Dlaczego 27 stanów pozywa 23andMe?

Próbują one zablokować zbankrutowaną firmę przed sprzedażą danych genetycznych klientów oraz zarzucają 23andMe, że nie chroniło danych i wprowadziło konsumentów w błąd co do powagi wycieku z 2023 roku.

Ile osób zostało dotkniętych wyciekiem z 2023 roku?

Według pozwu wyciek ujawnił poufne informacje zdrowotne blisko 7 milionów osób.

Czy dane genetyczne 23andMe mogą zostać sprzedane nowemu właścicielowi?

Pozew argumentuje, że w ramach upadłości dane mogą zostać przekazane nabywcy, który nie jest związany pierwotnymi warunkami zgody. Niektóre stany, jak Floryda, zakazują takiej sprzedaży bez wyraźnej zgody, ale nie wszystkie stany mają taką ochronę.

Dlaczego narzędzia takie jak VPN nie są w stanie chronić prywatności danych genetycznych?

Sieci VPN i szyfrowanie chronią dane podczas transmisji, ale dane genetyczne są pobierane z fizycznej próbki śliny i przechowywane na serwerach firmy. Od tego momentu żadne narzędzie na poziomie sieci nie ma zastosowania, a prywatność zależy wyłącznie od zabezpieczeń firmy i ochrony prawnej.

W jaki sposób 23andMe rzekomo wprowadziło klientów w błąd po wycieku?

Koalicja twierdzi, że 23andMe umniejszało skalę incydentu, przez co klienci nie zdawali sobie sprawy z jego powagi i mogli nie podjąć kroków w celu ochrony siebie lub żądania usunięcia danych.

27 stanów pozywa 23andMe, by zablokować sprzedaż danych genetycznych po wycieku z 2023 roku

Dwadzieścia siedem stanów oraz Dystrykt Kolumbii złożyły pozew przeciwko 23andMe, aby uniemożliwić zbankrutowanej firmie testów DNA sprzedaż danych genetycznych swoich klientów. Pozew, złożony w sądzie upadłościowym, koncentruje się na wycieku z 2023 roku, który ujawnił poufne informacje zdrowotne blisko 7 milionów osób, i argumentuje, że 23andMe wprowadziło konsumentów w błąd co do powagi tego incydentu. Stawką są dane genetyczne szacunkowo 15 milionów klientów, którzy nigdy nie wyrazili zgody na to, by ich najbardziej intymne informacje biologiczne zostały zlicytowane przez najwyżej oferującego.

Ta sprawa nie jest jedynie historią korporacyjnych zaniedbań. Rodzi ona trudniejsze, bardziej niewygodne pytanie dla dbających o prywatność konsumentów: co się dzieje, gdy zagrożenie dla prywatności nie dotyczy hasła, adresu IP czy e-maila, ale twojego rzeczywistego DNA?

Co konkretnie zarzuca pozew

Koalicja prokuratorów generalnych opiera swoje działania na dwóch głównych argumentach. Po pierwsze, że 23andMe nie zdołało odpowiednio chronić danych użytkowników przed wyciekiem z 2023 roku i w jego trakcie, narażając miliony klientów na szkody, których nie mogli przewidzieć. Po drugie, że firma umniejszała skalę incydentu, wprowadzając w błąd klientów, którzy w przeciwnym razie mogliby podjąć kroki w celu ochrony lub zażądać usunięcia swoich danych.

Teraz, gdy 23andMe złożyło wniosek o upadłość, obawy budzi możliwość przeniesienia danych genetycznych zebranych pod rządami jednych obietnic na nowego właściciela działającego według zupełnie innych zasad. Klienci, którzy pierwotnie zgodzili się udostępnić swoje DNA do badań genealogicznych lub analiz zdrowotnych, mogą odkryć, że ich dane wchłonął nieznany podmiot trzeci, nie mający obowiązku honorowania pierwotnych warunków świadczenia usługi.

Kilka stanów ma już przepisy odnoszące się konkretnie do takiego scenariusza. Na przykład Floryda zakazuje sprzedaży danych genetycznych bez wyraźnej zgody klienta, pod groźbą sankcji karnych i grzywien. Jednak nie każdy stan dysponuje taką ochroną, co właśnie sprawia, że skoordynowany, wielostanowy pozew stał się koniecznością.

Dlaczego narzędzia prywatności nie chronią danych genetycznych

To ten fragment historii, który większość doniesień o prywatności cyfrowej pomija. VPN-y, szyfrowane komunikatory, prywatne przeglądarki i podobne narzędzia skutecznie chronią jedną kategorię danych: informacje, które przesyłasz lub generujesz cyfrowo. Mogą one osłaniać twój adres IP, historię przeglądania i komunikację przed przechwyceniem.

Nie są one jednak w stanie nic zrobić z danymi, które już wcześniej dobrowolnie przekazałeś w formie fizycznej. Kiedy wysyłasz próbkę śliny do firmy testów DNA, żaden poziom ochrony na poziomie sieci nie ma zastosowania. Dane są pobierane, przetwarzane i przechowywane na serwerach firmy. Od tego momentu twoja prywatność zależy wyłącznie od praktyk bezpieczeństwa firmy, jej zobowiązań umownych i ochrony prawnej dostępnej w twojej jurysdykcji.

To rozróżnienie jest istotne, ponieważ zmienia charakter ryzyka. W przypadku większości zagrożeń prywatności cyfrowej użytkownicy mają stale sprawczość. Możesz przestać korzystać z usługi, wyczyścić dane lub przejść na inną, bardziej prywatną alternatywę. W przypadku danych genetycznych informacje te są niezmienne. Twojego DNA nie da się zmienić, zresetować ani cofnąć. Gdy już dojdzie do wycieku lub sprzedaży, ekspozycja jest trwała.

Co to oznacza dla ciebie

Jeśli jesteś klientem 23andMe, pozew oznacza, że obecnie trwa aktywna próba prawna, by zapobiec sprzedaży twoich danych bez twojej zgody. Postępowania prawne wymagają jednak czasu, a wynik nigdy nie jest gwarantowany w sądzie upadłościowym, gdzie interesy wierzycieli często stoją w bezpośredniej sprzeczności z ochroną konsumentów.

Istnieją konkretne kroki, które warto podjąć już teraz. Po pierwsze, sprawdź, czy złożyłeś już do 23andMe żądanie usunięcia danych. Firma historycznie oferowała taką możliwość, a choć proces upadłościowy wszystko komplikuje, złożenie formalnego żądania tworzy udokumentowany ślad twojej intencji. Po drugie, przejrzyj wszelkie umowy zgody, które podpisałeś podczas zakładania konta, ponieważ dokumenty te mogą określać twoje prawa podczas przeniesienia firmy.

Poza samym 23andMe, sprawa ta stanowi użyteczny bodziec do szerszego zastanowienia się nad prywatnością genetyczną. Każda usługa gromadząca dane biometryczne lub biologiczne – czy to w celach zdrowotnych, fitnessowych, genealogicznych czy badawczych – przechowuje informacje, które znajdują się poza zakresem konwencjonalnych narzędzi prywatności. Ramy prawne chroniące te dane znacznie różnią się w zależności od stanu i wciąż nadążają za rozwojem technologii.

Dla zainteresowanych tym, jak rozwija się szersze prawodawstwo dotyczące prywatności w Stanach Zjednoczonych, ustawa Lofgren-Tillis oferuje przydatne okno na to, w jaki sposób ustawodawcy myślą o cyfrowych prawach do danych i ograniczeniach istniejących zabezpieczeń.

Szerszy obraz ryzyka związanego z brokerami danych

Sytuacja 23andMe przypomina również o tym, jak działają ekosystemy brokerów danych. Nawet dane zebrane w łagodnym celu mogą trafić w ręce podmiotów, których intencje i praktyki są całkowicie nieznane pierwotnemu konsumentowi. Sprzedaż w ramach upadłości to jedna ze ścieżek, przez którą do tego dochodzi. Inne to przejęcia firm, umowy licencjonowania danych i naruszenia bezpieczeństwa.

Dane genetyczne należą do najwrażliwszych kategorii istniejących informacji osobistych. Mogą ujawniać predyspozycje do chorób, relacje rodzinne i pochodzenie etniczne. W niepowołanych rękach mogłyby zostać wykorzystane przez ubezpieczycieli, pracodawców lub organy ścigania w sposób, którego konsumenci nigdy nie przewidzieli ani na który się nie zgodzili.

Wielostanowy pozew przeciwko 23andMe jest znaczącym momentem dla praw do prywatności genetycznej w Stanach Zjednoczonych. Niezależnie od tego, czy uda się zablokować sprzedaż, już teraz pokazał on, że stanowi prokuratorzy generalni są gotowi agresywnie koordynować działania w kwestiach danych konsumenckich oraz że dane genetyczne coraz częściej traktowane są jako kategoria wymagająca wzmocnionej ochrony prawnej.

Jeśli masz dane genetyczne przechowywane u jakiejkolwiek firmy testowej, teraz jest czas, by przejrzeć ustawienia konta, zrozumieć swoje prawa do usunięcia danych i dobrze się zastanowić przed przekazaniem danych biologicznych jakiejkolwiek usłudze w przyszłości. Żaden VPN nie ochroni twojego DNA, ale świadome decyzje przed udostępnieniem danych są najpotężniejszym dostępnym narzędziem prywatności.