27 Stati fanno causa a 23andMe per bloccare la vendita dei dati genetici dopo la violazione del 2023

27 Stati fanno causa a 23andMe per bloccare la vendita dei dati genetici dopo la violazione del 2023

Ventisette stati e il Distretto di Columbia hanno intentato una causa contro 23andMe per impedire all'azienda di test del DNA in bancarotta di vendere i dati genetici dei suoi clienti. La causa, depositata presso il tribunale fallimentare, ruota attorno a una violazione del 2023 che ha esposto informazioni sanitarie sensibili appartenenti a quasi 7 milioni di persone e sostiene che 23andMe abbia ingannato i consumatori sulla gravità dell'incidente. In gioco ci sono i dati genetici di circa 15 milioni di clienti che non hanno mai acconsentito a che le loro informazioni biologiche più intime venissero messe all'asta al miglior offerente.

Questo caso non è solo una storia di negligenza aziendale. Solleva una domanda più difficile e scomoda per i consumatori attenti alla privacy: cosa succede quando il rischio per la privacy non è una password, un indirizzo IP o un'email, ma il tuo stesso DNA?

Cosa sostiene effettivamente la causa

La coalizione di procuratori generali argomenta su due fronti principali. In primo luogo, che 23andMe non ha protetto adeguatamente i dati degli utenti prima e durante la violazione del 2023, lasciando milioni di clienti esposti a danni che non avevano modo di prevedere. In secondo luogo, che l'azienda ha minimizzato la portata dell'incidente, ingannando i clienti che altrimenti avrebbero potuto adottare misure per proteggersi o richiedere la cancellazione dei propri dati.

Ora che 23andMe ha dichiarato bancarotta, la preoccupazione è che i dati genetici raccolti in base a un insieme di promesse possano essere trasferiti a un nuovo proprietario che opera secondo politiche completamente diverse. I clienti che avevano originariamente acconsentito a condividere il proprio DNA per ricerche genealogiche o approfondimenti sulla salute potrebbero ritrovarsi quei dati assorbiti da una terza parte sconosciuta, senza alcun obbligo di rispettare i termini di servizio originali.

Diversi stati hanno già leggi che affrontano specificamente questo scenario. La Florida, ad esempio, vieta la vendita di dati genetici senza il consenso esplicito del cliente, con sanzioni penali e multe. Ma non tutti gli stati dispongono di tali tutele, ed è proprio per questo che è diventata necessaria un'azione legale coordinata da più stati.

Perché i tuoi strumenti per la privacy non possono proteggere i dati genetici

Questa è la parte della storia che la maggior parte della copertura sulla privacy digitale trascura. VPN, app di messaggistica crittografata, browser privati e strumenti simili sono efficaci nel proteggere una categoria di dati: le informazioni che trasmetti o generi digitalmente. Possono schermare il tuo indirizzo IP, la cronologia di navigazione e le comunicazioni da eventuali intercettazioni.

Ma non possono fare nulla per i dati che hai già consegnato volontariamente in forma fisica. Quando invii per posta un campione di saliva a un'azienda di test del DNA, nessuna protezione a livello di rete è applicabile. I dati vengono raccolti, elaborati e archiviati sui server dell'azienda. Da quel momento in poi, la tua privacy dipende interamente dalle pratiche di sicurezza dell'azienda, dai suoi obblighi contrattuali e dalle tutele legali disponibili nella tua giurisdizione.

Questa distinzione è importante perché cambia la natura del rischio. Con la maggior parte delle minacce alla privacy digitale, gli utenti hanno un potere continuo. Puoi smettere di usare un servizio, cancellare i tuoi dati o passare a un'alternativa più privata. Con i dati genetici, l'informazione è immutabile. Il tuo DNA non può essere modificato, resettato o revocato. Una volta che viene violato o venduto, l'esposizione è permanente.

Cosa significa per te

Se sei un cliente di 23andMe, la causa significa che al momento esiste uno sforzo legale attivo per impedire che i tuoi dati vengano venduti senza il tuo consenso. Tuttavia, i procedimenti legali richiedono tempo e gli esiti non sono mai garantiti in un tribunale fallimentare, dove gli interessi dei creditori spesso competono direttamente con le tutele dei consumatori.

Ci sono passi concreti che vale la pena compiere ora. Per prima cosa, verifica se hai già inviato una richiesta di cancellazione dei dati a 23andMe. Storicamente l'azienda ha offerto questa opzione e, sebbene la procedura fallimentare complichi le cose, inviare una richiesta formale di cancellazione crea una traccia documentale della tua intenzione. In secondo luogo, esamina gli eventuali accordi di consenso che hai firmato al momento della creazione dell'account, perché questi documenti potrebbero indicare i tuoi diritti durante un trasferimento aziendale.

Al di là del caso specifico di 23andMe, questa vicenda è un utile stimolo per riflettere in modo più ampio sulla privacy genetica. Qualsiasi servizio che raccoglie dati biometrici o biologici, sia per scopi sanitari, di fitness, genealogici o di ricerca, detiene informazioni che esulano dalla portata dei comuni strumenti per la privacy. Il quadro giuridico che protegge quei dati varia notevolmente da stato a stato ed è ancora in fase di adeguamento alla tecnologia.

Per chi è interessato a come si sta evolvendo la legislazione più ampia sulla privacy negli Stati Uniti, il disegno di legge Lofgren-Tillis offre una finestra utile su come i legislatori stanno pensando ai diritti sui dati digitali e ai limiti delle protezioni esistenti.

Il quadro più ampio sul rischio dei data broker

La situazione di 23andMe ricorda anche come funzionano gli ecosistemi dei data broker. Persino i dati raccolti per uno scopo benigno possono finire nelle mani di soggetti le cui intenzioni e pratiche sono del tutto sconosciute al consumatore originale. Le vendite fallimentari sono una via perché ciò accada. Le acquisizioni aziendali, gli accordi di licenza dei dati e le violazioni della sicurezza rappresentano altre strade.

I dati genetici sono tra le categorie più sensibili di informazioni personali esistenti. Possono rivelare predisposizioni a malattie, relazioni familiari e patrimonio etnico. Nelle mani sbagliate, potrebbero essere usati da assicuratori, datori di lavoro o forze dell'ordine in modi che i consumatori non hanno mai previsto né accettato.

La causa intentata da più stati contro 23andMe rappresenta un momento significativo per i diritti alla privacy genetica negli Stati Uniti. Che riesca o meno a bloccare la vendita, ha già dimostrato che i procuratori generali statali sono disposti a coordinarsi in modo aggressivo sulle questioni relative ai dati dei consumatori e che i dati genetici vengono sempre più considerati una categoria che merita una protezione legale rafforzata.

Se hai dati genetici archiviati presso una qualsiasi azienda di test, ora è il momento di rivedere le impostazioni del tuo account, capire i tuoi diritti di cancellazione e riflettere attentamente prima di inviare dati biologici a qualsiasi servizio in futuro. Nessuna VPN può proteggere il tuo DNA, ma decisioni informate prima di condividere i dati sono lo strumento per la privacy più potente a tua disposizione.