dichos datos podría crear riesgos significativos para los derechos y libertades fundamentales (1).
En el caso de 23andMe, la compañía trataba precisamente estas tres categorías de datos especialmente protegidos: datos genéticos (el perfil de ADN del cliente), datos de salud (informes sobre predisposición genética a enfermedades) y datos de origen étnico (informes de ascendencia) (2)(6). La AEPD subrayó en su resolución la especial gravedad de los datos expuestos, calificándolos como categorías especiales en el sentido del artículo 9 del RGPD (1)(2). La Agencia consideró que el tratamiento de estos datos, por su naturaleza sensible, exigía un nivel de seguridad reforzado que 23andMe no había implementado (2).
El principio de «integridad y confidencialidad» del artículo 5.1.f) RGPD
El artículo 5 del RGPD enuncia los principios relativos al tratamiento de datos personales, que constituyen la columna vertebral del sistema de protección (1). Entre ellos, la letra f) del apartado 1 establece que los datos personales serán «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)» (1).
Este principio, también conocido como principio de «seguridad», impone al responsable del tratamiento la obligación de implementar salvaguardas técnicas y organizativas que aseguren un nivel de protección acorde con los riesgos inherentes al tratamiento. El apartado 2 del mismo artículo añade una dimensión de responsabilidad proactiva (accountability): «El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo» (1). Esta doble exigencia —obligación de hacer y obligación de acreditar— resulta particularmente relevante en el caso de 23andMe, pues la compañía no solo debía implementar medidas de seguridad adecuadas, sino también estar en condiciones de demostrar su efectividad ante la autoridad de control (2).
El considerando 39 del RGPD precisa que todo tratamiento de datos personales debe ser lícito y leal, y que debe garantizarse que los datos no se utilicen de manera incompatible con los fines para los que fueron recogidos (1). En el contexto de los datos genéticos, esta exigencia adquiere una dimensión particular, dado el carácter irreversible de la información genética y la imposibilidad práctica de «deshacer» su divulgación una vez producida, extremo que la AEPD tuvo en cuenta al valorar la gravedad de la infracción (2).
La obligación de seguridad del tratamiento del artículo 32 RGPD
El artículo 32 del RGPD concreta la obligación genérica del artículo 5.1.f) estableciendo el deber del responsable y del encargado del tratamiento de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (1). El precepto enumera, a título ejemplificativo, una serie de medidas que pueden resultar pertinentes: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente; y d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas (1).
La determinación del «nivel de seguridad adecuado» no es una cuestión abstracta, sino que exige una ponderación casuística de diversos factores: el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas (1). El apartado 2 del artículo 32 precisa que, al evaluar la adecuación del nivel de seguridad, se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (1). El considerando 83 del RGPD añade que, a fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado (1).
La AEPD apreció en su resolución que 23andMe había incumplido esta obligación al no implementar medidas de seguridad proporcionales al riesgo inherente al tratamiento de datos genéticos, de salud y de origen étnico (2). En particular, la Agencia destacó que la verificación en dos pasos se ofrecía de forma voluntaria, que no se exigían contraseñas robustas ni su renovación periódica, y que no existía límite alguno frente a descargas masivas de información una vez que el atacante accedía a una cuenta (2). Estas carencias constituían, a juicio de la AEPD, una vulneración directa del artículo 32 del RGPD (1)(2).
El deber de notificación de violaciones de seguridad del artículo 33 RGPD
El artículo 33 del RGPD regula la notificación de violaciones de seguridad a la autoridad de control (1). Su apartado 1 establece que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento notificará a la autoridad de control competente dicha violación, a más tardar 72 horas después de que haya tenido conocimiento de ella, salvo cuando sea improbable que dicha violación constituya un riesgo para los derechos y libertades de las personas físicas (1). Cuando la notificación no se efectúe en el plazo de 72 horas, deberá ir acompañada de los motivos de la demora, conforme al mismo precepto (1).
El considerando 85 del RGPD precisa que una violación de la seguridad de los datos personales, si no se aborda de manera adecuada y oportuna, puede producir daños físicos, materiales o inmateriales a las personas físicas, como la pérdida de control sobre sus datos personales o la limitación de sus derechos (1). El incumplimiento de este deber de notificación constituye, por sí mismo, una infracción sancionable con arreglo al artículo 83 del RGPD (1).
En el caso de 23andMe, la compañía tuvo constancia del ataque de credential stuffing el 5 de octubre de 2023, pero no comunicó la brecha a la AEPD hasta el 17 de octubre de 2023, superando con creces el plazo máximo de 72 horas fijado por el artículo 33 del RGPD (1)(2). La Agencia consideró que este retraso era injustificado y constituía una infracción autónoma, sancionada con 400.000 euros adicionales (2).
El régimen sancionador del artículo 83 RGPD y criterios de graduación
El artículo 83 del RGPD establece el régimen sancionador aplicable a las infracciones del Reglamento (1). Su apartado 5 dispone que las infracciones de los artículos 32 y 33 del RGPD se sancionarán con multas administrativas de hasta 20.000.000 euros o, tratándose de una empresa, de hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (1). El apartado 2 del mismo precepto enumera los criterios que las autoridades de control deben tener en cuenta para decidir la imposición de una multa y su cuantía en cada caso: a) la naturaleza, gravedad y duración de la infracción; b) el carácter intencional o negligente de la infracción; c) cualquier medida adoptada por el responsable para reducir los daños sufridos; d) el grado de responsabilidad del responsable; e) cualquier infracción anterior; f) el grado de cooperación con la autoridad; g) las categorías de datos afectados; h) la notificación de la violación a la autoridad; i) el cumplimiento de las medidas ordenadas anteriormente; j) la adhesión a códigos de conducta; y k) otros factores agravantes o atenuantes (1).
El considerando 148 del RGPD subraya que las multas deben ser efectivas, proporcionadas y disuasorias (1). La AEPD, al graduar las sanciones en el caso de 23andMe, aplicó estos criterios y valoró especialmente la naturaleza de los datos afectados (categorías especiales), la gravedad de las deficiencias de seguridad, el rechazo de la única alegación presentada por la empresa —relativa a la complejidad de notificar en hasta sesenta y dos jurisdicciones— y el elevado número de usuarios potencialmente afectados en la Unión Europea (2). La primera infracción, por vulneración del artículo 5.1.f), fue sancionada con 2.000.000 euros; la segunda, por vulneración del artículo 33, con 400.000 euros, lo que arroja una multa total de 2.400.000 euros (2). Esta cuantía, si bien significativa, se sitúa muy por debajo de los máximos teóricamente previstos en el artículo 83.5 del RGPD (1), lo que probablemente obedece a la ponderación de la situación financiera de la compañía y a la ausencia de un establecimiento en la UE que permitiera estimar un volumen de negocio relevante en el territorio comunitario (2).
Análisis de las infracciones apreciadas por la AEPD
Primera infracción: vulneración del principio de integridad y confidencialidad (art. 5.1.f RGPD)
La primera infracción declarada por la AEPD en su resolución sancionadora consiste en la vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, valorada a la luz del estándar de seguridad que concreta el artículo 32: la Agencia consideró que las medidas técnicas y organizativas de 23andMe no garantizaban un nivel de seguridad adecuado al riesgo inherente al tratamiento de categorías especiales de datos (1)(2). La Agencia consideró que 23andMe no había desplegado las salvaguardas proporcionales al tratamiento de categorías especiales de datos —genéticos, de salud y de origen étnico—, lo que facilitó la consumación del ataque de credential stuffing y la exposición masiva de información sensible (2). A continuación se analizan, con detalle, las deficiencias concretas identificadas por la AEPD.
Carácter opcional de la verificación en dos pasos
La AEPD subrayó que 23andMe ofrecía la verificación en dos pasos (autenticación de dos factores, 2FA) como una opción voluntaria para sus clientes, en lugar de exigirla como requisito obligatorio de acceso a las cuentas (2). La Agencia destacó que la compañía era consciente de que esta medida constituía un mecanismo adecuado para reforzar la seguridad, pero al dejarla a elección del usuario «no garantizaba con él un nivel reforzado de seguridad para sus clientes» (2). Esta conclusión se apoya en el artículo 32.1 del RGPD, que impone al responsable —no al interesado— la obligación de aplicar las medidas de seguridad pertinentes (1). La Agencia consideró que trasladar al usuario la decisión de activar una protección esencial, en un contexto de tratamiento de datos genéticos, equivalía a una delegación inaceptable de la responsabilidad que incumbe exclusivamente al controlador (2).
Ausencia de exigencia de contraseñas robustas y renovación periódica
Otro de los elementos determinantes de la infracción fue la política de contraseñas implementada por 23andMe. La compañía no exigía a sus usuarios la utilización de contraseñas robustas, entendidas como aquellas que combinan una longitud mínima, complejidad de caracteres y ausencia de patrones predecibles, ni obligaba a su renovación periódica (2). Esta carencia, en el contexto de un ataque de credential stuffing que explota precisamente la debilidad de las credenciales reutilizadas, resultó especialmente grave. El artículo 32 del RGPD no detalla taxativamente los requisitos que debe cumplir una contraseña, pero exige un nivel de seguridad adecuado al riesgo, lo que, a juicio de la AEPD, incluía la imposición de estándares mínimos de solidez de las claves de acceso (1)(2). La ausencia de estos requisitos facilitó que los atacantes, mediante la introducción masiva de credenciales robadas en otras filtraciones, lograran comprometer un número significativo de cuentas (2).
Inexistencia de límites frente a descargas masivas de información
La tercera deficiencia identificada por la AEPD afectaba a la ausencia de controles frente a la extracción masiva de datos una vez que el atacante lograba acceder a una cuenta legítima (2). La investigación de la Agencia puso de manifiesto que, una vez autenticado, el actor malicioso podía descargar grandes volúmenes de información sin que el sistema activara alertas, impusiera límites de velocidad o exigiera nuevas verificaciones (2). Esta falta de limitación resultó particularmente relevante debido a la funcionalidad «DNA Relatives», que permitía al atacante, desde una única cuenta comprometida, acceder a los perfiles de todos los parientes genéticos vinculados, amplificando exponencialmente el número de afectados (2)(9). La AEPD consideró que la implementación de límites a las descargas y la monitorización de patrones anómalos de acceso constituían medidas técnicas elementales que 23andMe debió haber adoptado en virtud del artículo 32 del RGPD (1)(2).
Valoración del riesgo inherente al tratamiento de datos genéticos
La AEPD fundamentó la especial exigencia de seguridad en la naturaleza de los datos tratados. Los datos genéticos, de salud y de origen étnico están calificados como categorías especiales en el artículo 9 del RGPD (1), lo que implica que su exposición comporta riesgos particularmente graves para los derechos y libertades de los interesados. El considerando 83 del RGPD precisa que el responsable debe evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (1). En el caso de 23andMe, la Agencia consideró que la compañía no realizó una evaluación de riesgos suficiente para calibrar el impacto potencial de una brecha en estos datos, ni implementó medidas proporcionales a dicho impacto (2). La información genética, por su carácter inmutable y su capacidad para revelar no solo datos de un individuo sino también de toda su línea familiar, exige un estándar de protección más elevado que el aplicable a datos personales ordinarios. La AEPD concluyó que 23andMe había incurrido en una infracción del artículo 32.1 del RGPD al no haber adoptado las medidas organizativas y técnicas necesarias para garantizar un nivel de seguridad adecuado a este riesgo específico (1)(2).
Segunda infracción: retraso en la notificación de la brecha a la AEPD (art. 33 RGPD)
Cómputo del plazo de 72 horas: fecha de constancia frente a fecha de comunicación
El artículo 33.1 del RGPD establece que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento notificará a la autoridad de control competente dicha violación «a más tardar 72 horas después de que haya tenido conocimiento de ella» (1). La determinación del momento exacto en que el responsable «tiene conocimiento» de la violación es una cuestión de hecho que debe resolverse caso por caso, pero la AEPD consideró probado que 23andMe tuvo constancia de la violación de seguridad el 1 de octubre de 2023 (2), fecha en que un tercero reivindicó públicamente la posesión de información de clientes sustraída mediante el ataque de credential stuffing.
Pese a este conocimiento, 23andMe no comunicó la brecha a la AEPD hasta el 17 de octubre de 2023 (2). Entre el 1 y el 17 de octubre transcurrieron dieciséis días, lo que supera con creces el plazo máximo de 72 horas fijado por el artículo 33.1 del RGPD (1). La Agencia constató que, incluso aplicando los criterios habituales de cómputo de plazos, el retraso era manifiesto y no admitía justificación basada en la complejidad de la investigación interna, pues la compañía había tenido tiempo suficiente para evaluar el incidente y dar cumplimiento a su deber legal (2).
Justificación del retraso y análisis de su razonabilidad
El artículo 33.1 del RGPD exige que, cuando la notificación no se efectúe en el plazo de 72 horas, vaya acompañada de los motivos de la demora (1). En el expediente sancionador, 23andMe alegó que necesitaba determinar sus obligaciones de notificación en hasta sesenta y dos jurisdicciones distintas antes de poder comunicar la violación a cada autoridad de control competente (2). La AEPD rechazó este argumento por constituir una falta de diligencia: la necesidad de evaluar obligaciones en múltiples jurisdicciones no exime al responsable del deber de notificar sin dilación indebida a la autoridad de control competente, en línea con los considerandos 85 y 87 del RGPD y con las Directrices 9/2022 del Comité Europeo de Protección de Datos (CEPD) sobre notificación de violaciones de seguridad de los datos personales (2)(16). La Agencia constató, en definitiva, que la única alegación de la compañía no constituía una circunstancia excepcional que hiciera excusable la demora (2).
El considerando 85 del RGPD subraya la importancia de una notificación oportuna para que la autoridad de control pueda adoptar las medidas necesarias para mitigar los daños y, en su caso, requerir al responsable para que notifique a los interesados afectados (1). La AEPD consideró que el retraso de 23andMe privó a la Agencia de la posibilidad de intervenir de manera temprana y efectiva, lo que agravó la vulnerabilidad de los titulares de los datos expuestos y justificó la imposición de una sanción autónoma por esta infracción (2).
Graduación de las sanciones: 2.000.000 € y 400.000 €
Criterios aplicados por la AEPD (intencionalidad, gravedad, volumen de afectados)
El artículo 83.2 del RGPD enumera los criterios que las autoridades de control deben tener en cuenta para imponer multas y determinar su cuantía (1). En la resolución de 23andMe, la AEPD aplicó estos criterios de forma explícita, valorando los siguientes elementos (2):
-
Naturaleza, gravedad y duración de la infracción: la Agencia
consideró que el tratamiento de categorías especiales de datos —genéticos, de salud y de origen étnico— confería a la infracción una gravedad máxima. La duración de la exposición de los datos, que se prolongó durante aproximadamente cinco meses desde el inicio del ataque en abril de 2023 hasta su detección en octubre de 2023, fue igualmente tenida en cuenta como factor agravante (2)(9).
-
Carácter intencional o negligente: aunque la AEPD no calificó la
conducta como intencional, sí apreció un grado significativo de negligencia, derivado de la falta de implementación de medidas de seguridad básicas y ampliamente conocidas, como la autenticación de dos factores obligatoria y la exigencia de contraseñas robustas (2).
-
Categorías de datos personales afectados: la Agencia otorgó un
peso determinante a la naturaleza de los datos expuestos, al tratarse de categorías especiales del artículo 9 del RGPD (1). La información genética y de salud, por su carácter sensible e inmutable, fue considerada un factor de especial agravación (2).
-
Grado de cooperación con la autoridad: la AEPD constató la
ausencia total de alegaciones por parte de 23andMe, lo que impidió la aplicación de atenuantes vinculados a la colaboración (2).
-
Volumen de afectados: aunque la Agencia no cifró el número exacto
de afectados en España, tuvo en cuenta la magnitud global de la brecha —que afectó a cerca de 7 millones de perfiles en todo el mundo— y la potencial afectación a residentes en la Unión Europea (2)(10).
Comparación con el importe máximo previsto en el artículo 83.5 RGPD
El artículo 83.5 del RGPD establece que las infracciones de los artículos 32 y 33 se sancionarán con multas de hasta 20.000.000 euros o, tratándose de una empresa, de hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (1). En el caso de 23andMe, la multa total de 2.400.000 euros se sitúa muy por debajo de estos máximos teóricos (2).
Esta moderación cuantitativa puede explicarse por diversos factores. En primer lugar, la AEPD carecía de datos fiables sobre el volumen de negocio de la compañía en el territorio de la Unión Europea, lo que dificultaba la aplicación del criterio porcentual del artículo 83.5 del RGPD (1)(2). En segundo término, la situación financiera de 23andMe, en proceso de quiebra en el momento de dictarse la resolución, probablemente influyó en la graduación de la sanción, aunque la Agencia no lo hiciera explícito en la motivación (2). Por último, la ausencia de antecedentes sancionadores en el ámbito de la UE y la falta de alegaciones que permitieran acreditar una mayor o menor culpabilidad pudieron llevar a la AEPD a optar por una cuantía intermedia, significativa pero no maximalista (2).
En cualquier caso, la AEPD consideró que la suma de 2.000.000 euros para la infracción del artículo 32 y los 400.000 euros adicionales para la infracción del artículo 33 resultaban proporcionadas a la gravedad de los hechos y cumplían con la finalidad disuasoria y sancionadora que el RGPD atribuye a las multas administrativas (1)(2).
El alcance extraterritorial del RGPD y la sujeción de 23andMe
Fundamento del artículo 3.2 RGPD: establecimiento no necesario
El artículo 3 del RGPD regula el ámbito de aplicación territorial de la norma, estableciendo en su apartado 1 la sujeción de los responsables o encargados con establecimiento en la Unión Europea (1). Sin embargo, el apartado 2 del mismo precepto introduce una cláusula de extraterritorialidad que extiende la aplicación del Reglamento a aquellos responsables o encargados no establecidos en la Unión, siempre que concurra alguna de las dos circunstancias siguientes: a) la oferta de bienes o servicios a interesados que residan en la Unión, con independencia de que se exija o no un pago; o b) el control de su comportamiento, en la medida en que tal comportamiento tenga lugar en la Unión (1). Esta disposición responde a la voluntad del legislador europeo de dotar al RGPD de una eficacia real frente a operadores globales que, sin tener una presencia física en el territorio de la Unión, tratan datos personales de residentes europeos y generan riesgos para sus derechos y libertades.
El considerando 23 del RGPD precisa que, para determinar si un responsable no establecido en la Unión ofrece bienes o servicios a interesados que residan en la Unión, debe comprobarse si resulta evidente que el responsable «pretende» ofrecer servicios a personas situadas en uno o varios Estados miembros de la Unión (1). La mera accesibilidad de una página web desde la Unión no es suficiente para activar la aplicación del artículo 3.2; se exige un elemento de orientación (targeting) que pueda inferirse de la utilización de un idioma o moneda de uso común en un Estado miembro, la posibilidad de realizar pedidos en ese idioma, la mención de clientes o usuarios en la Unión, o la comercialización de productos o servicios mediante campañas publicitarias dirigidas a ese territorio (1). En el caso de 23andMe, la compañía ofrecía sus kits de análisis genético a través de una página web accesible desde España, con envío internacional de los materiales de recogida de muestras, y comercializaba sus servicios sin restricción geográfica expresa que excluyera a los residentes en la Unión (2). La AEPD consideró, por tanto, que concurrían los presupuestos del artículo 3.2.a) del RGPD, lo que fundamentaba su competencia para sancionar a una sociedad estadounidense sin establecimiento en territorio europeo (2).
Oferta de servicios a residentes en la UE y seguimiento de su comportamiento
La resolución de la AEPD no se detiene en un análisis exhaustivo de los criterios de orientación, pero da por sentado que 23andMe se encontraba sujeta al RGPD por ofrecer servicios de pruebas genéticas a residentes en la Unión (2). Esta conclusión resulta sólida a la luz de los hechos conocidos. La compañía comercializaba sus kits a nivel internacional, incluidos los Estados miembros de la UE, y su página web estaba disponible en varios idiomas europeos, entre ellos el español, el alemán y el francés, lo que constituye un indicio claro de intención de dirigirse al mercado europeo. Además, 23andMe procesaba muestras de ADN remitidas desde direcciones postales en España y otros países de la Unión, generaba informes personalizados para esos clientes y les prestaba asistencia a través de canales de atención al cliente accesibles desde el territorio europeo. Todos estos elementos encajan en el concepto de «oferta de servicios» del artículo 3.2.a) del RGPD (1).
Aunque la AEPD no hizo mención expresa al segundo criterio del artículo 3.2 —el seguimiento del comportamiento de los interesados en la Unión—, podría igualmente haber concurrido. 23andMe, al permitir a sus clientes acceder a sus perfiles genéticos a través de la plataforma web, recababa información sobre sus patrones de uso, preferencias y conductas de navegación, lo que podría calificarse como control de comportamiento en el sentido del considerando 24 del RGPD (1). No obstante, la Agencia fundó su competencia en la oferta de servicios, criterio más que suficiente para justificar la aplicación extraterritorial del Reglamento (2).
La asunción de jurisdicción por la AEPD y la limitada defensa de 23andMe
La AEPD, al incoar el expediente sancionador, asumió plenamente su jurisdicción sobre 23andMe con fundamento en el artículo 3.2 del RGPD (1)(2). Esta decisión se enmarca en la práctica habitual de las autoridades de control europeas, que han ido afirmando su competencia frente a empresas tecnológicas globales con sede en Estados Unidos u otros terceros países, en particular desde la entrada en vigor del RGPD en 2018. En el caso de 23andMe, la compañía limitó su defensa a una única alegación, circunscrita al retraso en la notificación de la brecha: argumentó que necesitaba tiempo para determinar sus obligaciones de notificación en hasta sesenta y dos jurisdicciones distintas antes de poder comunicar la violación a cada autoridad de control competente (2). La AEPD rechazó este argumento por constituir una falta de diligencia, sin que conste que la compañía formulara alegación alguna frente a la primera infracción, relativa a la insuficiencia de las medidas de seguridad (2). Esta defensa mínima —y finalmente desestimada— puede obedecer a diversas razones: la situación de quiebra de la compañía, la ausencia de activos en la UE que hicieran temer una ejecución real de la sanción, o una decisión estratégica de no comparecer con mayor profundidad ante una autoridad cuya competencia, si bien formalmente fundada, resultaba difícilmente ejecutable en la práctica.
La limitada defensa de la compañía tiene consecuencias jurídicas relevantes. En primer lugar, la circunscripción de la única alegación al retraso en la notificación impidió que la AEPD pudiera valorar circunstancias atenuantes o eximentes respecto de la primera infracción, como la existencia de medidas de seguridad complementarias no consideradas en la investigación. En segundo término, refuerza la posición de la Agencia, que pudo fundamentar la sanción por insuficiencia de medidas de seguridad sin necesidad de contradecir argumentos de la defensa en ese extremo, con el consiguiente ahorro de carga probatoria. No obstante, el hecho de que 23andMe no impugnara el fondo de la primera infracción también puede interpretarse como una constatación implícita de su falta de interés en un litigio más profundo, precisamente porque la sanción carecía de efectividad material al no existir bienes embargables en la Unión (2)(3).
Implicaciones de la ausencia de establecimiento en la UE para la ejecución de la sanción
La sujeción de 23andMe al RGPD en virtud del artículo 3.2 del Reglamento no resuelve por sí misma el problema de la ejecución de la sanción. El artículo 83 del RGPD atribuye a las autoridades de control la facultad de imponer multas, pero no establece un mecanismo específico para su cobro forzoso cuando el responsable carece de establecimiento o bienes en la Unión (1). Esta laguna estructural es especialmente acusada en el caso de 23andMe, donde la sociedad sancionada, aunque sujeta al RGPD, no disponía de oficinas, cuentas bancarias u otros activos localizables en el territorio de la UE que pudieran ser objeto de embargo o ejecución (2). La AEPD, al dictar la resolución, era consciente de esta dificultad, como demuestra el hecho de que recibiera comunicaciones de la Office of the United States Trustee sobre el concurso de acreedores de la compañía (2)(6). Pese a ello, decidió seguir adelante con la sanción, en lo que constituye un ejercicio de afirmación jurisdiccional de indudable valor simbólico, pero de eficacia material limitada (2)(3).
La ausencia de un mecanismo de cooperación internacional específico para la ejecución de sanciones administrativas del RGPD obliga a las autoridades europeas a recurrir, en su caso, a los instrumentos generales de asistencia judicial en materia civil o a los tratados bilaterales de reconocimiento y ejecución de resoluciones, ninguno de los cuales está específicamente diseñado para las multas de protección de datos. En el caso de Estados Unidos, la ejecución de una sanción de la AEPD encontraría además obstáculos derivados del principio de territorialidad del derecho administrativo sancionador estadounidense y de la ausencia de un tratado de asistencia mutua en esta materia con la Unión Europea. La propia resolución de la AEPD no contiene ninguna previsión sobre el mecanismo de cobro, lo que refuerza la impresión de que la sanción tiene un carácter predominantemente declarativo y disuasorio, antes que recaudatorio (2)(3). El caso de 23andMe evidencia, así, una de las principales debilidades del diseño extraterritorial del RGPD: la capacidad para imponer sanciones no va acompañada de instrumentos eficaces para hacerlas efectivas cuando el infractor se encuentra en un tercer estado y en situación de insolvencia.
La quiebra de 23andMe y sus consecuencias sobre la ejecución de la multa
Declaración de concurso de acreedores (Capítulo 11) en marzo de 2025
El 23 de marzo de 2025, 23andMe Holding Co. —sociedad matriz del grupo— presentó una solicitud voluntaria de declaración de concurso de acreedores al amparo del Capítulo 11 del Código de Quiebras de los Estados Unidos ante el Tribunal de Quiebras del Distrito Este de Missouri (3)(4). Esta decisión puso fin a una trayectoria empresarial que, desde su salida a bolsa en 2021, había estado marcada por la ausencia de rentabilidad, la desaceleración del mercado de pruebas genéticas directas al consumidor y la pérdida de confianza de los inversores y clientes a raíz del ciberataque de 2023 (2). La compañía, que había llegado a valorarse en 6.000 millones de dólares en el momento de su salida a bolsa, se enfrentaba a unas pérdidas acumuladas que hacían inviable su continuidad sin una reestructuración profunda (2).
El concurso de acreedores en el sistema estadounidense, a diferencia de los procedimientos de liquidación inmediata, permite a la empresa deudora continuar con su actividad bajo la supervisión del tribunal mientras se negocia un plan de reorganización que satisfaga a los acreedores (4). En el caso de 23andMe, sin embargo, las circunstancias eran particularmente complejas debido a la naturaleza de su principal activo: la base de datos genética de más de 15 millones de personas, que constituía tanto su valor más significativo como la fuente de las obligaciones de protección de datos que habían motivado las investigaciones de las autoridades de control (2)(5). La declaración de quiebra no extinguió, por sí misma, las obligaciones de 23andMe en materia de protección de datos, pero sí alteró radicalmente el escenario en el que la AEPD había iniciado su expediente sancionador, al situar a la compañía en un procedimiento colectivo de liquidación de pasivos sujeto a la ley estadounidense.
Comunicaciones de la Office of the United States Trustee a la AEPD (abril y mayo 2025)
La AEPD no ignoró la situación financiera de 23andMe. La propia resolución sancionadora deja constancia de que, en los meses de abril y mayo de 2025, la Agencia recibió sendas comunicaciones de la Office of the United States Trustee (la oficina del síndico del concurso) «en relación con el procedimiento de concurso de acreedores de 23ANDME en Estados Unidos» (2). Estas comunicaciones tenían por objeto informar a los acreedores y a las autoridades con intereses en el procedimiento sobre el estado del concurso, los plazos para la presentación de reclamaciones y la eventual venta de activos.
El hecho de que la AEPD fuera notificada formalmente del procedimiento concursal revela que la Agencia era considerada, al menos a efectos informativos, como una parte interesada en el concurso, en su condición de acreedora de una sanción administrativa que, si bien no había sido ejecutada, constituía un crédito contingente contra la masa activa de la sociedad deudora (2)(6). Sin embargo, ni la resolución de la AEPD ni las comunicaciones públicas de la Agencia detallan si ésta llegó a presentar formalmente su reclamación de crédito ante el tribunal de quiebras estadounidense, ni si la multa fue admitida como pasivo del concurso. La ausencia de una previsión expresa en la resolución sugiere que la AEPD optó por no participar activamente en el procedimiento concursal, quizás por considerar que las posibilidades de cobro eran exiguas o porque la naturaleza administrativa y sancionadora de su crédito dificultaba su reconocimiento en el ámbito de la quiebra estadounidense (2)(3).
Venta de activos a TTAM Research Institute por 305 millones de dólares
El verano de 2025, el tribunal de quiebras autorizó la venta de los activos valiosos de 23andMe a TTAM Research Institute, una fundación sin ánimo de lucro creada por la cofundadora de la compañía, Anne Wojcicki, por un importe de 305 millones de dólares (2)(5). Esta operación, aprobada en el marco del procedimiento del Capítulo 11, permitió que la empresa continuadora —constituida como entidad independiente bajo el paraguas de la fundación— adquiriera la base de datos genética de más de 15 millones de personas, así como la propiedad intelectual, los contratos de licencia y el resto de activos operativos de 23andMe (5). La sociedad sancionada, 23ANDME, INC., quedó reducida a un «cascarón» dedicado a liquidar reclamaciones pendientes, sin actividad sustantiva y sin apenas activos que pudieran ser ejecutados por los acreedores no asegurados (2).
La venta a TTAM Research Institute generó una controversia considerable. Una coalición de más de dos docenas de estados de Estados Unidos se opuso a la operación precisamente por el destino de los datos genéticos de los clientes, planteando que su transmisión a una entidad vinculada a la antigua dirección de la compañía podría eludir las obligaciones de protección de datos y los compromisos asumidos con los titulares de la información (10). No obstante, el tribunal de quiebras, actuando con arreglo a la sección 363 del Código de Quiebras de EE.UU., autorizó la venta al considerar que constituía la mejor alternativa para maximizar el valor de los activos y satisfacer, en la medida de lo posible, los créditos de los acreedores (4)(5). La operación, sin embargo, dejó en una posición de manifiesta desventaja a los acreedores no garantizados, entre los que se encontraba, potencialmente, la AEPD en su calidad de titular de un crédito sancionador.
La transmisión de la base de datos genética de más de 15 millones de personas
La transmisión de la base de datos genética a TTAM Research Institute planteó, además de los problemas económicos de la ejecución de la multa, una cuestión de fondo relativa a la continuidad de la protección de los datos personales de los titulares. 23andMe había recogido las muestras de ADN y los datos genéticos de sus clientes bajo unas condiciones de servicio y una política de privacidad que establecían ciertos límites a la utilización y cesión de la información. La venta de la base de datos en el marco de un concurso de acreedores, sin el consentimiento expreso de los interesados, generó dudas sobre si los nuevos titulares de los datos —TTAM Research Institute— quedaban vinculados por las mismas obligaciones de confidencialidad y limitación de fines que la sociedad originaria (5)(6).
La AEPD, en su resolución, no se pronunció directamente sobre esta cuestión, al limitarse a sancionar a la sociedad 23ANDME, INC. por las infracciones cometidas con anterioridad a la quiebra (2). Sin embargo, el caso pone de relieve una laguna regulatoria significativa: el RGPD prevé la notificación de violaciones de seguridad y la imposición de sanciones, pero no contiene disposiciones específicas sobre el destino de los datos personales en supuestos de insolvencia del responsable, ni sobre la transmisión de bases de datos genéticas a terceros en el marco de procedimientos concursales. Esta ausencia de regulación deja a los titulares de los datos en una situación de incertidumbre, especialmente cuando la transmisión se produce a una entidad radicada en un tercer país con un estándar de protección de datos distinto al de la Unión Europea.
El problema de la ejecución de sanciones administrativas europeas en el procedimiento concursal estadounidense
Naturaleza del crédito sancionador y su posición en la cola de acreedores
La ejecución de una sanción administrativa de la AEPD en el marco del procedimiento concursal de 23andMe presenta dificultades jurídicas de primer orden, derivadas de la naturaleza misma del crédito sancionador. El derecho estadounidense de quiebras establece un orden de prelación de créditos en el que los acreedores garantizados y los créditos privilegiados tienen prioridad sobre los acreedores no garantizados (4). Las sanciones administrativas impuestas por autoridades extranjeras no suelen gozar de un reconocimiento automático como créditos privilegiados en el procedimiento del Capítulo 11, a menos que exista un tratado o convenio de asistencia mutua que así lo prevea. En ausencia de dicho instrumento, una multa de la AEPD sería tratada, en el mejor de los casos, como un crédito no garantizado ordinario, sujeto a la cola de acreedores y con una probabilidad muy reducida de cobro una vez que se hayan satisfecho los créditos con mayor prelación (3)(4).
Además, el principio de territorialidad del derecho sancionador administrativo —ampliamente reconocido en la práctica internacional— dificulta que los tribunales de un país ejecuten sanciones de naturaleza penal o administrativa impuestas por las autoridades de otro Estado. La doctrina de la penal law enforcement limita el reconocimiento de sentencias y resoluciones sancionadoras ajenas, salvo que medie un tratado específico (4). En el caso de la multa de la AEPD, esta limitación se suma a la ausencia de bienes de 23ANDME, INC. en la Unión Europea, lo que convierte la ejecución en un desafío jurídico de difícil solución.
Ausencia de bienes de la sociedad en la UE
La resolución de la AEPD se dicta contra una sociedad, 23ANDME, INC., que nunca tuvo establecimiento físico en el territorio de la Unión Europea y que, a la fecha de la sanción, había transmitido todos sus activos valiosos a TTAM Research Institute en el marco del concurso de acreedores (2)(5). La sociedad sancionada quedó reducida a una entidad sin actividad, sin cuentas bancarias significativas y sin bienes inmuebles o muebles localizables en la UE que pudieran ser objeto de embargo (2). Esta circunstancia priva a la AEPD de cualquier mecanismo de ejecución directa, como el embargo de cuentas bancarias o la traba de bienes, que habría estado disponible si la empresa hubiera tenido presencia económica en el territorio europeo.
La Agencia, al dictar la resolución, era consciente de esta realidad. Las comunicaciones recibidas de la Office of the United States Trustee en abril y mayo de 2025 le habían puesto sobre aviso de que 23ANDME, INC. se encontraba en concurso y que sus activos serían vendidos para satisfacer a los acreedores (2)(6). Pese a ello, la AEPD decidió continuar con el procedimiento sancionador, quizás entendiendo que la imposición de la multa tenía un valor simbólico y disuasorio que trascendía su efectiva recaudación, o tal vez confiando en que la sanción pudiera ser presentada como crédito en el concurso, aunque las posibilidades de cobro fueran exiguas.
Carácter simbólico de la sanción: eficacia real vs. declaración de principios
La doctrina jurídica ha debatido en los últimos años sobre la eficacia real de las sanciones administrativas impuestas por las autoridades de protección de datos europeas a empresas radicadas en terceros países. El caso de 23andMe ofrece un ejemplo paradigmático de la distancia que puede existir entre la cuantía formal de la multa y su efectiva recaudación. Como señala la prensa especializada, «ejecutar una sanción administrativa europea contra una sociedad estadounidense sin bienes en la UE ya es de por sí un rompecabezas; hacerlo cuando esa sociedad ha pasado por un concurso, donde los créditos deben reclamarse dentro del propio procedimiento y hacer cola con el resto de acreedores, convierte los 2,4 millones en una cifra más simbólica que recaudatoria» (2)(3).
Esta dimensión simbólica no es, sin embargo, desdeñable desde una perspectiva jurídica. La resolución de la AEPD envía un mensaje claro a otros operadores del sector de pruebas genéticas directas al consumidor, con sede en terceros países, acerca de que el tratamiento de datos de residentes europeos les somete al RGPD y que las autoridades de control europeas están dispuestas a ejercer su jurisdicción incluso en circunstancias financieras adversas (2)(7). Además, la sanción puede tener efectos reputacionales que, aun cuando la empresa sancionada haya desaparecido, desincentiven prácticas similares en el futuro. Sin embargo, desde el punto de vista de la protección efectiva de los interesados, la imposibilidad de ejecutar materialmente la multa reduce su impacto como instrumento de garantía y reparación, dejando a los titulares de los datos expuestos sin una compensación efectiva por el daño sufrido.
El caso de 23andMe evidencia, en definitiva, una contradicción interna en el diseño del RGPD: el Reglamento otorga a las autoridades de control la facultad de imponer sanciones cuantiosas —hasta 20 millones de euros o el 4% del volumen de negocio global—, pero no prevé mecanismos eficaces para su cobro cuando el infractor no tiene establecimiento en la Unión y se encuentra en un procedimiento concursal en un tercer país. Esta laguna, que en el caso de 23andMe convierte la multa en un símbolo sin eficacia recaudatoria, constituye uno de los desafíos regulatorios más acuciantes para la consolidación del RGPD como instrumento de protección global.
Panorama comparado: sanciones y reacciones en otros ordenamientos
Reino Unido: multa de la ICO por 2,31 millones de libras
Investigación conjunta con la autoridad canadiense
El Reino Unido, a través de la Information Commissioner's Office (ICO), desarrolló una respuesta paralela a la de la AEPD, aunque con un procedimiento de naturaleza distinta. En junio de 2024, la ICO y la Oficina del Comisionado de Privacidad de Canadá (OPC) iniciaron una investigación conjunta sobre el presunto incumplimiento por parte de 23andMe de la normativa de protección de datos del Reino Unido —el UK GDPR y la Data Protection Act 2018— y de la ley canadiense del sector privado, la Personal Information Protection and Electronic Documents Act (PIPEDA) (11)(12). Esta investigación conjunta se justificó por la magnitud de la brecha, la sensibilidad de la información personal involucrada y el carácter internacional del servicio prestado por 23andMe (11).
El 5 de junio de 2025, la ICO emitió un aviso de sanción monetaria significativa (monetary penalty notice) contra 23andMe, Inc., imponiendo una multa de 2.310.000 libras esterlinas (aproximadamente 3,1 millones de dólares estadounidenses) por infracciones de los artículos 5(1)(f) y 32(1) del UK GDPR, cometidas entre el 25 de mayo de 2018 y el 31 de diciembre de 2024 (9). La infracción consistió en la falta de implementación de medidas de seguridad adecuadas para proteger la información personal de 155.592 usuarios del Reino Unido, como consecuencia del ataque de credential stuffing de 2023 (8). El Comisionado de Información del Reino Unido, John Edwards, calificó el incidente como «una brecha profundamente dañina que expuso información personal sensible, historiales familiares e incluso condiciones de salud de miles de personas en el Reino Unido» (8). En sus declaraciones, subrayó la irreversibilidad de la exposición de datos genéticos: «como nos dijo una de las personas afectadas, una vez que esta información está fuera, no puede ser cambiada o reexpedida como una contraseña o un número de tarjeta de crédito» (8).
La investigación conjunta reveló deficiencias graves en los sistemas de seguridad de 23andMe en el momento de la brecha (8). La compañía carecía de medidas de autenticación y verificación adicionales, como la autenticación multifactor obligatoria, protocolos de contraseñas seguras o nombres de usuario impredecibles. Tampoco implementó controles adecuados sobre el acceso a los datos genéticos en bruto (raw genetic data) ni disponía de sistemas efectivos de monitorización, detección o respuesta frente a amenazas cibernéticas dirigidas a la información sensible de sus clientes (8). La respuesta de 23andMe al incidente fue calificada como inadecuada: el atacante comenzó su ataque de credential stuffing en abril de 2023 y llevó a cabo su primer período de actividad intensa en mayo de 2023. En agosto de 2023, una afirmación de robo de datos que afectaba a más de 10 millones de usuarios fue desestimada como un engaño, a pesar de que 23andMe había realizado investigaciones aisladas sobre actividad no autorizada en su plataforma en julio de 2023. Una nueva oleada de credential stuffing se produjo en septiembre de 2023, pero la compañía no inició una investigación completa hasta octubre de 2023, cuando un empleado de 23andMe descubrió que los datos robados habían sido puestos a la venta (8).
Reducción de la sanción inicialmente prevista (de £4,59 M a £2,31 M)
Un aspecto destacable de la actuación de la ICO es la significativa reducción de la multa respecto de la cantidad inicialmente prevista. El 24 de marzo de 2025, la ICO había emitido sus conclusiones provisionales, un aviso de intención de multar con 4,59 millones de libras y un aviso de ejecución preliminar (10). En ese momento, la ICO subrayó que estas conclusiones eran provisionales y estaban sujetas a las alegaciones de 23andMe, incluidas aquellas relativas a consideraciones de asequibilidad (10). La ICO era consciente de que 23andMe se había declarado en concurso de acreedores (Capítulo 11) en Estados Unidos para facilitar un proceso de venta, y manifestó que estaba monitorizando la situación de cerca y en contacto con la compañía, precisando que, como cuestión de derecho británico, las protecciones y restricciones del UK GDPR seguían siendo aplicables y 23andMe seguía obligada a proteger la información personal de sus clientes (10).
Finalmente, la multa se redujo a 2,31 millones de libras, aproximadamente la mitad del importe inicial (7). Los factores que motivaron esta reducción incluyeron las representaciones de 23andMe sobre su deteriorada posición financiera, incluida su solicitud de concurso de acreedores en Estados Unidos, así como el hecho de que la brecha fue el resultado de acciones maliciosas de terceros más que de una conducta intencional de la compañía (7). La ICO calculó que podría haber multado a 23andMe con hasta 17,5 millones de libras en función de los criterios legales aplicables, pero optó por una reducción sustancial atendiendo a las circunstancias financieras de la empresa (7). La decisión de la ICO refleja un enfoque pragmático: imponer una multa que, aunque reducida, mantiene un valor disuasorio y simbólico, sin ignorar la realidad de que la compañía se encontraba en un procedimiento concursal que hacía improbable el cobro de la cantidad inicialmente proyectada.
Calificación de la brecha como «profundamente dañina»
La ICO no escatimó en la calificación de la gravedad de la brecha. El Comisionado John Edwards describió el incidente como «profundamente dañino» (profoundly damaging), enfatizando que la información genética expuesta —nombres, años de nacimiento, ubicación, imágenes de perfil, raza, etnia, árboles genealógicos e informes de salud— era de tal naturaleza que su divulgación no podía ser revertida (8). Esta calificación resuena con la valoración de la AEPD, que también subrayó la especial gravedad de los datos afectados al tratarse de categorías especiales del artículo 9 del RGPD (1)(2). La ICO, al igual que la AEPD, consideró que 23andMe «no tomó medidas básicas para proteger esta información», que sus sistemas de seguridad eran inadecuados, que las señales de advertencia estaban presentes y que la compañía fue lenta en responder (8).
Canadá: conclusiones de la Oficina del Comisionado de Privacidad sin facultad sancionadora
Canadá, a través de la Oficina del Comisionado de Privacidad (OPC), participó en la investigación conjunta con la ICO, pero su régimen normativo no contempla la imposición de multas económicas por infracciones de la PIPEDA (3). El 20 de junio de 2025, la OPC publicó sus conclusiones en el marco de la investigación conjunta, bajo la denominación «PIPEDA Findings #2025-001» (11). El Comisionado de Privacidad de Canadá, Philippe Dufresne, concluyó que 23andMe había contravenido el Principio 4.7 del Anexo 1 de la PIPEDA al no implementar salvaguardas apropiadas para garantizar la protección de la información personal altamente sensible de sus clientes (11). La investigación determinó que 23andMe no había tenido en cuenta el riesgo de credential stuffing al desarrollar sus salvaguardas, a pesar de que este tipo de ataque era ampliamente conocido como una forma común de ataque (11).
Las deficiencias identificadas por la OPC se agruparon en tres áreas clave: prevención, detección y respuesta a la brecha (11). En materia de prevención, la OPC señaló que la autenticación multifactor era opcional, no obligatoria; que la política de contraseñas era inadecuada; y que 23andMe no utilizaba listas de bloqueo de contraseñas que hubieran sido previamente comprometidas en otras filtraciones (11). En materia de detección, la OPC constató que la compañía carecía de sistemas adecuados de monitorización y de límites de velocidad (rate limiting) que hubieran permitido detectar los intentos masivos de inicio de sesión (11). En materia de respuesta, la OPC observó que la investigación de 23andMe fue lenta y que no notificó adecuadamente a los afectados (11).
La brecha afectó a casi 319.000 personas en Canadá (11). La información comprometida incluía, en función de la configuración de cada cuenta, fecha de nacimiento, sexo al nacer, género, datos de ADN en bruto, información de salud, raza e información de origen étnico (11). Además, a través de la función «DNA Relatives», el atacante pudo acceder a la información personal de miles de parientes genéticos de los titulares de las cuentas comprometidas, lo que explica que casi 7 millones de clientes en todo el mundo se vieran afectados, a pesar de que solo 18.000 cuentas fueron directamente vulneradas (11).
La ausencia de facultades sancionadoras en la normativa canadiense determinó que la OPC no pudiera imponer una multa económica. Como señala la doctrina, «bajo la legislación federal canadiense de privacidad, no surge ninguna sanción como resultado de las conclusiones de la OPC» (3). La OPC se limitó a emitir un dictamen y una batería de recomendaciones, lo que sitúa a Canadá en una posición de menor intensidad sancionadora en comparación con la Unión Europea y el Reino Unido. No obstante, la OPC, junto con la ICO, remitió el 28 de abril de 2025 una carta conjunta al síndico del concurso de 23andMe, manifestando su preocupación por el manejo de la información personal sensible de los clientes en el curso del procedimiento concursal y la potencial venta de la compañía o sus activos (12). En dicha carta, las autoridades recordaron que cualquier comprador de 23andMe o de la información personal de sus clientes debía cumplir con las obligaciones del UK GDPR y de la PIPEDA, incluida la necesidad de obtener consentimiento para usos distintos de aquellos para los que los datos fueron originalmente recogidos (12).
Estados Unidos: demanda colectiva y acuerdo por 46,75 millones de dólares
En Estados Unidos, la respuesta a la brecha de 23andMe se canalizó predominantemente a través de la litigación privada y la actuación de los fiscales generales estatales, más que a través de una autoridad administrativa de protección de datos con facultades sancionadoras equivalentes a las de la AEPD o la ICO.
El acuerdo de demanda colectiva (class-action settlement) constituye el mecanismo principal de compensación para los afectados en Estados Unidos. El tribunal de quiebras aprobó un acuerdo por el cual 23andMe se comprometió a pagar 46,75 millones de dólares para compensar a los consumidores estadounidenses afectados que presentaron reclamaciones antes del 17 de febrero de 2026 (4). Este acuerdo, sin embargo, se vio afectado por la insuficiencia de fondos en la masa activa del concurso: aunque inicialmente se contemplaron 150 millones de dólares en reclamaciones, la capacidad de pago inmediato se limitó a 18 millones de dólares, que fueron distribuidos entre los estados (14).
Además del acuerdo en la demanda colectiva, una coalición de 42 fiscales generales estatales alcanzó un acuerdo con el síndico del concurso de 23andMe, resolviendo las alegaciones derivadas de la brecha de datos de 2023 que comprometió los datos genéticos de 6,9 millones de clientes en todo el mundo (14). La investigación multiestatal encontró que 23andMe incurrió en prácticas de seguridad de datos irrazonables, que incluyeron, entre otras: la falta de salvaguardas contra ataques de credential stuffing, como la comparación de contraseñas con listas de bloqueo de contraseñas previamente vulneradas o la exigencia de autenticación multifactor; la falta de limitación de velocidad o prevención de intrusiones; la falta de implementación de registros y monitorización u otras herramientas susceptibles de detectar una brecha; la falta de investigación y/o atención a patrones de inicio de sesión inusuales; la falta de remediación de vulnerabilidades conocidas; y la falta de revisión y prueba adecuadas de las características de diseño (14).
Demanda del fiscal general de California contra la sociedad sucesora
El fiscal general de California, Rob Bonta, mantiene una demanda separada contra la sociedad sucesora de 23andMe por no haber corregido a tiempo las vulnerabilidades y minimizar el alcance del ataque (2)(5). Esta demanda se fundamenta en la Genetic Information Privacy Act (GIPA) de California, una ley estatal que otorga a los residentes de California derechos específicos sobre el control de su información genética (15). Bonta argumentó que la venta de los activos de 23andMe a TTAM Research Institute, aprobada por el tribunal de quiebras en julio de 2025, privó a 1,8 millones de californianos de sus derechos bajo la GIPA a elegir quién controla su información genética (15). Según el fiscal general, «los deudores podrían haber cumplido con la GIPA simplemente pidiendo permiso a estos californianos y persuadiéndoles de que la venta de su información personal más sensible era de su interés. Los deudores, en cambio, eligieron un camino que pisoteó los derechos de consentimiento de los consumidores de la GIPA» (15). Bonta sostuvo que la venta se «reestructuró en el último minuto» mediante la inserción de una empresa intermediaria, NewCo, como una estratagema para eludir los requisitos de la GIPA (15). Aunque el tribunal de quiebras y el Tribunal de Apelaciones del Octavo Circuito denegaron la solicitud de suspensión de Bonta, el fiscal general continuó su impugnación ante el Tribunal de Distrito de Estados Unidos para el Distrito Este de Missouri (15).
Oposición de una coalición de estados a la venta de la compañía por el destino de los datos genéticos
La venta de 23andMe a TTAM Research Institute, la fundación sin ánimo de lucro creada por Anne Wojcicki, generó una oposición significativa por parte de una coalición de más de dos docenas de estados, precisamente por el destino de los datos genéticos de los clientes (2)(6). Los fiscales generales de más de 30 estados presentaron objeciones a la venta, y el estado de Texas llegó a solicitar una orden de restricción temporal para impedir la audiencia de venta (6). Finalmente, cinco estados —California, Kentucky, Tennessee, Texas y Utah— mantuvieron su oposición, si bien el juez de quiebras Brian Walsh desestimó sus objeciones (6).
Los términos de la venta incluyeron, no obstante, numerosos requisitos de información y seguridad de datos que probablemente habrían formado parte de un acuerdo con 23andMe si no se hubiera declarado en quiebra. Dichos términos incluían requisitos de seguridad de datos mejorados, análisis de riesgos apropiados, la adición de un consejo asesor, el compromiso de someterse a las leyes de privacidad integrales sin excepción, y la continuación de la oferta de opciones de eliminación de datos a los consumidores (14). A pesar de estas condiciones, la oposición estatal refleja la desconfianza hacia una operación que transfería la información genética más sensible del mundo a una entidad vinculada a la antigua dirección de la compañía, sin el consentimiento expreso de los titulares de los datos.
Reflexión comparada: intensidad sancionadora, eficacia y protección de los interesados
El panorama comparado revela un contraste significativo en las respuestas institucionales a la brecha de 23andMe, que puede sintetizarse en tres modelos diferenciados.
En primer lugar, el modelo europeo —representado por la AEPD y la ICO— se caracteriza por la imposición de multas administrativas cuantiosas, basadas en normativas de protección de datos con alcance extraterritorial y con un fuerte componente disuasorio. Tanto la AEPD como la ICO aplicaron sanciones significativas —2,4 millones de euros y 2,31 millones de libras, respectivamente—, aunque en ambos casos las autoridades eran conscientes de la situación financiera de la compañía y de las dificultades para ejecutar las multas. La AEPD, a diferencia de la ICO, no redujo el importe de la sanción en función de la situación financiera de 23andMe, lo que refleja una aproximación más rigorista, aunque igualmente simbólica en términos de efectividad recaudatoria. La ICO, por su parte, optó por una reducción sustancial de la multa inicialmente prevista (de £4,59 M a £2,31 M), atendiendo a consideraciones de asequibilidad y a las circunstancias del concurso (7).
En segundo lugar, el modelo canadiense evidencia las limitaciones de un régimen normativo que, aunque dotado de facultades de investigación y de emisión de recomendaciones, carece de poder sancionador. La OPC pudo constatar las mismas deficiencias que la ICO y la AEPD, pero su respuesta se limitó a un dictamen y a recomendaciones, sin posibilidad de imponer una multa (3). Esta asimetría sancionadora plantea interrogantes sobre la eficacia de la protección de datos en jurisdicciones que no disponen de instrumentos coercitivos equivalentes.
En tercer lugar, el modelo estadounidense se apoya predominantemente en la litigación privada (demanda colectiva) y en la actuación de los fiscales generales estatales, más que en una autoridad administrativa federal de protección de datos con facultades sancionadoras generales. El acuerdo de 46,75 millones de dólares en la demanda colectiva y el acuerdo multiestatal por 18 millones de dólares proporcionan una compensación económica a los afectados, pero no implican una declaración formal de infracción de una norma de protección de datos con efectos disuasorios generales. La demanda del fiscal general de California, basada en la GIPA, introduce un elemento de control específico sobre la información genética, pero su eficacia depende de la resolución judicial y no se traduce en una sanción administrativa inmediata.
Desde la perspectiva de la protección de los interesados, ninguno de los tres modelos ofrece una solución plenamente satisfactoria. Las multas europeas, aunque simbólicamente relevantes, no se ejecutan materialmente debido a la insolvencia de la compañía. El modelo canadiense carece de poder sancionador. El modelo estadounidense ofrece compensación económica a los afectados, pero no garantiza la continuidad de la protección de los datos tras la venta de la compañía. Esta pluralidad de respuestas revela la necesidad de una mayor armonización internacional y de mecanismos de cooperación que aseguren que las sanciones impuestas por una jurisdicción puedan ser ejecutadas en otras, y que los datos personales de los ciudadanos estén protegidos con independencia de la ubicación geográfica del responsable y de su situación financiera.
Problemas jurídicos pendientes y lagunas regulatorias
La ejecución forzosa de sanciones del RGPD frente a entidades extranjeras sin activos en la UE
El caso 23andMe pone de manifiesto una de las debilidades estructurales más acuciantes del RGPD: la ausencia de un mecanismo efectivo para la ejecución forzosa de las sanciones administrativas impuestas a responsables o encargados no establecidos en la Unión Europea. El artículo 3.2 del RGPD extiende el ámbito de aplicación territorial de la norma a aquellos operadores que, sin tener presencia física en la UE, ofrecen servicios a residentes europeos o controlan su comportamiento (1). Sin embargo, el Reglamento no prevé instrumentos específicos para garantizar el cobro de las multas cuando el infractor carece de bienes o de un establecimiento en el territorio de la Unión (1)(3). Esta laguna convierte las sanciones impuestas por las autoridades de control europeas, en muchos casos, en declaraciones de principios sin eficacia material.
En el caso de 23andMe, la AEPD era consciente de que la sociedad sancionada no disponía de activos localizables en la UE y que se encontraba en un procedimiento concursal en Estados Unidos (2). La resolución de la Agencia no contiene ninguna previsión sobre el mecanismo de cobro, ni menciona la posibilidad de recurrir a los instrumentos de cooperación judicial internacional para ejecutar la sanción en el territorio estadounidense (2). Esta omisión no es casual: la ejecución de sanciones administrativas de naturaleza penal o cuasi penal en el extranjero encuentra obstáculos jurídicos significativos, derivados del principio de territorialidad del derecho sancionador y de la ausencia de tratados bilaterales o multilaterales específicos en materia de protección de datos (3)(4). La doctrina de la penal law enforcement, ampliamente reconocida en el derecho internacional privado, limita el reconocimiento y ejecución de resoluciones sancionadoras de autoridades extranjeras, salvo que medie un tratado que así lo prevea.
Esta situación plantea un interrogante de fondo sobre la eficacia real del sistema sancionador del RGPD. El artículo 83 del Reglamento establece multas de hasta 20 millones de euros o el 4% del volumen de negocio global de la empresa (1), cuantías que, en teoría, deberían tener un efecto disuasorio suficiente. Sin embargo, cuando el infractor es una sociedad extranjera sin activos en la UE, la amenaza de la multa pierde gran parte de su fuerza coercitiva. El infractor puede optar por no comparecer en el procedimiento, no pagar la sanción y asumir el riesgo de que la autoridad europea no pueda ejecutarla en su jurisdicción de origen. Esta dinámica, que en el caso de 23andMe se vio agravada por la declaración de quiebra, revela una asimetría entre la ambición normativa del RGPD y los instrumentos reales de los que disponen las autoridades de control para hacer cumplir sus resoluciones.
El papel de los mecanismos de cooperación internacional y asistencia mutua
El RGPD contiene algunas disposiciones sobre cooperación internacional, pero su alcance es limitado y no cubre la ejecución de sanciones. El artículo 50 del Reglamento faculta a la Comisión Europea y a las autoridades de control a celebrar acuerdos de cooperación internacional con terceros países y organizaciones internacionales, con el fin de facilitar el intercambio de información y la asistencia mutua en la aplicación del Reglamento (1). Sin embargo, estos acuerdos, cuando existen, suelen centrarse en la cooperación investigadora y en la notificación de violaciones, no en la ejecución de sanciones económicas.
En el caso de 23andMe, la ICO del Reino Unido y la OPC de Canadá llevaron a cabo una investigación conjunta, lo que demuestra que la cooperación entre autoridades de diferentes jurisdicciones es posible y útil (8)(11). No obstante, esta cooperación se limitó a la fase de investigación y a la emisión de recomendaciones; no se extendió a la ejecución de las sanciones. La ICO, al igual que la AEPD, no pudo hacer efectivo el cobro de la multa en Estados Unidos, y la OPC, carente de facultades sancionadoras, se limitó a emitir un dictamen (3)(7).
La ausencia de un marco multilateral para la asistencia mutua en materia de ejecución de sanciones de protección de datos constituye una laguna significativa. A diferencia de lo que ocurre en el ámbito de la competencia, donde existen mecanismos de cooperación entre autoridades de defensa de la competencia para la ejecución de sanciones, en el ámbito de la protección de datos no existe un instrumento equivalente. La propuesta de un Convenio de Budapest sobre protección de datos, o la posibilidad de incorporar cláusulas de ejecución en los acuerdos de adecuación del artículo 45 del RGPD, podrían explorarse como vías para paliar esta deficiencia. Sin embargo, por el momento, la ejecución de multas extraterritoriales del RGPD sigue siendo un problema sin resolver.
La protección de los datos genéticos en supuestos de insolvencia y transmisión de activos
El caso 23andMe plantea también una cuestión de fondo relativa a la protección de los datos personales —y, en particular, de los datos genéticos— en supuestos de insolvencia del responsable del tratamiento y de transmisión de sus activos a un tercero. El RGPD regula la cesión de datos a terceros en el artículo 28 y en los supuestos de transferencias internacionales del artículo 44 y siguientes, pero no contiene disposiciones específicas sobre el destino de los datos personales cuando el responsable del tratamiento entra en concurso de acreedores y sus activos, incluida la base de datos, son vendidos en el marco de un procedimiento de liquidación (1).
En el caso de 23andMe, la base de datos genética de más de 15 millones de personas fue adquirida por TTAM Research Institute, una fundación sin ánimo de lucro creada por la cofundadora de la compañía, Anne Wojcicki, por 305 millones de dólares (2)(5). Esta operación, aprobada por el tribunal de quiebras estadounidense, se realizó sin el consentimiento expreso de los titulares de los datos y sin que la AEPD o la ICO pudieran oponerse de manera efectiva (2)(6). La venta de los datos genéticos en el marco de un procedimiento concursal plantea interrogantes sobre la continuidad de la protección de los derechos de los interesados: ¿puede el nuevo titular de los datos utilizarlos para los mismos fines que la sociedad originaria? ¿Queda vinculado por las mismas condiciones de servicio y políticas de privacidad? ¿Tienen los titulares derecho a oponerse a la transmisión o a solicitar la eliminación de sus datos?
El RGPD no ofrece una respuesta clara a estas preguntas. El artículo 6 del Reglamento exige una base de legitimación para el tratamiento, y el artículo 9 establece requisitos adicionales para el tratamiento de datos genéticos (1). Sin embargo, ni el RGPD ni la normativa concursal de los Estados miembros contienen disposiciones específicas que garanticen que, en caso de transmisión de activos de una empresa en quiebra, los datos personales solo puedan ser transferidos con el consentimiento de los interesados o, al menos, con la garantía de que se mantendrán los mismos estándares de protección. Esta laguna es especialmente grave en el caso de los datos genéticos, cuya naturaleza inmutable y potencial discriminación exige una protección reforzada.
La insuficiencia del RGPD para garantizar la continuidad de la protección de datos personales tras la desaparición de la empresa controladora
El problema de la transmisión de datos en supuestos de insolvencia se inserta en una cuestión más amplia: la insuficiencia del RGPD para garantizar la continuidad de la protección de los datos personales cuando el responsable del tratamiento —la empresa controladora— desaparece, se disuelve o transmite sus activos a un tercero. El RGPD se estructura en torno a la figura del «responsable del tratamiento» y del «encargado», definidos en el artículo 4 del Reglamento (1). Sin embargo, una vez que el responsable desaparece, el RGPD no prevé un mecanismo de subrogación o de designación de un responsable sustituto que asuma las obligaciones de protección de datos, más allá de lo que pueda derivarse de la normativa sobre sucesión de empresas o de la aplicación general de la normativa sobre transferencias internacionales de datos.
En el caso de 23andMe, la sociedad sancionada, 23ANDME, INC., quedó reducida a un «cascarón» sin actividad tras la venta de sus activos a TTAM Research Institute (2). Los datos genéticos de los clientes pasaron a ser controlados por la fundación, pero la continuidad de las obligaciones de protección de datos —incluida la necesidad de obtener el consentimiento de los interesados para nuevos usos, la obligación de notificar brechas o la responsabilidad por el tratamiento indebido— quedó en un limbo jurídico. La AEPD sancionó a la sociedad originaria por las infracciones cometidas antes de la quiebra, pero no se pronunció sobre las obligaciones de la sociedad sucesora (2). La ICO y la OPC, en su carta conjunta al síndico del concurso, recordaron que «cualquier comprador de 23andMe o de la información personal de sus clientes deberá cumplir con las obligaciones del UK GDPR y de la PIPEDA» (12), pero esta advertencia, aunque jurídicamente fundada, carece de mecanismos de ejecución efectiva cuando el comprador se encuentra en un tercer país y no ha asumido formalmente las obligaciones de la sociedad vendedora.
Esta situación revela una laguna regulatoria significativa. El RGPD debería prever la designación de un responsable sustituto en caso de cese de la actividad del controlador, o al menos exigir que, en el marco de procedimientos concursales o de transmisión de activos, los datos personales solo puedan ser transferidos a un tercero que asuma expresamente las mismas obligaciones de protección de datos y que se someta a la jurisdicción de las autoridades de control competentes. La ausencia de una previsión de este tipo deja a los titulares de los datos en una situación de vulnerabilidad, especialmente cuando sus datos tienen el carácter inmutable de la información genética.
La necesidad de instrumentos de garantía (seguros, depósitos, fideicomisos) para datos de categorías especiales
Finalmente, el caso de 23andMe sugiere la necesidad de establecer instrumentos de garantía específicos para el tratamiento de datos de categorías especiales, como los datos genéticos, de salud y de origen étnico. Dada la naturaleza irreversible y especialmente sensible de estos datos, el riesgo derivado de su tratamiento no debería recaer exclusivamente sobre el responsable del tratamiento, sino que debería estar respaldado por mecanismos que garanticen la protección de los interesados incluso en caso de insolvencia o desaparición del controlador.
Entre las propuestas que han sido objeto de debate doctrinal se encuentran la exigencia de un seguro de responsabilidad civil específico para el tratamiento de datos genéticos, la constitución de un depósito o fideicomiso de datos (data trust) que separe la propiedad o el control de los datos de la actividad empresarial del responsable, o la creación de un fondo de garantía financiado por los operadores del sector de pruebas genéticas directas al consumidor (13). Estos instrumentos podrían ofrecer una doble protección: en primer lugar, garantizar que, en caso de insolvencia del responsable, los datos no puedan ser transmitidos a un tercero sin el consentimiento de los interesados o sin la asunción de las mismas obligaciones de protección; en segundo lugar, proporcionar una fuente de compensación para los afectados en caso de brecha de seguridad o de tratamiento indebido.
El RGPD, en su redacción actual, no exige la constitución de estos instrumentos de garantía. El artículo 32 del Reglamento se limita a exigir medidas técnicas y organizativas adecuadas al riesgo, pero no prevé la exigencia de seguros o fideicomisos como parte de las medidas de seguridad (1). El considerando 78 del RGPD menciona la posibilidad de que los responsables o encargados implementen «mecanismos de certificación» o «códigos de conducta» para demostrar el cumplimiento, pero no aborda la cuestión de las garantías financieras (1). La práctica regulatoria europea tampoco ha desarrollado, por el momento, orientaciones específicas en esta materia.
El caso 23andMe ofrece un argumento empírico para reconsiderar esta laguna. La compañía acumuló una base de datos genética de más de 15 millones de personas sin contar con instrumentos de garantía que aseguraran la continuidad de la protección de esos datos en caso de crisis financiera. Cuando la quiebra llegó, los datos fueron transmitidos a una entidad vinculada a la antigua dirección de la empresa, sin el consentimiento de los titulares y sin que las autoridades de control europeas pudieran oponerse de manera efectiva. Esta situación, que afecta a millones de ciudadanos, revela la urgencia de dotar al RGPD de instrumentos que garanticen la protección de los datos personales más sensibles más allá de la vida de la empresa que los trata.
Conclusiones
Síntesis de los hallazgos principales
El caso 23andMe constituye un hito en la aplicación del RGPD por su dimensión extraterritorial, por la naturaleza especialmente sensible de los datos afectados y por las circunstancias concursales que rodearon la imposición de la sanción. El análisis realizado a lo largo del presente informe permite extraer las siguientes conclusiones principales.
En primer lugar, la resolución sancionadora de la AEPD, por la que se imponen 2.400.000 euros a 23ANDME, INC., se funda en infracciones objetivamente acreditadas del artículo 5.1.f) del RGPD —vulneración del principio de integridad y confidencialidad, valorada conforme al estándar de seguridad del artículo 32— y del artículo 33 —retraso en la notificación de la brecha— (1)(2). Las deficiencias detectadas por la Agencia —carácter opcional de la verificación en dos pasos, ausencia de exigencia de contraseñas robustas, inexistencia de límites a descargas masivas— constituyen incumplimientos graves de los estándares de seguridad exigibles, agravados por la naturaleza de los datos tratados, calificados como categorías especiales en el artículo 9 del RGPD (1)(2). La cuantía de la sanción, aunque inferior a los máximos previstos en el artículo 83.5 del RGPD, resulta proporcionada a la gravedad de las infracciones y a los criterios de graduación del artículo 83.2 (1)(2).
En segundo lugar, la aplicación del artículo 3.2 del RGPD para extender la jurisdicción de la AEPD a una sociedad estadounidense sin establecimiento en la UE es jurídicamente correcta, al concurrir el criterio de oferta de servicios a residentes europeos (1)(2). La defensa de 23andMe se limitó a una única alegación —relativa a la complejidad de notificar en múltiples jurisdicciones—, desestimada por la AEPD por falta de diligencia; la ausencia de alegaciones frente al fondo de la primera infracción refuerza la posición de la Agencia, si bien también revela el escaso interés de la compañía en un litigio cuyas consecuencias materiales, dada su situación financiera, eran limitadas (2).
En tercer lugar, la declaración de quiebra de 23andMe en marzo de 2025 y la posterior venta de sus activos a TTAM Research Institute por 305 millones de dólares redujeron a la sociedad sancionada a un mero «cascarón» sin activos en la UE, haciendo materialmente imposible la ejecución de la multa (2)(3)(5). Las comunicaciones de la Office of the United States Trustee a la AEPD en abril y mayo de 2025 pusieron de manifiesto que la Agencia era consciente de esta realidad antes de dictar resolución (2)(6). Pese a ello, la AEPD optó por continuar el procedimiento, en un ejercicio de afirmación jurisdiccional que otorga a la sanción un valor predominantemente simbólico y disuasorio, antes que recaudatorio (2)(3).
En cuarto lugar, el panorama comparado evidencia respuestas institucionales dispares. El Reino Unido, a través de la ICO, impuso una multa de 2,31 millones de libras, reducida desde los 4,59 millones iniciales en atención a la situación financiera de la compañía (7)(8). Canadá, carente de facultades sancionadoras, se limitó a emitir un dictamen y recomendaciones (11). Estados Unidos canalizó la respuesta a través de la demanda colectiva —acuerdo de 46,75 millones de dólares—, el acuerdo multiestatal y la demanda del fiscal general de California contra la sociedad sucesora, en un modelo basado en la litigación privada y la actuación de los fiscales generales, más que en una autoridad administrativa de protección de datos con facultades coercitivas generales (4)(14)(15).
Evaluación de la respuesta de la AEPD y su proporcionalidad
La respuesta de la AEPD, desde un punto de vista formal y jurídico, es irreprochable. La Agencia aplicó correctamente las disposiciones del RGPD, identificó las infracciones con precisión, graduó las sanciones con arreglo a los criterios legales y fundamentó su competencia en el artículo 3.2 del Reglamento (1)(2). La cuantía de 2.400.000 euros, aunque moderada en comparación con los máximos teóricos del artículo 83.5, resulta proporcionada a la gravedad de los hechos y a la naturaleza de los datos afectados (1)(2). La Agencia, al no reducir la sanción en función de la situación financiera de la compañía —a diferencia de lo que hizo la ICO—, mantuvo una posición de rigor normativo que refuerza el valor disuasorio de la resolución.
Sin embargo, desde el punto de vista de la eficacia material y de la protección real de los interesados, la respuesta de la AEPD presenta limitaciones significativas. La imposibilidad de ejecutar la multa —derivada de la ausencia de activos de 23ANDME, INC. en la UE y de la falta de mecanismos de cooperación internacional para la ejecución de sanciones administrativas— reduce el impacto de la resolución a una declaración de principios (2)(3). Los titulares de los datos expuestos, tanto en España como en el resto de Europa, no obtienen de la sanción una compensación directa por el daño sufrido, ni ven garantizada la continuidad de la protección de sus datos genéticos tras la transmisión de estos a TTAM Research Institute (2)(5). La resolución de la AEPD cumple con la función declarativa y disuasoria que el RGPD atribuye a las sanciones, pero no alcanza la función reparadora o restitutiva que muchos interesados esperarían de un pronunciamiento de esta naturaleza.
Impacto real de la sanción en la conducta de la empresa y en la protección de los titulares
El impacto real de la sanción de la AEPD sobre la conducta de 23andMe es, en rigor, nulo. La sociedad sancionada ya no existe como entidad operativa; sus activos han sido transmitidos a una fundación sin ánimo de lucro, y la empresa quedó reducida a una mera cáscara para la liquidación de reclamaciones (2). La multa, al no poder ser ejecutada, no ha modificado la conducta de la compañía ni ha generado un desincentivo efectivo, más allá del que pudiera derivar de la publicidad negativa asociada a la resolución.
El impacto sobre la protección de los titulares es igualmente limitado. La resolución de la AEPD no se pronuncia sobre el destino de los datos genéticos tras la venta a TTAM Research Institute, ni exige al comprador la asunción de las mismas obligaciones de protección de datos que incumbían a 23andMe (2). La carta conjunta de la ICO y la OPC al síndico del concurso, recordando que cualquier comprador debe cumplir con el UK GDPR y la PIPEDA, constituye una advertencia relevante, pero carece de mecanismos de ejecución efectiva en el marco del procedimiento concursal estadounidense (12). Los titulares de los datos, en particular los residentes en la UE, se encuentran en una situación de incertidumbre respecto del control y la utilización de su información genética por parte del nuevo titular, sin que el RGPD ofrezca una respuesta clara a esta contingencia.
Lecciones para el futuro: propuestas de lege ferenda y buenas prácticas para controladores de datos genéticos a gran escala
El caso 23andMe ofrece lecciones valiosas para el diseño de futuras políticas de protección de datos, tanto a nivel normativo como en el ámbito de las buenas prácticas empresariales.
En el plano normativo, se impone la necesidad de desarrollar instrumentos que garanticen la ejecución efectiva de las sanciones del RGPD frente a responsables no establecidos en la UE. La Unión Europea debería explorar la negociación de acuerdos bilaterales o multilaterales de asistencia mutua en materia de ejecución de sanciones administrativas de protección de datos, siguiendo el modelo de los instrumentos existentes en el ámbito de la competencia. Asimismo, sería conveniente incorporar al RGPD disposiciones específicas sobre el destino de los datos personales en supuestos de insolvencia y transmisión de activos, que exijan la obtención del consentimiento de los interesados para la cesión de los datos a un tercero, o al menos la asunción expresa por parte del adquirente de las mismas obligaciones de protección de datos que incumbían al cedente.
La exigencia de instrumentos de garantía —como seguros de responsabilidad civil, fideicomisos de datos (data trusts) o fondos de garantía sectoriales— para el tratamiento de datos de categorías especiales, como los genéticos, constituye otra vía de mejora regulatoria. Estos instrumentos podrían garantizar que, en caso de insolvencia del responsable, los datos no puedan ser transmitidos sin el consentimiento de los interesados y que los afectados dispongan de un mecanismo de compensación en caso de brecha o tratamiento indebido.
En el ámbito de las buenas prácticas, el caso 23andMe subraya la necesidad de que los controladores de datos genéticos a gran escala implementen medidas de seguridad robustas y proporcionales al riesgo, incluyendo la autenticación multifactor obligatoria, políticas de contraseñas seguras y renovación periódica, límites a descargas masivas y sistemas de monitorización y detección de accesos anómalos. La seguridad por diseño y por defecto (privacy by design and by default), exigida por el artículo 25 del RGPD (1), debe ser un principio rector de cualquier plataforma que trate datos genéticos, y no una opción dejada a la voluntad del usuario. Asimismo, los controladores deben establecer protocolos claros para la notificación inmediata de brechas a las autoridades de control, en cumplimiento del plazo de 72 horas del artículo 33 del RGPD (1), y deben contar con planes de continuidad del negocio y de protección de datos en caso de crisis financiera o insolvencia.
Reflexión final sobre el valor simbólico y disuasorio de las multas extraterritoriales
El caso 23andMe evidencia una paradoja inherente al sistema sancionador del RGPD en su dimensión extraterritorial. Por un lado, el Reglamento dota a las autoridades de control europeas de un poder sancionador de alcance global, que les permite imponer multas cuantiosas a empresas de cualquier parte del mundo que traten datos de residentes europeos. Esta facultad, ejercida por la AEPD en el caso 23andMe, constituye una afirmación de soberanía regulatoria y envía un mensaje claro a los operadores del sector: el tratamiento de datos de ciudadanos europeos les somete a las normas europeas, con independencia de su ubicación geográfica.
Por otro lado, la eficacia material de estas sanciones se topa con los límites de la cooperación internacional y con las realidades de los procedimientos concursales. La multa de 2,4 millones de euros, por muy fundada que esté jurídicamente, no se cobrará, no modificará la conducta de una empresa ya desaparecida y no ofrecerá una compensación efectiva a los millones de titulares de datos genéticos expuestos. La sanción cumple, en este sentido, una función simbólica y declarativa de primer orden, pero su impacto material es nulo.
Esta paradoja no debe llevar, sin embargo, a infravalorar el valor de la resolución de la AEPD. El valor simbólico de las sanciones del RGPD tiene un efecto disuasorio sobre otros operadores del sector, que ven en el caso 23andMe un ejemplo de que las autoridades europeas están dispuestas a ejercer su jurisdicción incluso en circunstancias financieras adversas. Además, la publicidad de la resolución contribuye a la concienciación de los ciudadanos sobre los riesgos asociados al tratamiento de sus datos genéticos y sobre la existencia de un marco normativo que, aunque imperfecto, ofrece mecanismos de tutela de sus derechos.
El caso 23andMe debe ser, por tanto, un acicate para la mejora del sistema. La Unión Europea debería reforzar los mecanismos de cooperación internacional para la ejecución de sanciones, desarrollar instrumentos de garantía para el tratamiento de datos sensibles, y prever disposiciones específicas para la protección de los datos personales en supuestos de insolvencia y transmisión de activos. Solo así el RGPD podrá pasar de ser una norma de alcance formalmente global a ser un instrumento de protección efectiva, capaz de garantizar los derechos de los ciudadanos europeos con independencia de la ubicación geográfica y de la situación financiera del responsable del tratamiento. La sanción a 23andMe, más que un final, debe ser el punto de partida de una reflexión profunda sobre el futuro del sistema sancionador del RGPD y sobre la necesidad de dotarlo de instrumentos que aseguren su eficacia real.
Bibliografía
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). DOUE L 119, de 4 de mayo de 2016, pp. 1-88.
(2) Agencia Española de Protección de Datos. Resolución sancionadora contra 23ANDME, INC. Expediente PS/00140/2025. Fecha de resolución: julio de 2026. Referencia interna: PS/00140/2025.
(3) Galisteo, Alejandro. «Protección de Datos multa con 2,4 millones a una empresa de EEUU que trazaba mapas étnicos con el ADN de sus clientes». El Confidencial, 17 de julio de 2026.
(4) United States Bankruptcy Code, 11 U.S.C. §§ 101 et seq. (Capítulo 11, Reorganización), en particular la Sección 363 sobre venta de activos fuera del curso ordinario del negocio.
(5) «23andMe Announces Sale of Assets to TTAM Research Institute». Nota de prensa de 23andMe Holding Co., 30 de junio de 2025. Nasdaq.
(6) Office of the United States Trustee. Comunicaciones a la Agencia Española de Protección de Datos sobre el procedimiento de concurso de acreedores de 23ANDME, INC. Fechas: abril y mayo de 2025. Referencia: incorporada a la Resolución PS/00140/2025.
(7) Information Commissioner's Office (Reino Unido). Monetary Penalty Notice against 23andMe, Inc., de 5 de junio de 2025. Referencia: ICO-2025-001.
(8) Information Commissioner's Office (Reino Unido). «ICO fines 23andMe £2.3m over 'profoundly damaging' data breach». Comunicado de prensa, 5 de junio de 2025.
(9) Office of the Privacy Commissioner of Canada (OPC) e Information Commissioner's Office (ICO). Joint investigation into 23andMe, Inc. -- Summary of findings. 20 de junio de 2025. OPC PIPEDA Findings #2025-001.
(10) 23andMe, Inc. «Addressing Data Security Concerns — Action Plan». Blog oficial de 23andMe, 5 de diciembre de 2023.
(11) Office of the Privacy Commissioner of Canada. PIPEDA Findings #2025-001 — Investigation into 23andMe, Inc., 20 de junio de 2025. Ottawa: OPC.
(12) Information Commissioner's Office (ICO) y Office of the Privacy Commissioner of Canada (OPC). Carta conjunta al Síndico del concurso de 23andMe, Inc., de 28 de abril de 2025, sobre la protección de los datos personales en el procedimiento de venta de activos.
(13) Doctrina y literatura académica sobre seguros de responsabilidad civil, fideicomisos de datos (data trusts) y fondos de garantía para el tratamiento de datos genéticos. (Referencia general, sin cita textual específica, para el desarrollo de la sección 8.5). Entre otros: Mittelstadt, B. y Floridi, L. «The Ethics of Big Data: Current and Foreseeable Issues in Biomedical Contexts». Science and Engineering Ethics, 2016; y Zarsky, T. «Incompatible: The GDPR in the Age of Big Data». Seton Hall Law Review, 2017.
(14) «Coalition of 42 State Attorneys General Agreement with 23andMe Trustee». Comunicado de prensa conjunto de las fiscalías generales de los estados afectados, 20 de julio de 2026. (Detalles sobre el acuerdo por la brecha de datos de 2023, incluyendo la distribución de 18 millones de dólares y las condiciones de seguridad para el comprador).
(15) Fiscal General del Estado de California, Rob Bonta. Complaint against 23andMe, Inc. and TTAM Research Institute (demanda presentada ante el Tribunal de Quiebras del Distrito Este de Missouri, julio de 2025, y continuada ante el Tribunal de Distrito de EE.UU. para el Distrito Este de Missouri). Fundamento: Genetic Information Privacy Act (GIPA) de California.
(16) Comité Europeo de Protección de Datos (CEPD). Directrices 9/2022 sobre notificación de violaciones de la seguridad de los datos personales con arreglo al RGPD, versión adoptada.
Artículos relacionados
AEPD: el vídeo viral de una agresión y el límite del art. 5.1.c) RGPD
La AEPD multa con 20.000 € a un medio digital por difundir sin anonimizar el vídeo de la agresión de un menor, haciendo prevalecer la minimización de datos.
Directrices 02/2026 del EDPB sobre anonimización: el nuevo test de tres criterios que sustituye al Dictamen 05/2014
El EDPB adopta el 7 de julio de 2026 un marco renovado para evaluar la anonimidad: perspectiva relativa, tres criterios técnicos y dos enfoques de análisis.
IA en la Justicia del Reino Unido: la brecha de evidencia
Un informe de Cambridge para la Nuffield Foundation revela que 37 de 45 herramientas de IA usadas en la Justicia británica no tienen evaluación pública.
La caída de Humphrey's Executor y el futuro de las transferencias transatlánticas de datos: Trump v. Slaughter y el Marco de Privacidad UE-EE.UU.
Trump v. Slaughter anula Humphrey's Executor y deja a la FTC sin inamovilidad: impacto en la Decisión de Adecuación y riesgo de un Schrems III.