En el mundo de las nuevas tecnologías, pocas historias han captado tanto la atención como la de 23andMe, la empresa pionera en pruebas genéticas de consumo directo. Fundada en 2006 en California, 23andMe prometía democratizar el acceso al conocimiento genético, permitiendo a millones de personas explorar su ascendencia y predisposiciones de salud a través de un simple kit de saliva. Sin embargo, su trayectoria ha estado marcada por controversias, desde un ciberataque masivo en 2023 hasta su declaración de quiebra en 2025 y la reciente venta de sus activos, incluyendo una base de datos con información genética de aproximadamente 15 millones de usuarios. Este artículo analiza el caso desde la perspectiva del derecho informático, explorando las implicaciones legales de la gestión de datos genéticos, las vulneraciones de seguridad, y los desafíos regulatorios en un contexto global, con especial atención a la protección de datos en Argentina y América Latina.
El Ascenso y la Promesa de 23andMe
23andMe se convirtió en un referente global al ofrecer pruebas genéticas accesibles por menos de 200 dólares. Los usuarios enviaban una muestra de saliva y, semanas después, recibían informes detallados sobre su ascendencia, rasgos genéticos y, en algunos casos, predisposiciones a enfermedades. La empresa también conectaba a usuarios con parientes lejanos a través de su herramienta “DNA Relatives” y colaboraba con farmacéuticas, como GlaxoSmithKline, para desarrollar medicamentos basados en datos genéticos anonimizados. Con una valoración de 6.000 millones de dólares tras su salida a bolsa en 2021, 23andMe parecía destinada al éxito. Sin embargo, su modelo de negocio, basado en ventas únicas de kits y monetización de datos, resultó insostenible.
El Hackeo de 2023: Una Brecha de Seguridad Masiva
En octubre de 2023, 23andMe sufrió un ciberataque que comprometió los datos de aproximadamente 6,9 millones de usuarios, casi la mitad de su base de clientes. Los atacantes utilizaron una técnica conocida como credential stuffing, explotando contraseñas reutilizadas por usuarios en otros sitios web hackeados. Aunque la empresa afirmó que su base de datos principal no fue vulnerada, los ciberdelincuentes accedieron a información sensible, incluyendo nombres, fechas de nacimiento, ubicaciones, árboles genealógicos y, en algunos casos, datos de salud.
Particularmente alarmante fue la filtración de datos de usuarios identificados como judíos asquenazíes y de ascendencia china, que fueron puestos a la venta en la dark web por precios de entre 1 y 10 dólares por perfil. Este incidente no solo expuso vulnerabilidades en la seguridad de 23andMe, sino que también levantó preocupaciones éticas sobre el manejo de datos genéticos, considerados datos personales sensibles bajo regulaciones como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En Argentina, la Ley de Protección de Datos Personales (Ley 25.326) clasifica los datos genéticos como sensibles, exigiendo un consentimiento expreso y medidas de seguridad robustas, requisitos que 23andMe no pudo garantizar plenamente.
La Agencia Española de Protección de Datos (AEPD) abrió un expediente contra 23andMe en octubre de 2024, aún en trámite, por posibles incumplimientos en la protección de datos de ciudadanos europeos. Este caso subraya la extraterritorialidad de las normativas de protección de datos, un aspecto clave para usuarios latinoamericanos que confiaron sus datos a una empresa estadounidense con regulaciones más laxas.
La Quiebra y la Incertidumbre sobre los Datos Genéticos
Tras años de dificultades financieras, exacerbadas por la saturación del mercado de kits de ADN y las demandas millonarias derivadas del hackeo, 23andMe se declaró en quiebra el 23 de marzo de 2025 bajo el Capítulo 11 de la Ley de Quiebras de Estados Unidos. La empresa, que llegó a valer 6.000 millones de dólares, vio su valoración desplomarse a menos de 20 millones. La renuncia de su cofundadora y CEO, Anne Wojcicki, y la dimisión en bloque de su junta directiva en septiembre de 2024 marcaron el inicio de su colapso.
La quiebra desató temores sobre el destino de los datos genéticos de 15 millones de usuarios, un activo valioso que la empresa busca vender bajo supervisión judicial. El fiscal general de California, Rob Bonta, emitió una alerta instando a los usuarios a eliminar sus datos y muestras biológicas de la plataforma, amparándose en la Ley de Privacidad del Consumidor de California (CCPA). Sin embargo, la legislación estadounidense no otorga a los datos genéticos el mismo nivel de protección que a los historiales médicos, lo que genera un vacío legal. En Argentina, la Ley 25.326 y su decreto reglamentario 1558/2001 exigen que los datos personales solo se utilicen para los fines consentidos por el titular, pero la transferencia de datos a un nuevo propietario podría complicar el cumplimiento de esta norma
La Venta a Regeneron: ¿Un Nuevo Capítulo o Más Riesgos?
El 19 de mayo de 2025, 23andMe anunció un acuerdo para vender su banco de datos genéticos a Regeneron Pharmaceuticals por 256 millones de dólares. Regeneron, una empresa biotecnológica estadounidense, aseguró que mantendrá las políticas de privacidad de 23andMe y protegerá los datos de los usuarios. Sin embargo, las políticas de privacidad de 23andMe permiten modificaciones unilaterales y contemplan la transferencia de datos en caso de quiebra o adquisición, lo que genera escepticismo.
Desde la perspectiva del derecho, esta venta plantea varias cuestiones:
- Consentimiento informado: Los usuarios que proporcionaron su ADN lo hicieron bajo los términos originales de 23andMe. La transferencia a Regeneron podría implicar nuevos usos de los datos, como investigaciones farmacéuticas, sin un consentimiento renovado.
- Seguridad de los datos: Aunque Regeneron promete cumplir con las políticas de privacidad, su capacidad para proteger los datos frente a futuros ciberataques no está garantizada, especialmente tras los antecedentes de 23andMe.
- Jurisdicción y regulación: Los usuarios internacionales, incluidos los de Argentina, enfrentan desafíos para ejercer sus derechos (como el de supresión) debido a las diferencias entre las leyes estadounidenses y las normativas locales. En América Latina, países como Brasil (con la Lei Geral de Proteção de Dados) y Argentina exigen un consentimiento explícito para el tratamiento de datos sensibles, pero la aplicación extraterritorial de estas leyes es compleja.
Implicaciones para los Usuarios y Recomendaciones
Eliminar datos: Los usuarios pueden solicitar la eliminación de sus datos y la destrucción de muestras biológicas a través de la sección “Configuración” en el sitio web de 23andMe, aunque el proceso puede ser lento debido a la alta demanda.
Revisar consentimientos: Revocar cualquier autorización para el uso de datos en investigaciones de terceros, disponible en la sección “Consentimientos de investigación”.
Fortalecer la seguridad: Utilizar contraseñas únicas y habilitar la autenticación de dos factores para evitar vulneraciones similares a las de 2023.
Conocer los derechos: En Argentina, la Ley 25.326 otorga el derecho de acceso, rectificación y supresión de datos. Los usuarios pueden presentar reclamos ante la Agencia de Acceso a la Información Pública si consideran que sus datos han sido mal gestionado
Conclusión
La trayectoria de 23andMe, desde su auge como pionera en pruebas genéticas hasta su quiebra y venta, ilustra los desafíos éticos y legales de la biotecnología en la era digital. El hackeo de 2023 expuso las vulnerabilidades de almacenar datos genéticos en bases privadas, mientras que la quiebra y la venta a Regeneron plantean preguntas sobre el control y la privacidad de la información más íntima de una persona: su ADN. En un mundo donde la legislación aún lucha por alcanzar a la tecnología, el caso de 23andMe es un llamado a reforzar las normativas de protección de datos y a educar a los usuarios sobre los riesgos de compartir su información genética. Para los profesionales del derecho informático, este caso subraya la necesidad de abogar por regulaciones globales más estrictas que garanticen la soberanía de los datos personales en un mercado cada vez más globalizado.
