California Gugat 23andMe atas Pelanggaran Data Genetik 7 Juta Pengguna

California Gugat 23andMe atas Pelanggaran Data Genetik 7 Juta Pengguna

Jaksa Agung California telah mengajukan gugatan terhadap perusahaan tes DNA 23andMe, yang kini beroperasi sebagai Chrome Holding Co., terkait penanganan pelanggaran data tahun 2023 yang mengekspos data genetik dan leluhur dari hampir 7 juta pengguna. Gugatan ini berpusat pada dua klaim inti: bahwa 23andMe gagal melindungi secara memadai beberapa data pribadi paling sensitif yang ada, dan bahwa perusahaan tersebut menyesatkan pelanggan tentang seberapa serius paparan yang sebenarnya terjadi. Bagi siapa pun yang memikirkan tentang perlindungan privasi data genetik, kasus ini adalah pengingat tajam bahwa tidak ada alat privasi atau kebiasaan konsumen yang dapat mencegah hasil ini.

Apa yang Sebenarnya Didakwakan dalam Gugatan California terhadap 23andMe

Keluhan Jaksa Agung California berfokus pada dugaan kegagalan 23andMe menerapkan langkah-langkah keamanan yang memadai untuk data yang mencakup profil DNA dan informasi predisposisi kesehatan. Ketika pelanggaran pertama kali diungkapkan, para kritikus mencatat bahwa komunikasi publik perusahaan meremehkan cakupan dari apa yang dikompromikan. Gugatan ini memformalkan kekhawatiran tersebut, dengan alasan bahwa konsumen disesatkan tentang tingkat keparahan paparan tersebut.

Yang membuat kasus ini signifikan secara hukum adalah bahwa data genetik menempati kategori khusus di bawah hukum California. Tidak seperti alamat email yang bocor atau bahkan nomor kartu kredit, data DNA tidak dapat diubah. Data tersebut terhubung langsung dengan kerentanan kesehatan, hubungan keluarga, dan leluhur, dan itu bersifat permanen. Negara bagian tersebut berargumen bahwa 23andMe memiliki kewajiban hukum dan etika untuk memperlakukan data itu dengan kehati-hatian yang jauh lebih besar daripada yang tampaknya dilakukan.

Mengapa Data Genetik dan Kesehatan Merupakan Kategori Risiko yang Berbeda

Sebagian besar pelanggaran data menyebabkan kerugian serius, tetapi pelanggaran data genetik membawa konsekuensi yang jauh melampaui individu. DNA Anda berisi informasi tentang kerabat Anda, termasuk orang-orang yang tidak pernah menyetujui untuk berbagi apa pun dengan pihak ketiga. Ini dapat mengungkapkan kecenderungan terhadap penyakit, warisan etnis, dan koneksi keluarga biologis, detail yang dapat dieksploitasi oleh perusahaan asuransi, pemberi kerja, atau pelaku jahat selama bertahun-tahun atau dekade setelah pelanggaran terjadi.

Inilah yang membedakan data genetik dari kredensial dan profil perilaku yang terungkap dalam sebagian besar pelanggaran perusahaan. Tidak ada reset kata sandi untuk genom Anda. Kenyataan itu menempatkan beban tanggung jawab yang sangat besar pada perusahaan yang mengumpulkan dan menyimpan jenis informasi ini, dan itulah tepatnya argumen yang diajukan California di pengadilan.

Situasi ini menggemakan kekhawatiran yang lebih luas tentang bagaimana perusahaan besar menangani informasi pengguna yang sensitif tanpa akuntabilitas yang berarti. Seperti yang dilaporkan dalam liputan tentang gugatan Jaksa Agung Texas terhadap Netflix atas pengumpulan data pengguna secara rahasia, para jaksa agung di seluruh negeri semakin bersedia mengejar perusahaan teknologi dan konsumen yang menyalahgunakan atau gagal melindungi data pribadi yang mereka kumpulkan.

Apa yang Bisa dan Tidak Bisa Dilakukan VPN Setelah Pelanggaran Data Perusahaan

Ini adalah kasus yang layak mendapatkan kerangka yang jujur bagi pembaca yang sadar privasi. VPN adalah alat yang berharga untuk mengenkripsi lalu lintas internet Anda, menyembunyikan alamat IP Anda dari situs web dan pengiklan, serta melindungi aktivitas Anda di jaringan publik. Itu adalah manfaat yang nyata dan berarti.

Tetapi pelanggaran 23andMe bukanlah kasus seseorang mencegat data dalam perjalanan. Itu adalah kegagalan di dalam sistem perusahaan sendiri, yang melibatkan data yang telah diserahkan pengguna bertahun-tahun sebelumnya. VPN yang berjalan di perangkat Anda pada saat pelanggaran tidak akan melakukan apa pun untuk melindungi profil DNA yang tersimpan di basis data 23andMe.

Perbedaan ini penting karena konsumen kadang-kadang diyakinkan bahwa alat privasi seperti VPN menciptakan perisai komprehensif di sekitar kehidupan digital mereka. Tidak demikian. Begitu Anda menyerahkan data kepada pihak ketiga, perlindungan Anda sepenuhnya bergantung pada praktik keamanan perusahaan itu, kewajiban hukum, dan kesediaan untuk transparan ketika sesuatu yang salah terjadi. Gugatan 23andMe menunjukkan bahwa setidaknya satu dari penjagaan itu gagal dalam beberapa hal.

Langkah Praktis untuk Membatasi Paparan Anda di Luar VPN

Memahami batasan dari setiap alat privasi tunggal adalah langkah pertama dan terpenting. Dari sana, beberapa kebiasaan konkret dapat secara berarti mengurangi risiko Anda dengan perusahaan yang menyimpan data sensitif.

Selektif tentang apa yang Anda bagikan. Layanan tes genetik adalah produk konsumen dengan pertukaran privasi yang nyata. Sebelum mengirimkan sampel DNA, tinjau kebijakan retensi data perusahaan, riwayatnya dengan permintaan data penegak hukum, dan apa yang terjadi pada data Anda jika perusahaan diakuisisi atau bangkrut. Proses kebangkrutan 23andMe telah menimbulkan kekhawatiran terpisah tentang apa yang terjadi pada basis datanya.

Tinjau dan gunakan opsi penghapusan. Banyak perusahaan tes genetik menawarkan kemampuan untuk menghapus data DNA dan informasi akun Anda yang tersimpan. Jika Anda telah menggunakan layanan dan tidak lagi ingin data Anda disimpan, gunakan hak itu. Tidak semua perusahaan membuat ini mudah, tetapi seringkali tersedia.

Baca pemberitahuan pelanggaran dengan cermat. Perusahaan secara hukum diwajibkan untuk memberi tahu Anda tentang pelanggaran yang memenuhi syarat, tetapi seperti yang diilustrasikan oleh gugatan California, kerangka pemberitahuan itu dapat meremehkan cakupan kerugian yang sebenarnya. Jika Anda menerima pemberitahuan pelanggaran, tanggapi dengan serius terlepas dari bagaimana kata-katanya, dan periksa pemberitaan independen untuk gambaran yang lebih lengkap.

Pahami apa yang sebenarnya dicakup oleh persetujuan. Mendaftar untuk suatu layanan berarti menyetujui kebijakan privasi perusahaan itu, tetapi kebijakan tersebut sering kali mencakup bahasa yang luas tentang berbagi data dengan pihak ketiga. Data genetik, catatan kesehatan, dan informasi biometrik layak mendapatkan pengawasan ekstra sebelum Anda mengeklik setuju.

Apa Artinya Ini Bagi Anda

Gugatan Jaksa Agung California terhadap 23andMe bukan hanya tindakan regulasi terhadap satu perusahaan. Ini adalah sinyal bahwa penegakan tingkat negara bagian terhadap perlindungan privasi pelanggaran data genetik menjadi lebih agresif, dan bahwa paparan DNA dan catatan kesehatan akan semakin menarik konsekuensi hukum yang tidak dapat diserap begitu saja oleh perusahaan sebagai biaya menjalankan bisnis.

Bagi konsumen, kesimpulannya adalah memberdayakan sekaligus menyadarkan. Anda dapat membuat keputusan yang lebih baik tentang perusahaan mana yang Anda percayai dengan data paling sensitif Anda. Anda dapat menuntut penghapusan, membaca cetakan kecil, dan tetap terinformasi ketika perusahaan yang telah Anda percayai menghadapi pengawasan. Yang tidak dapat Anda lakukan adalah mengandalkan satu alat pun, termasuk VPN, untuk melindungi data yang sudah ada di dalam sistem pihak ketiga.

Untuk memahami bagaimana pola ini terjadi di industri lain, liputan tentang gugatan data Netflix oleh Jaksa Agung Texas menawarkan paralel yang berguna: penyalahgunaan data perusahaan beroperasi pada tingkat yang sepenuhnya di luar jangkauan alat privasi pribadi. Tetap terinformasi tentang kasus-kasus ini adalah salah satu hal paling praktis yang dapat Anda lakukan.