genbeta.com

Si en su día enviaste tu ADN o iris a 23AndMe o Worldcoin, y ahora quieres que borren tus datos, estos son los pasos a seguir

"Nuestros datos personales" es un concepto que nos hace pensar inmediatamente en elementos como nuestras direcciones de correo o nuestros historiales de búsqueda, pero la cantidad de información que entra en esta categoría no ha hecho más que multiplicarse en los últimos años. Hoy en día, empresas como 23andMe (especializada en análisis genéticos) o Worldcoin (centrada en el reconocimiento biométrico a través de escaneos de iris) manejan información profundamente sensible, como nuestro ADN o patrones únicos de nuestro cuerpo. ¿Qué ha pasado con 23andMe? Recordemos que 23andMe es una empresa conocida por ofrecer pruebas genéticas directas al consumidor, que se ha declarado en bancarrota tras años de problemas financieros, y de disputas con inversores. Esto genera ahora graves preocupaciones de privacidad, ya que más de 12 millones de personas compartieron su ADN con la compañía... pues, durante la reestructuración, sus activos podrían ser vendidos, incluyendo los datos genéticos. ¿Puedes obligar a 23AndMe o a Worldcoin a borrar tus datos? Worldcoin, por ejemplo, ofrece instrucciones en su web para borrar nuestros datos. Mientras que, en la sección 'Configuration > 23andMe Data' del área de usuario de la web de 23andMe es posible clicar en las opciones 'Delete Data > Permanently Delete Data'. Pero, entre la inseguridad jurídica que provoca la actual situación de la empresa, y toda una serie de elementos poco claros (datos 'anonimizados' o ya cedidos), se hace necesario repasar qué derechos nos concede la normativa. ¿Qué dicen los expertos? Ante esta situación surge una pregunta clave: ¿Qué pueden hacer los ciudadanos europeos para proteger su privacidad? La respuesta se encuentra en el Reglamento General de Protección de Datos (RGPD), la norma europea que regula el tratamiento de los datos personales. Pero aunque el RGPD establece una protección sólida en teoría, su aplicación práctica presenta desafíos importantes. Hemos consultado a dos expertos en el mismo, Samuel Parra (abogado especializado en protección de datos en ÉGIDA) y Jorge García Herrero (abogado y delegado de protección de datos). Índice de Contenidos (9) ¿Qué ha pasado con 23andMe? ¿Puedes obligar a 23AndMe o a Worldcoin a borrar tus datos? ¿Qué dicen los expertos? 1. ¿Qué obligaciones tienen empresas como 23andMe o Worldcoin? 2. El derecho de supresión: ¿puedo pedir que eliminen mis datos? 3. ¿Y si los datos ya fueron cedidos o anonimizados? 4. ¿Qué puede hacer un usuario si la empresa ignora su solicitud? 5. ¿Qué sanciones enfrentan estas empresas si incumplen? 6. ¿Son iguales los datos genéticos y biométricos a efectos legales? 1. ¿Qué obligaciones tienen empresas como 23andMe o Worldcoin? "Las obligaciones en materia de protección de datos para estas empresas son las mismas que para una empresa española" (Samuel Parra) El RGPD se aplica a todas las empresas que ofrecen servicios a personas que se encuentren en la Unión Europea, independientemente de dónde tenga su sede la empresa. Esto significa que tanto 23andMe como Worldcoin están obligadas a cumplir con esta normativa si prestan servicios a usuarios en Europa. Entre sus principales obligaciones destacan: Garantizar la seguridad de los datos frente a accesos no autorizados. Respetar los derechos de los usuarios, incluido el derecho a acceder, rectificar o suprimir sus datos. Obtener un consentimiento explícito y revocable para tratar datos especialmente sensibles, como los genéticos o biométricos. En Genbeta ¿Sirve para algo la GDPR cuando recibes 30 avisos de que aceptes los cambios en la política de privacidad? 2. El derecho de supresión: ¿puedo pedir que eliminen mis datos? Sí. El RGPD reconoce el derecho de supresión (también llamado "derecho al olvido"). Esto significa que cualquier persona puede pedir a una empresa la eliminación de sus datos personales, incluyendo los genéticos y biométricos, siempre que no exista una obligación legal que impida su supresión. "No se exige ninguna formalidad especial; aquí rige la teoría de 'tan sencillo entrar como salir'". (Samuel Parra) "El interesado puede enviar la solicitud incluso a un correo de contacto que no sea el especialmente previsto por la organización, y ésta tiene que atenderlo". (García Herrero) Aspectos importantes sobre este derecho: El usuario debe identificarse adecuadamente para que la empresa pueda localizar sus datos. El consentimiento para tratar datos puede ser retirado en cualquier momento, y en ese caso, la empresa debe dejar de tratarlos. 3. ¿Y si l

Mar 26, 2025 - 18:27
 0
Si en su día enviaste tu ADN o iris a 23AndMe o Worldcoin, y ahora quieres que borren tus datos, estos son los pasos a seguir

Si en su día enviaste tu ADN o iris a 23AndMe o Worldcoin, y ahora quieres que borren tus datos, estos son los pasos a seguir

"Nuestros datos personales" es un concepto que nos hace pensar inmediatamente en elementos como nuestras direcciones de correo o nuestros historiales de búsqueda, pero la cantidad de información que entra en esta categoría no ha hecho más que multiplicarse en los últimos años.

Hoy en día, empresas como 23andMe (especializada en análisis genéticos) o Worldcoin (centrada en el reconocimiento biométrico a través de escaneos de iris) manejan información profundamente sensible, como nuestro ADN o patrones únicos de nuestro cuerpo.

¿Qué ha pasado con 23andMe?

Recordemos que 23andMe es una empresa conocida por ofrecer pruebas genéticas directas al consumidor, que se ha declarado en bancarrota tras años de problemas financieros, y de disputas con inversores.

Esto genera ahora graves preocupaciones de privacidad, ya que más de 12 millones de personas compartieron su ADN con la compañía... pues, durante la reestructuración, sus activos podrían ser vendidos, incluyendo los datos genéticos.

¿Puedes obligar a 23AndMe o a Worldcoin a borrar tus datos?

Worldcoin, por ejemplo, ofrece instrucciones en su web para borrar nuestros datos. Mientras que, en la sección 'Configuration > 23andMe Data' del área de usuario de la web de 23andMe es posible clicar en las opciones 'Delete Data > Permanently Delete Data'.

Pero, entre la inseguridad jurídica que provoca la actual situación de la empresa, y toda una serie de elementos poco claros (datos 'anonimizados' o ya cedidos), se hace necesario repasar qué derechos nos concede la normativa.

¿Qué dicen los expertos?

Ante esta situación surge una pregunta clave: ¿Qué pueden hacer los ciudadanos europeos para proteger su privacidad?

La respuesta se encuentra en el Reglamento General de Protección de Datos (RGPD), la norma europea que regula el tratamiento de los datos personales. Pero aunque el RGPD establece una protección sólida en teoría, su aplicación práctica presenta desafíos importantes.

Hemos consultado a dos expertos en el mismo, Samuel Parra (abogado especializado en protección de datos en ÉGIDA) y Jorge García Herrero (abogado y delegado de protección de datos).

Índice de Contenidos (9)

1. ¿Qué obligaciones tienen empresas como 23andMe o Worldcoin?

"Las obligaciones en materia de protección de datos para estas empresas son las mismas que para una empresa española" (Samuel Parra)

El RGPD se aplica a todas las empresas que ofrecen servicios a personas que se encuentren en la Unión Europea, independientemente de dónde tenga su sede la empresa. Esto significa que tanto 23andMe como Worldcoin están obligadas a cumplir con esta normativa si prestan servicios a usuarios en Europa.

Entre sus principales obligaciones destacan:

  • Garantizar la seguridad de los datos frente a accesos no autorizados.
  • Respetar los derechos de los usuarios, incluido el derecho a acceder, rectificar o suprimir sus datos.
  • Obtener un consentimiento explícito y revocable para tratar datos especialmente sensibles, como los genéticos o biométricos.
¿Sirve para algo la GDPR cuando recibes 30 avisos de que aceptes los cambios en la política de privacidad?
En Genbeta
¿Sirve para algo la GDPR cuando recibes 30 avisos de que aceptes los cambios en la política de privacidad?

2. El derecho de supresión: ¿puedo pedir que eliminen mis datos?

Sí. El RGPD reconoce el derecho de supresión (también llamado "derecho al olvido"). Esto significa que cualquier persona puede pedir a una empresa la eliminación de sus datos personales, incluyendo los genéticos y biométricos, siempre que no exista una obligación legal que impida su supresión.

"No se exige ninguna formalidad especial; aquí rige la teoría de 'tan sencillo entrar como salir'". (Samuel Parra)
"El interesado puede enviar la solicitud incluso a un correo de contacto que no sea el especialmente previsto por la organización, y ésta tiene que atenderlo". (García Herrero)

Aspectos importantes sobre este derecho:

  • El usuario debe identificarse adecuadamente para que la empresa pueda localizar sus datos.
  • El consentimiento para tratar datos puede ser retirado en cualquier momento, y en ese caso, la empresa debe dejar de tratarlos.

3. ¿Y si los datos ya fueron cedidos o anonimizados?

Aquí es donde la situación se complica.

Según Parra, si los datos han sido anonimizados correctamente, ya no se consideran "personales" y no están protegidos por el RGPD. Pero esta anonimización debe ser irreversible: si es posible volver a identificar a la persona a partir de esos datos, la protección del RGPD sigue aplicando.

En cuanto a los datos ya cedidos a otras empresas (como farmacéuticas), García Herrero nos aclara que:

  • El usuario puede exigir a la empresa que informe a esos terceros de la obligación de supresión.
  • Además, el usuario tiene derecho a solicitar acceso a la lista de entidades a las que se les hayan cedido sus datos.

Por último, Parra nos recuerda que, en cualquier caso, hasta ahora "el consentimiento otorgado a 23andMe no implicaba la cesión de datos no anonimizados a terceros".

4. ¿Qué puede hacer un usuario si la empresa ignora su solicitud?

Aunque la normativa es clara, su cumplimiento no siempre es inmediato. Si una empresa no responde o rechaza una solicitud de supresión, el usuario puede:

  • Presentar una reclamación ante la autoridad nacional de protección de datos (como la AEPD en España).
  • Interponer una demanda civil por daños y perjuicios.
  • En casos extremos, las autoridades pueden ordenar la suspensión de actividades de la empresa en Europa, como ya ocurrió con Worldcoin en España.

Dicho eso, Parra nos advierte:

"En el estado actual de 23andMe, lo más normal es que no conteste a este tipo de peticiones, máxime cuando una eventual sanción de un organismo español tendría efectos nulos. Pero aun así, si 23andMe no responde a una solicitud de eliminación o la deniega, el usuario puede plantear una reclamación en la AEPD".
Fichar en el trabajo con tu huella u otros sistemas biométricos ya no será siempre legal: cambian las reglas de datos en España
En Genbeta
Fichar en el trabajo con tu huella u otros sistemas biométricos ya no será siempre legal: cambian las reglas de datos en España

5. ¿Qué sanciones enfrentan estas empresas si incumplen?

El RGPD prevé sanciones significativas para quienes lo incumplen:

  • Hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea más alto.
  • También pueden imponerse prohibiciones temporales o permanentes de operar en territorio europeo.

Sin embargo, hay un matiz importante: si la empresa no tiene presencia física o activos en la UE, ejecutar esas sanciones puede ser difícil en la práctica: este es uno de los principales retos actuales del RGPD.

6. ¿Son iguales los datos genéticos y biométricos a efectos legales?

Ambos tipos de datos están considerados como categorías especiales de datos personales bajo el RGPD, lo que implica que:

  • No pueden tratarse salvo que exista una excepción (como el consentimiento del usuario).
  • Ambos requieren medidas reforzadas de protección y seguridad.

Pero existen matices:

  • El tratamiento de datos genéticos está prohibido por defecto, salvo excepciones como el consentimiento.
  • Los datos biométricos solo están prohibidos cuando su objetivo es la identificación unívoca de una persona.

Además, hay una diferencia de impacto potencial: mientras que los datos biométricos afectan a una sola persona, los datos genéticos pueden comprometer la privacidad de familiares enteros, ya que contienen información hereditaria. García Herrero explica muy gráficamente lo que eso supone:

"Si permites que un tercero que no ofrece garantías trate tu dato biométrico (caso de WorldCoin), el problema es tuyo. Sin embargo, con los datos genéticos, basta que el tonto de la familia se meta el hisopo de 23andMe en la boca para que los datos inferibles de sus datos genéticos comprometan la privacidad de toda la familia: una compañía de seguros que pueda rastrear el parentesco ya podrá incrementar las primas del seguro de vida cuando valore el riesgo de cáncer o similar, que son hereditarios".

Imagen | Marcos Merino mediante IA

En Genbeta | Estos son los datos personales que nunca deberías contar en redes sociales, según el INCIBE y la Guardia Civil 

-
La noticia Si en su día enviaste tu ADN o iris a 23AndMe o Worldcoin, y ahora quieres que borren tus datos, estos son los pasos a seguir fue publicada originalmente en Genbeta por Marcos Merino .

Leer Más

Etiquetas:

Artículo Anterior

Siete CCAA tienen un plan para que los aulas echen freno con las pantallas: la c...

Artículo Siguiente

Esta joven se inventó un cáncer y su tratamiento para ganar seguidores. Hasta Ap...

Publicaciones Relacionadas

Un desarrollador preguntó qué IA es mejor para programar. Los más de 28.000 votos fueron muy contundentes

Un desarrollador preguntó qué IA es mejor para programa...

Feb 27, 2025  0

"Tengo hoy a toda la plantilla de baja": esta emprendedora de Madrid comparte en TikTok su frustración por cómo funciona el sistema

"Tengo hoy a toda la plantilla de baja": esta emprended...

Feb 21, 2025  0

Los científicos piden pruebas a Microsoft: son escépticos ante el gran paso que afirma haber dado con su nuevo chip cuántico

Los científicos piden pruebas a Microsoft: son escéptic...

Mar 12, 2025  0