Lo sacas del buzón. Está impreso en colores divertidos y amigables. Frotas. Escupes. Te pinchas el dedo. Lo envías de vuelta. Pronto, aprenderás algo nuevo sobre ti mismo: tus hormonas, tu fertilidad, tu riesgo de cáncer, tu predisposición al Alzheimer, tu metabolismo, tus sensibilidades alimentarias, o incluso tu genoma completo. Ese es el atractivo de las pruebas de ADN y salud caseras ("directas al consumidor"). Tarde en la noche, desde tu teléfono, puedes pedir casi cualquier prueba para hacer en casa, ya sea que no tengas seguro, tengas curiosidad, o simplemente estés ansioso por los secretos que tu cuerpo pueda estar escondiendo.

Antes de pedir una yo mismo, investigué un poco en Google. Al principio, buscaba respuestas simples: ¿La prueba fue revisada por la FDA? ¿La empresa estaba cubierta por HIPAA? ¿Un médico explicaría los resultados? Cuanto más leía, menos simple se volvía. El lenguaje de la FDA era raro, y cuando aparecía, solía estar vinculado a una prueba, informe o kit de recolección específico, no necesariamente a toda la empresa o servicio. Algunas empresas decían que cumplían con HIPAA; otras no. Casi todas citaban laboratorios certificados por CLIA o acreditados por CAP, pero esos son solo estándares de calidad de laboratorio. El asesoramiento y la atención de seguimiento también variaban mucho. Eso me llevó más profundo a la letra pequeña: ¿Podría compartirse mi información con las fuerzas del orden, o usarse para anuncios o investigación?

La respuesta estaba en las políticas que la mayoría de la gente nunca lee. Pero yo lo hice, para 10 empresas: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode y 23andMe. Me puse en contacto con todas las empresas que mencioné para obtener comentarios. También hablé con 12 expertos en bioética, genética, HIPAA y derecho sanitario, regulación de la FDA, privacidad del consumidor y ciberseguridad, aunque solo cité a seis de ellos.

¿Mi primer riesgo? No es la lanceta, el hisopo o el tubo que uso para recolectar mi muestra biológica. Comienza antes, cuando pido la prueba y probablemente asumo que, como la empresa maneja datos relacionados con la salud, mi información está protegida como cualquier otro registro médico. En EE. UU., HIPAA, la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996, protege la información de salud personal, o PHI, cuando es creada, mantenida o transmitida por entidades cubiertas y sus asociados comerciales. No es una ley de privacidad general para todos.

Anya Prince, catedrática David H. Vernon de Derecho en la Facultad de Derecho de la Universidad de Iowa, estudia la privacidad genética y de salud. Prince le dijo a ZDNET que la pregunta principal es si una empresa está cubierta por HIPAA. "Los laboratorios DTC pueden no contar como entidades cubiertas", dijo Prince. "La información de salud que tienen... se regiría por la política de privacidad de la empresa en lugar de considerarse PHI". Cuando miré las empresas DTC caseras populares, me sorprendió encontrar varios usos del lenguaje de HIPAA y algunas lagunas. Everlywell dijo que está "comprometida a salvaguardar su información de salud personalmente identificable" bajo HIPAA. Labcorp dijo que está "obligada por ley a mantener la privacidad de la información de salud" bajo HIPAA. Nucleus me dijo que "cumple con HIPAA". SiPhox dijo que tiene "seguridad de grado HIPAA", y myLAB Box dijo que la información y las muestras vinculadas a sus kits están "cubiertas" bajo HIPAA. Para las otras, no pude encontrar una página pública actual que confirmara que la empresa cumple con HIPAA o está cubierta por HIPAA.

Julian Gage, fundador de Engage Compliance y delegado de protección de datos externalizado para empresas DTC de salud y pruebas genéticas, le dijo a ZDNET que las afirmaciones de "grado HIPAA" y "cumplimiento HIPAA" son lenguaje de marketing, "no protección". "El cifrado de grado HIPAA es una declaración sobre una configuración de seguridad", dijo Gage. "No dice nada sobre si HIPAA realmente se aplica a ti o qué puede hacer la empresa con tus resultados". Por ejemplo, explicó que cuando una empresa DTC canaliza un pedido a través de un médico o red de telesalud, ese médico o red puede ser una entidad cubierta por HIPAA, y la parte de datos que crea y conserva puede caer bajo HIPAA. Pero eso no necesariamente cubre a la empresa de pruebas, ni a la