Kalifornija tuži 23andMe zbog curenja genetskih podataka 7 milijuna korisnika

Kalifornija tuži 23andMe zbog curenja genetskih podataka 7 milijuna korisnika

Kalifornijski državni odvjetnik podnio je tužbu protiv tvrtke za DNK testiranje 23andMe, koja sada posluje kao Chrome Holding Co., zbog postupanja s povredom podataka iz 2023. koja je razotkrila genetske i genealoške podatke gotovo 7 milijuna korisnika. Tužba se temelji na dvije ključne tvrdnje: da 23andMe nije uspio adekvatno zaštititi neke od najosjetljivijih osobnih podataka koji postoje te da je doveo kupce u zabludu o tome koliko je ozbiljno to razotkrivanje zapravo bilo. Za svakoga tko razmišlja o zaštiti privatnosti kod curenja genetskih podataka, ovaj je slučaj oštar podsjetnik da nijedan alat za privatnost niti potrošačka navika nije mogao spriječiti ovakav ishod.

Što kalifornijska tužba protiv 23andMe zapravo navodi

Kalifornijska tužba usredotočena je na navodni propust 23andMe da provede odgovarajuće sigurnosne mjere za podatke koji uključuju DNK profile i informacije o zdravstvenim predispozicijama. Kad je curenje prvi put objavljeno, kritičari su primijetili da je javna komunikacija tvrtke umanjivala opseg onoga što je ugroženo. Tužba formalizira te zabrinutosti, tvrdeći da su potrošači dovedeni u zabludu o ozbiljnosti razotkrivanja.

Ono što ovaj slučaj čini pravno značajnim jest da genetski podaci zauzimaju posebnu kategoriju prema kalifornijskom zakonu. Za razliku od procurjele e-mail adrese ili čak broja kreditne kartice, DNK podaci ne mogu se promijeniti. Oni su izravno povezani sa zdravstvenim ranjivostima, obiteljskim odnosima i podrijetlom, i to trajno. Država tvrdi da je 23andMe imao i zakonsku i etičku obvezu postupati s tim podacima s daleko većom pažnjom nego što je to očito činio.

Zašto su genetski i zdravstveni podaci drugačija kategorija rizika

Većina curenja podataka uzrokuje ozbiljnu štetu, ali curenje genetskih podataka nosi posljedice koje se protežu daleko izvan pojedinca. Vaš DNK sadrži informacije o vašim rođacima, uključujući ljude koji nikada nisu pristali dijeliti bilo što s trećom stranom. Može otkriti predispozicije za bolesti, etničko podrijetlo i biološke obiteljske veze, detalje koje osiguravatelji, poslodavci ili zlonamjerni akteri mogu iskorištavati godinama ili desetljećima nakon što do curenja dođe.

To je ono što odvaja genetske podatke od vjerodajnica i bihevioralnih profila koje većina korporativnih curenja otkriva. Ne postoji resetiranje lozinke za vaš genom. Ta stvarnost nameće ogroman teret odgovornosti tvrtkama koje prikupljaju i pohranjuju ovu vrstu informacija, a upravo je to argument koji Kalifornija iznosi na sudu.

Situacija odražava šire zabrinutosti o tome kako velike tvrtke postupaju s osjetljivim korisničkim informacijama bez stvarne odgovornosti. Kao što je opisano u izvještaju o tužbi teksaškog državnog odvjetnika protiv Netflixa zbog tajnog prikupljanja korisničkih podataka, državni odvjetnici diljem zemlje sve su spremniji goniti tehnološke i potrošačke tvrtke koje zlorabe ili ne uspijevaju zaštititi osobne podatke koje prikupljaju.

Što VPN može, a što ne može učiniti nakon korporativnog curenja podataka

Ovo je slučaj koji zaslužuje iskreno objašnjenje za čitatelje koji vode računa o privatnosti. VPN je vrijedan alat za šifriranje vašeg internetskog prometa, maskiranje vaše IP adrese od web stranica i oglašivača te zaštitu vaše aktivnosti na javnim mrežama. To su stvarne i značajne prednosti.

No, curenje podataka u 23andMe nije bio slučaj u kojem je netko presreo podatke u prijenosu. Bio je to propust unutar vlastitih sustava tvrtke, a odnosio se na podatke koje su korisnici predali godinama ranije. VPN koji radi na vašem uređaju u trenutku curenja ne bi učinio ništa kako bi zaštitio DNK profile pohranjene u bazi podataka 23andMe.

Ova razlika je važna jer potrošači ponekad bivaju navedeni da vjeruju kako alati za privatnost poput VPN-a stvaraju sveobuhvatan štit oko njihovih digitalnih života. Ne stvaraju. Jednom kada predate podatke trećoj strani, vaša zaštita u potpunosti ovisi o sigurnosnim praksama te tvrtke, zakonskim obvezama i spremnosti da bude transparentna kad nešto pođe po zlu. Tužba protiv 23andMe sugerira da je barem jedna od tih zaštitnih mjera zakazala po više osnova.

Praktični koraci za ograničavanje vaše izloženosti osim VPN-a

Razumijevanje ograničenja bilo kojeg pojedinačnog alata za privatnost prvi je i najvažniji korak. Od tamo, nekoliko konkretnih navika može smisleno smanjiti vaš rizik kod tvrtki koje posjeduju osjetljive podatke.

Budite izbirljivi u vezi s onim što dijelite. Usluge genetskog testiranja potrošački su proizvodi sa stvarnim kompromisima u pogledu privatnosti. Prije nego što pošaljete uzorak DNK, pregledajte politiku zadržavanja podataka tvrtke, njezinu povijest sa zahtjevima tijela za provedbu zakona za podacima i što se događa s vašim podacima ako tvrtka bude kupljena ili bankrotira. Stečajni postupak 23andMe već je izazvao zasebne zabrinutosti o tome što će se dogoditi s njihovom bazom podataka.

Pregledajte i koristite opcije brisanja. Mnoge tvrtke za genetsko testiranje nude mogućnost brisanja vaših pohranjenih DNK podataka i podataka o računu. Ako ste koristili uslugu i više ne želite da se vaši podaci zadržavaju, iskoristite to pravo. Ne čine sve tvrtke to jednostavnim, ali je često dostupno.

Pažljivo čitajte obavijesti o curenju podataka. Tvrtke su zakonski obvezne obavijestiti vas o kvalificiranim povredama, ali kao što kalifornijska tužba ilustrira, način na koji su te obavijesti formulirane može umanjiti stvarni opseg štete. Ako primite obavijest o curenju, shvatite je ozbiljno bez obzira na to kako je sročena i provjerite neovisne izvještaje za potpuniju sliku.

Razumite što pristanak zapravo obuhvaća. Prijava za uslugu znači pristajanje na politiku privatnosti te tvrtke, ali te politike često uključuju široke formulacije o dijeljenju podataka s trećim stranama. Genetski podaci, zdravstveni kartoni i biometrijske informacije zaslužuju dodatnu provjeru prije nego što kliknete "prihvaćam".

Što ovo znači za vas

Tužba kalifornijskog državnog odvjetnika protiv 23andMe nije samo regulatorna mjera protiv jedne tvrtke. To je signal da provedba zaštite privatnosti kod curenja genetskih podataka na državnoj razini postaje agresivnija te da će razotkrivanje DNK i zdravstvenih kartona sve više privlačiti pravne posljedice koje tvrtka ne može jednostavno apsorbirati kao trošak poslovanja.

Za potrošače, poruka je i osnažujuća i otrežnjujuća. Možete donositi bolje odluke o tome kojim tvrtkama povjeravate svoje najosjetljivije podatke. Možete zahtijevati brisanje, čitati sitni tisak i ostati informirani kad se tvrtke kojima ste vjerovali suoče s nadzorom. Ono što ne možete jest osloniti se na bilo koji pojedinačni alat, uključujući VPN, kako biste zaštitili podatke koji već žive unutar sustava treće strane.

Kako biste razumjeli kako se ovaj obrazac odvija u drugim industrijama, izvještavanje o tužbi teksaškog državnog odvjetnika protiv Netflixa zbog podataka nudi korisnu paralelu: korporativna zlouporaba podataka djeluje na razini koja je potpuno izvan onoga što alati za osobnu privatnost mogu riješiti. Ostati informiran o ovim slučajevima jedna je od najpraktičnijih stvari koje možete učiniti.