Mengapa 27 negara bagian menggugat 23andMe?

Mereka berusaha memblokir perusahaan yang bangkrut itu dari menjual data genetik pelanggan, dan mereka menuduh 23andMe gagal melindungi data serta menyesatkan konsumen tentang tingkat keparahan pelanggaran tahun 2023.

Berapa banyak orang yang terkena dampak pelanggaran tahun 2023?

Menurut gugatan, pelanggaran tersebut mengekspos informasi kesehatan sensitif milik hampir 7 juta orang.

Bisakah data genetik 23andMe dijual ke pemilik baru?

Gugatan berargumen bahwa dalam kebangkrutan, data dapat dialihkan ke pembeli yang tidak terikat oleh ketentuan persetujuan awal. Beberapa negara bagian, seperti Florida, melarang penjualan semacam itu tanpa persetujuan eksplisit, tetapi tidak semua negara bagian memiliki perlindungan tersebut.

Mengapa alat seperti VPN tidak dapat menjaga privasi data genetik?

VPN dan enkripsi melindungi data saat transit, tetapi data genetik dikumpulkan dari sampel air liur fisik dan disimpan di server perusahaan. Sejak saat itu, tidak ada alat tingkat jaringan yang berlaku, dan privasi sepenuhnya bergantung pada keamanan perusahaan dan perlindungan hukum.

Bagaimana 23andMe diduga menyesatkan pelanggan setelah pelanggaran?

Koalisi mengklaim 23andMe meremehkan cakupan insiden, sehingga pelanggan tidak menyadari seberapa seriusnya dan mungkin mencegah mereka mengambil langkah untuk melindungi diri atau meminta penghapusan data.

27 Negara Bagian Gugat 23andMe untuk Blokir Penjualan Data Genetik Pasca Pelanggaran 2023

Dua puluh tujuh negara bagian dan District of Columbia telah mengajukan gugatan terhadap 23andMe untuk mencegah perusahaan tes DNA yang bangkrut itu menjual data genetik pelanggannya. Gugatan yang diajukan di pengadilan kebangkrutan ini berpusat pada pelanggaran tahun 2023 yang mengekspos informasi kesehatan sensitif milik hampir 7 juta orang, dan berargumen bahwa 23andMe menyesatkan konsumen tentang tingkat keparahan insiden tersebut. Yang dipertaruhkan adalah data genetik dari sekitar 15 juta pelanggan yang tidak pernah menyetujui informasi biologis paling pribadi mereka dilelang kepada penawar tertinggi.

Kasus ini bukan sekadar cerita tentang kelalaian perusahaan. Kasus ini memunculkan pertanyaan yang lebih sulit dan tidak nyaman bagi konsumen yang sadar privasi: apa yang terjadi ketika risiko privasi bukanlah kata sandi, alamat IP, atau email, melainkan DNA Anda yang sesungguhnya?

Apa yang Sebenarnya Dituduhkan dalam Gugatan Ini

Koalisi jaksa agung berargumen pada dua front utama. Pertama, bahwa 23andMe gagal melindungi data pengguna secara memadai sebelum dan selama pelanggaran tahun 2023, sehingga jutaan pelanggan terpapar pada kerugian yang tidak dapat mereka antisipasi. Kedua, bahwa perusahaan tersebut meremehkan cakupan insiden, menyesatkan pelanggan yang mungkin sebaliknya akan mengambil langkah untuk melindungi diri atau meminta penghapusan data mereka.

Sekarang setelah 23andMe mengajukan kebangkrutan, kekhawatirannya adalah data genetik yang dikumpulkan berdasarkan satu set janji bisa dialihkan ke pemilik baru yang beroperasi dengan kebijakan yang sama sekali berbeda. Pelanggan yang awalnya menyetujui untuk membagikan DNA mereka untuk riset leluhur atau wawasan kesehatan mungkin menemukan data tersebut diserap oleh pihak ketiga yang tidak dikenal tanpa kewajiban untuk menghormati ketentuan layanan awal.

Beberapa negara bagian sudah memiliki undang-undang yang secara khusus menangani skenario ini. Florida, misalnya, melarang penjualan data genetik tanpa persetujuan eksplisit pelanggan, didukung oleh hukuman pidana dan denda. Namun tidak semua negara bagian memiliki perlindungan semacam itu, itulah sebabnya gugatan multi-negara bagian yang terkoordinasi menjadi perlu.

Mengapa Alat Privasi Anda Tidak Dapat Melindungi Data Genetik

Ini adalah bagian dari cerita yang sering dilewatkan oleh liputan privasi digital kebanyakan. VPN, aplikasi perpesanan terenkripsi, browser pribadi, dan alat serupa efektif melindungi satu kategori data: informasi yang Anda kirimkan atau hasilkan secara digital. Mereka dapat melindungi alamat IP, riwayat penjelajahan, dan komunikasi Anda dari intersepsi.

Tetapi mereka tidak dapat berbuat apa-apa terhadap data yang telah Anda serahkan secara sukarela dalam bentuk fisik. Ketika Anda mengirimkan sampel air liur ke perusahaan tes DNA, tidak ada perlindungan privasi tingkat jaringan yang berlaku. Data tersebut dikumpulkan, diproses, dan disimpan di server perusahaan. Sejak saat itu, privasi Anda sepenuhnya bergantung pada praktik keamanan perusahaan, kewajiban kontraktualnya, dan perlindungan hukum yang tersedia di yurisdiksi Anda.

Perbedaan ini penting karena mengubah sifat risiko. Dengan sebagian besar ancaman privasi digital, pengguna memiliki agensi berkelanjutan. Anda dapat berhenti menggunakan layanan, menghapus data Anda, atau beralih ke alternatif yang lebih privat. Dengan data genetik, informasi tersebut tidak dapat diubah. DNA Anda tidak dapat diubah, diatur ulang, atau dicabut. Begitu data tersebut dibobol atau dijual, paparannya bersifat permanen.

Apa Artinya Ini Bagi Anda

Jika Anda adalah pelanggan 23andMe, gugatan ini berarti saat ini ada upaya hukum aktif untuk mencegah data Anda dijual tanpa persetujuan Anda. Namun, proses hukum memerlukan waktu, dan hasilnya tidak pernah dijamin di pengadilan kebangkrutan, di mana kepentingan kreditor seringkali bersaing langsung dengan perlindungan konsumen.

Ada langkah-langkah konkret yang patut diambil sekarang. Pertama, periksa apakah Anda sudah mengajukan permintaan penghapusan data ke 23andMe. Perusahaan ini secara historis menawarkan opsi ini, dan meskipun proses kebangkrutan mempersulitnya, mengajukan permintaan penghapusan formal menciptakan catatan terdokumentasi tentang niat Anda. Kedua, tinjau perjanjian persetujuan yang Anda tandatangani saat membuat akun, karena dokumen-dokumen ini mungkin menguraikan hak-hak Anda selama transfer perusahaan.

Di luar 23andMe secara khusus, kasus ini adalah pemicu yang berguna untuk berpikir lebih luas tentang privasi genetik. Layanan apa pun yang mengumpulkan data biometrik atau biologis, baik untuk kesehatan, kebugaran, leluhur, atau tujuan riset, menyimpan informasi yang berada di luar cakupan alat privasi konvensional. Kerangka hukum yang melindungi data tersebut sangat bervariasi antar negara bagian dan masih berusaha mengejar teknologi.

Bagi mereka yang tertarik bagaimana legislasi privasi yang lebih luas berkembang di Amerika Serikat, RUU Lofgren-Tillis menawarkan jendela yang berguna tentang bagaimana para pembuat undang-undang memikirkan hak data digital dan batasan perlindungan yang ada.

Gambaran Lebih Besar tentang Risiko Pialang Data

Situasi 23andMe juga merupakan pengingat tentang bagaimana ekosistem pialang data beroperasi. Bahkan data yang dikumpulkan untuk tujuan yang tidak berbahaya bisa berakhir di tangan pihak-pihak yang niat dan praktiknya sama sekali tidak diketahui oleh konsumen awal. Penjualan kebangkrutan adalah salah satu jalur untuk hal ini terjadi. Akuisisi perusahaan, perjanjian lisensi data, dan pelanggaran keamanan adalah jalur lainnya.

Data genetik adalah salah satu kategori informasi pribadi paling sensitif yang ada. Data ini dapat mengungkapkan kecenderungan terhadap penyakit, hubungan keluarga, dan warisan etnis. Di tangan yang salah, data ini dapat digunakan oleh perusahaan asuransi, pemberi kerja, atau penegak hukum dengan cara yang tidak pernah diantisipasi atau disetujui oleh konsumen.

Gugatan multi-negara bagian terhadap 23andMe adalah momen penting bagi hak privasi genetik di Amerika Serikat. Terlepas dari apakah gugatan ini berhasil memblokir penjualan, ini telah menunjukkan bahwa jaksa agung negara bagian bersedia berkoordinasi secara agresif dalam isu-isu data konsumen, dan bahwa data genetik semakin diperlakukan sebagai kategori yang layak mendapatkan perlindungan hukum yang lebih tinggi.

Jika Anda memiliki data genetik yang disimpan di perusahaan pengujian mana pun, sekaranglah waktunya untuk meninjau pengaturan akun Anda, memahami hak penghapusan Anda, dan berpikir dengan hati-hati sebelum mengirimkan data biologis ke layanan apa pun di masa depan. Tidak ada VPN yang dapat melindungi DNA Anda, tetapi keputusan yang diinformasikan sebelum Anda membagikan data adalah alat privasi paling kuat yang tersedia.