Empresa y Mercados

Blog del Departamento de Derecho de la Empresa y los Mercados

Menú
6 de mayo de 2026

PROTECCIÓN DE LA INFORMACIÓN GENÉTICA: EL ADN COMO EL DATO PERSONAL MÁS SENSIBLE

Por: Paula Andrea Cuervo Montealegre[1]

¿Es jurídicamente razonable que el ADN, portador de la identidad biológica y futura de un individuo, reciba el mismo tratamiento que cualquier otro dato sensible bajo la Ley 1581 de 2012? el ácido desoxirribonucleico, o ADN, no es solo una estructura bioquímica, sino el código fuente de la existencia humana, esta molécula está compuesta por bases nitrogenadas que codifican las instrucciones biológicas que componen el desarrollo, funcionamiento y herencia de cada organismo.

No obstante, el ADN es, en esencia, información proyectiva, en tanto su secuencia contiene el mapa predictivo de la salud, los rasgos e identidad de la persona. En este contexto, cabe cuestionarse si es suficiente el marco de protección de la ley 1581 de 2012 para preservar la esencia misma de la persona o si estamos realmente ante un vacío jurídico que exige un tratamiento diferenciado.

  1. La insuficiencia del régimen actual: El ADN frente a la categorización de datos sensibles

El régimen normativo actual, en su artículo 5, define los datos sensibles como aquellos que afectan la intimidad de sus titulares o cuyo uso puede generar alguna discriminación (origen étnico, orientación política, convicciones religiosas, vida sexual, afiliaciones a sindicatos, etc.). Sin embargo, esta clasificación es rudimentaria frente a la naturaleza del ADN. Puesto que, es una insuficiencia normativa equiparar una codificación genética con una convicción religiosa o política, mientras estos últimos son datos que configuran la historia biográfica del individuo – aquello que la persona vive o elige en el desarrollo mismo su vida-, el ADN es un dato biológico y constitutivo: el ser.  

Bajo esta premisa, las expresiones de voluntad como la convicción política, religiosa o pertenencia a sindicatos, son manifestaciones dinámicas de la autonomía personal y del libre desarrollo de su personalidad, tal como lo reconoce el artículo 16 de la Constitución Política de Colombia.; por el contrario, el ADN es una realidad constitutiva e inalterable, lo que según la UNESCO[2] define como la base de la identidad y  dignidad intrínseca de la persona,  y también los miembros de su familia  En este sentido,  el titular no tiene control sobre su contenido genómico, por lo que otorgarle el mismo tratamiento legal al patrimonio genético es ignorar un riesgo de discriminación sistémica. Bajo la normativa actual de la ley 1581 de 2012, ya no se discriminaría únicamente por lo que la persona elige pensar, creer o hacer, sino por un diseño biológico inalterable. El ámbito de protección de esta regulación se centra en la protección de los datos personales, es decir, aquellos que el individuo tiene como los datos de su residencia, contacto numérico y electrónico o reportes en centrales de riesgo. 

Con el fin de comprender la precariedad de este régimen, es fundamental precisar que la regulación actual en materia de protección de datos personales no surgió de una reflexión sobre la dignidad genómica, sino, más bien, de una necesidad de inserción en dinámicas económica internacionales, en particular con aquellas asociadas al intercambio de información en el marco de tratados comerciales. En ese contexto,  tal como se desprende en la exposición de motivos del proyecto de ley estatutaria 046 de 2010,  el desarrollo normativo responde, más bien, a la necesidad de que Colombia sea considerado como un país seguro en materia de protección de datos, con el fin de facilitar la transferencia internacional de información y el acceso al mercado global. En consecuencia, la ley se diseñó y promulgo con la intención de que el dato circule, en otras palabras,  la noción de “tratamiento de datos” se entiende como cualquier operación sobre la información, incluyendo su recolección, almacenamiento, uso y circulación. Esto evidencia que el modelo normativo se estructura sobre una base de flujo de información y no para que quede en reserva absoluta. Por ende, este modelo que pretende salvaguardar el flujo de la información fracasa al proteger la información genómica, puesto que lo que se permite es la circulación controlada de datos personales, más no, su inmovilización, lo que se refuerza con los principios consignados en el régimen actual de finalidad y de circulación restringida, los cuales no prohíben el uso o transferencia de la información , sino que regulan las condiciones bajo las cuales puede ser utilizada. [3]  Por lo tanto, el ADN no debe ser objeto de amparo de una norma cuya estructura actual se trata bajo una lógica de mercado, en la cual el dato se puede cambiar, actualizar o borrar si se filtra, como pasa, por ejemplo, con una clave bancaria, este tipo de información es tratada simplemente como un dato sensible, sujeto a las mismas lógicas de circulación y autorización que otros datos (Ley 1581 de 2012, art. 5). La codificación genómica exige tener una protección y normativa sui generis, toda vez que el genoma humano es, por definición jurídica internacional, un bien no patrimonial[4]. Por tanto, su naturaleza biológica y su vínculo con la identidad lo excluyen de cualquier transacción mercantil o beneficio pecuniario en su estado natural; en la medida en que se encuentra estrechamente vinculado con la dignidad humana, consagrado en el artículo 1 de la Constitución Política de 1991. Esta necesidad de un régimen especial se fundamenta en que, si bien la Gaceta del Congreso 488 de 2010 (Exposición de motivos de la Ley 1581) buscó proteger la intimidad, lo hizo bajo una visión tradicional del dato. El ADN, al ser la infraestructura misma de la dignidad humana, posee una naturaleza no patrimonial que lo sitúa fuera del comercio, una distinción que la normativa actual no desarrolla con suficiente profundidad.

2. El genoma en el mercado: ¿Privacidad individual o negocio colectivo?

El problema se agrava cuando la ley califica como sensibles todos los datos que afectan la intimidad del titular. No obstante, considerar el ADN como un dato sensible resulta insuficiente, pues la configuración del legislador se enfoca en la protección de la información del titular en su dimensión estrictamente individual, mientras que el ADN constituye un asunto de naturaleza colectiva. Es importante mencionar, que la información genética no se agota en la persona que la entrega, también compromete el patrimonio genético familiar y la intimidad biológica de terceros. Esto se debe a que el genoma no es un código aislado, sino un vínculo hereditario, al revelar una predisposición genética o un rasgo específico, que el titular está exponiendo, de manera inevitable, la biografía biológica de sus ascendientes y descendientes sin su consentimiento. En consecuencia, esta situación plantea una pregunta central ¿cómo puede el ordenamiento jurídico proteger adecuadamente el genoma humano como base de la unidad fundamental de la familia[5],  si el régimen de protección datos parte de una lógica individualista? 

La dificultad se profundiza, aún más, si se considera el artículo 6 de la misma ley que exige una autorización explícita del titular para el tratamiento de datos sensibles. En el marco de la información genética, dicha autorización podría implicar la afectación de intimidad genética de familiares que no ha otorgado su consentimiento. Frente a esta tensión, es menester replantear el derecho al hábeas data cuando el dato tratado es genético, incorporando una protección reforzada que reconozca su dimensión colectiva y su impacto intergeneracional. 

Para ilustrar la magnitud de este problema, es fundamental analizar cómo el mercado biotecnológico ha convertido el acceso a la composición el ADN en un producto de consumo masivo. En la actualidad, se han consolidado empresas que ofrecen pruebas genéticas para realizar pruebas de ancestralidad a bajo costo con el fin de recolectar bases de datos masivo. Sin embargo, el negocio real no radica en la venta de un kit de prueba sino la comercialización de la información genética. De acuerdo con un estudio de la firma The Insight Partners, el mercado especifico de estas pruebas directas al consumidor (DTC) para 2022 costaba 1,715 millones de dólares y para 2030 se proyecta que llegara a los 7,191 millones de dólares, lo que representa un 19% de crecimiento anual. Pese a lo anterior, el sector mencionado previamente es solo una parte de un fenómeno mucho más amplio, proyecciones de Data Bridge Market Research sitúa el valor del mercado global de pruebas genéticas para 2032 en 72.930 millones de dólares, que incluye aplicaciones clínicas, hospitalarias, oncológicas y farmacogenómica. Esta explosión comercial, que convierte la esencia biológica en un activo financiero, evidencia la insuficiencia del régimen vigente. Al respecto, la Gaceta del Congreso 488 de 2010 (Exposición de Motivos de la Ley 1581 de 2012 ) fundamentó la protección en el Principio de Libertad (Art. 4), bajo la premisa de que el tratamiento solo es lícito con una autorización “previa, expresa e informada”. Sin embargo, en el mercado biotecnológico actual, este principio se ha reducido a un mero formalismo digital. Al categorizar el ADN simplemente como un “dato sensible”.[6], el sistema permite que las empresas traten el código biológico bajo las reglas de un contrato de adhesión, donde la “autorización” es el peaje para que terceros moneticen con esta información.

Esta creciente tendencia? se ve aún más potenciada por la utilización de inteligencia artificial y Big Data, herramientas que utilizan las empresas para procesar los genomas de forma masiva con el fin de predecir patrones de salud y enfermades a gran escala .Un caso alarmante fue en el de la empresa californiana 23andMe, que ha consolidado alianzas millonarias con farmacéuticas como GlaxoSmithKline (GSK) con el fin de lucrarse del código genético de los usuarios. A este panorama se suma el riesgo de seguridad, hace 3 años la empresa 23andMe fue víctima de un hackeo masivo, lo que explica la fragilidad de los datos. Según la BBC, el acceso a un grupo de perfiles permitió a los hackers filtrar información de casi 7 millones de personas, lo cual demuestra que el ADN es una información de vulnerabilidad permanente bajo los estándares actuales de protección. 

En este escenario, se ve la falla del régimen vigente: al reducir el ADN como un dato personal común, que basta el consentimiento para conocer toda información del genoma, permite que las empresas traten el código biológico bajo las mismas reglas de un contrato de adhesión. Esto significa que un consentimiento que debe ser debidamente informado y consciente se convierte en un simple tramite negocial en el cual el usuario, sin capacidad de negociar, ya que debe aceptar el contrato en bloque, acepta los términos impuestos por la empresa con un solo “clic”. Es en este punto donde la asimetría contractual se vuelve peligrosa: mientras el usuario busca una respuesta sobre su pasado, la empresa toma el control de su futuro biológico.

3. La asimetría del consentimiento: El individuo frente al poder biotecnológico

La raíz de esta vulnerabilidad se encuentra en la naturaleza misma de la relación contractual: el acceso a estas plataformas no nace de una negociación, sino de un contrato de adhesión. El usuario se somete a un simple clic de términos y condiciones, en el cual es la empresa quien impone todas las reglas de juego, y el titular solo acepta sin modificar nada. Bajo esta modalidad, se produce una asimetría contractual , mientras el titular quiere saber un dato curioso sobre su pasado, alguien detrás adquiere un conocimiento perpetuo sobre su futuro biológico. 

Por la misma línea, es fundamental mencionar que, si bien el contrato de adhesión es una figura que facilita la eficiencia y el tráfico jurídico-contractual contemporáneo, en el ámbito genético su aplicación resulta desproporcionada e insuficiente. Bajo esta modalidad, se utiliza un mecanismo de aceptación rápida para otorgar un consentimiento que, por naturaleza, debería ser expreso, reforzado e informado. Adicionalmente, esta figura carece de la capacidad para vincular datos que también pertenecen a terceros; al ser el patrimonio genético un interés de relevancia transgeneracional , un simple clicindividual no debería tener fuerza vinculante para comprometer la intimidad y el futuro biológico de parientes o descendientes quienes, bajo el principio de relatividad de los contratos, no pueden verse afectados por un acuerdo en el que nunca participaron. 

En consecuencia, se crea un escenario de discriminación genética por asociación, en el cual un tercero, por ejemplo, una compañía de seguros puede utilizar el perfil genético del titular original para penalizar o excluir a sus descendientes. Este riesgo de discriminación de compañías de seguros no es aislado ni hipotético. En Colombia, se expidió la ley 2475 de 2025 que entra en vigor hasta el 9 de Julio de 2026, en la cual se establece el derecho al olvido oncológico prohibiendo expresamente que las aseguradoras exijan pruebas diagnósticas o impongan condiciones más onerosas a quienes superaron el cáncer, confirmando que el legislador identificó un problema real de discriminación en el cual el pasado biológico condicionaba el acceso a servicios financieros. No obstante, este es un pequeño avance, puesto que, al centrarse exclusivamente en el historial oncológico, se perpetúa un vacío legal respecto al resto del genoma. En consecuencia, las aseguradoras aún podrían encontrar vacíos jurídicos para excluir a descendientes basándose en perfiles de ADN que no están cobijados por esta protección específica. 

Además, esta desprotección trasciende de lo individual, un análisis de CNBC[7], señala que compartir el ADN con empresas privadas compromete la privacidad de forma inmutable y transgeneracional, a diferencia, por ejemplo, de una contraseña de una tarjeta de crédito, pues el ADN no puede cambiarse o bloquearse. Aún más, el hackeo de 23andMEdemostró que la mayoría de los datos se usan para ataques dirigidos a minorías étnicas como los judíos asquenazí. Según reportó The New York Times[8], los atacantes publicaron en la dark web listas tituladas específicamente como «Ashkenazi DNA Data», exponiendo los nombres, ubicación geográfica y porcentajes de ascendencia de 1.1 millones de usuarios de origen judío asquenazí, además de otra lista con 300,000 usuarios de ascendencia china. Los atacantes explotaron la función DNA Relatives (diseñada para conectar parientes biológicos) para extraer estos perfiles basándose exclusivamente en la etnia, demostrando que la información genética puede ser instrumentalizada para el perfilamiento y ataques dirigidos a minorías específicas.

Conclusiones

Finalmente, tras el análisis realizado y las preguntas planteadas a lo largo del texto, es evidente que el tratamiento jurídico del ADN como un simple «dato sensible» en la Ley 1581 de 2012 genera una gran problemática. Colombia actualmente posee un inadecuado modelo normativo, que fracasa al tratar el ADN, la esencia biográfica de la vida, como un dato sensible personal convencional, tales como la religión o la orientación política. Al usar la misma ley para ambos, el legislador está tratando una «propiedad» (un dato que tengo) igual que una «identidad» (lo que soy), dejando esta última desprotegida ante las lógicas del mercado.  Ante esta desprotección, se proponen dos posibles soluciones. 

En primer lugar, una regulación sui generis inspirada en los Neuroderechos[9], haciendo que Colombia implemente una norma especial que reconozca el hábeas data genético, similar al modelo de neuro derecho implementado en Chile, mediante la Ley 21.383 de 2021, en la cual se realizó una reforma constitucional para resguardar especialmente la actividad cerebral y la información proveniente de ella. Este precedente en un país latinoamericano es fundamental para el caso del ADN: si la información del cerebro se protege de forma especial para evitar que la tecnología vulnere la integridad psíquica, ¿por qué no tener un blindaje constitucional en lo que respecta a la información genética? Esto permitiría crear excepciones sectoriales absolutas, como por ejemplo en el sector asegurador, prohibiendo el uso de biomarcadores predictivos para valorar riesgos, y evitando así que el mapa biológico sea tratado como una preexistencia hereditaria. Por ello, esta necesidad de un régimen especial no es una pretensión aislada: la Declaración Universal sobre el Genoma Humano y los Derechos Humanos reconoce que el genoma es la base de la unidad fundamental de todos los miembros de la familia y debe ser protegido para salvaguardar la dignidad. Este estándar internacional evidencia que el enfoque individualista del régimen actual en Colombia es desproporcionado. Como ya se mencionó, existe una desprotección sistémica de la familia como núcleo de la sociedad: basta un solo consentimiento para comprometer toda una línea sucesoria.

Como segunda ruta de solución, es fundamental que el país adopte un modelo de protección inspirado en el de la Unión Europea, incorporando sus estándares más sólidos en materia de datos personales. En particular, el Reglamento General de Protección de Datos establece como regla general la prohibición del tratamiento de datos genéticos (art. 9.1), lo cual rompe con el modelo actual colombiano que permite su uso mediante consentimientos amplios en contratos de adhesión. Asimismo, resulta necesario limitar el alcance del consentimiento. Aunque el RGPD permite excepciones (art. 9.2), el Estado puede definir escenarios en los que el tratamiento de datos genéticos no sea permitido ni siquiera con autorización del titular, con el fin de evitar que la autonomía individual sea condicionada por presiones económicas o contractuales. De igual forma, debe establecerse una restricción estricta de finalidad, de modo que el uso de la información genética se limite exclusivamente a fines médicos o de investigación científica, conforme a lo previsto en el artículo 89.1 del RGPD. Para garantizar esto, es indispensable implementar medidas técnicas como la seudonimización (art. 4.5), que consiste en separar la identidad del titular de su información genética mediante códigos, y el principio de minimización de datos (art. 5.1.c), que exige recolectar únicamente la información estrictamente necesaria para un propósito específico.

Bibliografía

  • BBC News Mundo. (2023). 23andMe confirma que hackers robaron datos genéticos de millones de usuarios. Recuperado de: https://www.bbc.com/mundo/articles/cly0zn4rjgxo
  • CNBC. (2018). 5 biggest risks of sharing your DNA with consumer genetic testing companies. Recuperado de: https://www.cnbc.com/2018/06/16/5-biggest-risks-of-sharing-dna-with-consumer-genetic-testing-companies.html
  • Congreso de la República de Colombia. (2012). Ley 1581 de 2012: Por la cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial No. 48.587.
  • Constitución Política de Colombia. (1991). Artículos 1 (Dignidad Humana) y 16 (Libre desarrollo de la personalidad). Segunda Edición. Legis.
  • UNESCO. (1997). Declaración Universal sobre el Genoma Humano y los Derechos Humanos.
  • Congreso de la República de Colombia. (2010). Exposición de Motivos al Proyecto de Ley Estatutaria No. 184 de 2010 Senado. Gaceta del Congreso No. 513.
  • The Insight Partners. (2023). Mercado de pruebas genéticas directas al consumidor: Análisis global y pronóstico para 2030. Recuperado de: https://www.theinsightpartners.com/es/reports/direct-to-consumer-genetic-testing-market
  • Data Bridge Market Research. (2024). Informe de análisis del tamaño, la participación y las tendencias del mercado global de pruebas genéticas: Pronóstico hasta 2032. Recuperado de: https://www.databridgemarketresearch.com/es/reports/global-genetic-testing-market
  • Rabin, R. C. (2024, January 26): «23andMe Breach Targeted Jewish and Chinese Customers, Lawsuit Says». The New York Times.
  • Congreso Nacional de Chile. (25 de octubre de 2021). Ley no. 21.383. Modifica la Carta Fundamental, para Establecer el Desarrollo Científico y Tecnológico al Servicio de las Personas. 25 de octubre de 2021. https://bcn.cl/2scpd
  • Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea. Artículos 4, 5, 9 y 89.
  • Congreso de la República de Colombia. (9 de julio de 2025). Ley 2475 de 2025. Por medio de la cual se establece y garantiza el derecho al olvido oncológico en Colombia y se dictan otras disposiciones. Función Pública. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=260786

[1] Estudiante de cuarto año de Derecho en la Universidad Externado de Colombia. 

[2] UNESCO. (1997). Declaración Universal sobre el Genoma Humano y los Derechos Humanos.

[3] en el artículo 4 de la ley 1581 de 2012

[4] UNESCO. (1997). Declaración Universal sobre el Genoma Humano y los Derechos Humanos. Art. 4.

[5] (Art. 1, UNESCO),

[6] Art 5 ley 1581 de 2012

[7] Consumer News and Business Channel

[9] Se definen como un nuevo marco de derechos humanos que protege la actividad cerebral frente a los avances tecnológicos. Este concepto establece barreras legales para garantizar que: 1) La privacidad mental se proteja con el mismo rigor que un trasplante de órganos; y 2) Se preserve la identidad individual y la continuidad del «yo». Estos derechos aseguran la libertad de decidir (autonomía), el acceso justo a mejoras cerebrales y la protección de los datos neuronales, permitiendo que el ciudadano/consumidor autorice el uso de su información de manera clara, accesible y con pleno conocimiento de causa. Concepto basado en el Preámbulo de la Ley Modelo de Neuroderechos para América Latina y el Caribe(PARLATINO, 2023).