California demanda a 23andMe por la filtración de datos genéticos de 7 millones de usuarios

California demanda a 23andMe por la filtración de datos genéticos de 7 millones de usuarios

El Fiscal General de California ha presentado una demanda contra la empresa de pruebas de ADN 23andMe, que ahora opera como Chrome Holding Co., por su gestión de una filtración en 2023 que expuso los datos genéticos y de ascendencia de casi 7 millones de usuarios. La demanda se centra en dos afirmaciones principales: que 23andMe no protegió adecuadamente algunos de los datos personales más sensibles que existen, y que engañó a los clientes sobre la gravedad real de la exposición. Para cualquiera que esté considerando la protección de la privacidad ante una filtración de datos genéticos, este caso es un duro recordatorio de que ninguna herramienta de privacidad o hábito de consumo podría haber evitado este desenlace.

Lo que realmente alega la demanda de California contra 23andMe

La demanda del Fiscal General de California se centra en la presunta incapacidad de 23andMe para implementar medidas de seguridad adecuadas para datos que incluyen perfiles de ADN e información de predisposición de salud. Cuando se reveló la filtración por primera vez, los críticos señalaron que las comunicaciones públicas de la empresa minimizaban el alcance de lo comprometido. La demanda formaliza esas preocupaciones, argumentando que los consumidores fueron engañados sobre la gravedad de la exposición.

Lo que hace que este caso sea legalmente significativo es que los datos genéticos ocupan una categoría especial bajo la ley de California. A diferencia de una dirección de correo electrónico filtrada o incluso un número de tarjeta de crédito, los datos de ADN no se pueden cambiar. Se vinculan directamente con vulnerabilidades de salud, relaciones familiares y ascendencia, y lo hacen de forma permanente. El estado argumenta que 23andMe tenía la obligación tanto legal como ética de tratar esos datos con mucho más cuidado del que aparentemente lo hizo.

Por qué los datos genéticos y de salud son una categoría de riesgo diferente

La mayoría de las filtraciones de datos causan daños graves, pero las filtraciones de datos genéticos conllevan consecuencias que se extienden mucho más allá del individuo. Tu ADN contiene información sobre tus familiares, incluidas personas que nunca consintieron compartir nada con un tercero. Puede revelar predisposiciones a enfermedades, herencia étnica y conexiones biológicas familiares, detalles que pueden ser explotados por aseguradoras, empleadores o actores maliciosos durante años o décadas después de que ocurra una filtración.

Esto es lo que separa los datos genéticos de las credenciales y los perfiles de comportamiento que la mayoría de las filtraciones corporativas exponen. No existe un restablecimiento de contraseña para tu genoma. Esa realidad impone una enorme carga de responsabilidad a las empresas que recopilan y almacenan este tipo de información, y es exactamente el argumento que California está presentando ante los tribunales.

La situación resuena con preocupaciones más amplias sobre cómo las grandes empresas manejan la información sensible de los usuarios sin una rendición de cuentas significativa. Tal como se cubrió en el reportaje sobre la demanda del Fiscal General de Texas contra Netflix por la recopilación secreta de datos de usuarios, los fiscales generales de todo el país están cada vez más dispuestos a perseguir a las empresas tecnológicas y de consumo que hacen un mal uso o no protegen los datos personales que recopilan.

Lo que una VPN puede y no puede hacer tras una filtración de datos corporativos

Este es un caso que merece un encuadre honesto para los lectores preocupados por la privacidad. Una VPN es una herramienta valiosa para cifrar tu tráfico de internet, enmascarar tu dirección IP de sitios web y anunciantes, y proteger tu actividad en redes públicas. Esos son beneficios reales y significativos.

Pero la filtración de 23andMe no fue un caso de alguien interceptando datos en tránsito. Fue un fallo dentro de los propios sistemas de la empresa, que involucró datos que los usuarios ya habían enviado años antes. Una VPN ejecutándose en tu dispositivo en el momento de la filtración no habría hecho nada para proteger los perfiles de ADN almacenados en la base de datos de 23andMe.

Esta distinción es importante porque a veces se lleva a los consumidores a creer que las herramientas de privacidad como las VPN crean un escudo integral alrededor de sus vidas digitales. No es así. Una vez que entregas datos a un tercero, tu protección depende completamente de las prácticas de seguridad de esa empresa, sus obligaciones legales y su disposición a ser transparente cuando algo sale mal. La demanda de 23andMe sugiere que al menos una de esas salvaguardas falló en múltiples aspectos.

Pasos prácticos para limitar tu exposición más allá de una VPN

Comprender los límites de cualquier herramienta de privacidad individual es el primer paso y el más importante. A partir de ahí, algunos hábitos concretos pueden reducir significativamente tu riesgo con las empresas que poseen datos sensibles.

Sé selectivo con lo que compartes. Los servicios de pruebas genéticas son productos de consumo con compensaciones reales de privacidad. Antes de enviar una muestra de ADN, revisa la política de retención de datos de la empresa, su historial con las solicitudes de datos de las fuerzas del orden y qué sucede con tus datos si la empresa es adquirida o quiebra. Los procedimientos de quiebra de 23andMe ya han suscitado preocupaciones por separado sobre lo que sucede con su base de datos.

Revisa y utiliza las opciones de eliminación. Muchas empresas de pruebas genéticas ofrecen la posibilidad de eliminar tus datos de ADN almacenados y la información de tu cuenta. Si has utilizado un servicio y ya no deseas que se conserven tus datos, ejerce ese derecho. No todas las empresas lo ponen fácil, pero a menudo está disponible.

Lee atentamente las notificaciones de filtración. Las empresas están legalmente obligadas a notificarte las filtraciones que cumplan los requisitos, pero como ilustra la demanda de California, el encuadre de esas notificaciones puede subestimar el alcance real del daño. Si recibes un aviso de filtración, tómalo en serio independientemente de cómo esté redactado, y consulta reportajes independientes para obtener una imagen más completa.

Comprende lo que cubre realmente el consentimiento. Registrarse en un servicio significa aceptar la política de privacidad de esa empresa, pero esas políticas a menudo incluyen un lenguaje amplio sobre el intercambio de datos con terceros. Los datos genéticos, los historiales médicos y la información biométrica merecen un escrutinio adicional antes de hacer clic en aceptar.

Lo que esto significa para ti

La demanda del Fiscal General de California contra 23andMe no es solo una acción regulatoria contra una empresa. Es una señal de que la aplicación de la protección de la privacidad ante filtraciones de datos genéticos a nivel estatal se está volviendo más agresiva, y que la exposición de ADN y registros de salud atraerá cada vez más consecuencias legales que una empresa no puede simplemente absorber como un costo de hacer negocios.

Para los consumidores, la conclusión es a la vez empoderadora y aleccionadora. Puedes tomar mejores decisiones sobre en qué empresas confías tus datos más sensibles. Puedes exigir la eliminación, leer la letra pequeña y mantenerte informado cuando las empresas en las que has confiado se enfrentan al escrutinio. Lo que no puedes hacer es depender de una sola herramienta, incluida una VPN, para proteger los datos que ya residen dentro de los sistemas de un tercero.

Para entender cómo se desarrolla este patrón en otras industrias, la cobertura de la demanda contra Netflix por datos del Fiscal General de Texas ofrece un paralelismo útil: el mal uso de datos corporativos opera a un nivel completamente más allá de lo que las herramientas de privacidad personal pueden abordar. Mantenerse informado sobre estos casos es una de las cosas más prácticas que puedes hacer.