Why are the 27 states suing 23andMe?

They are trying to block the bankrupt company from selling customer genetic data, and they allege 23andMe failed to protect data and misled consumers about the severity of the 2023 breach.

How many people were affected by the 2023 breach?

According to the lawsuit, the breach exposed sensitive health information belonging to nearly 7 million people.

Can 23andMe’s genetic data be sold to a new owner?

The lawsuit argues that in bankruptcy, the data could be transferred to a buyer who isn't bound by original consent terms. Some states, like Florida, prohibit such sales without explicit consent, but not all states have those protections.

Why can’t tools like VPNs keep genetic data private?

VPNs and encryption protect data in transit, but genetic data is collected from a physical saliva sample and stored on company servers. From that point, no network-level tool applies, and privacy depends solely on the company’s security and legal safeguards.

How did 23andMe allegedly mislead customers after the breach?

The coalition claims 23andMe downplayed the incident’s scope, keeping customers from realizing how serious it was and possibly preventing them from taking steps to protect themselves or requesting data deletion.

27 Estados processam 23andMe para bloquear venda de dados genéticos após violação de 2023

Vinte e sete estados e o Distrito de Columbia entraram com uma ação judicial contra a 23andMe para impedir que a empresa falida de testes de DNA venda os dados genéticos de seus clientes. A ação, protocolada no tribunal de falências, gira em torno de uma violação ocorrida em 2023 que expôs informações confidenciais de saúde de quase 7 milhões de pessoas, e alega que a 23andMe enganou os consumidores sobre a gravidade desse incidente. Está em jogo o material genético de cerca de 15 milhões de clientes que jamais consentiram que suas informações biológicas mais íntimas fossem leiloadas ao maior licitante.

Este caso não é apenas uma história de negligência corporativa. Ele levanta uma questão mais difícil e incômoda para os consumidores preocupados com privacidade: o que acontece quando o risco à privacidade não é uma senha, um endereço IP ou um e‑mail, mas o seu próprio DNA?

O que a ação judicial realmente alega

A coalizão de procuradores-gerais argumenta em duas frentes principais. Primeiro, que a 23andMe não protegeu adequadamente os dados dos usuários antes e durante a violação de 2023, deixando milhões de clientes expostos a danos que não tinham como prever. Segundo, que a empresa minimizou a dimensão do incidente, enganando clientes que, de outra forma, poderiam ter tomado medidas para se proteger ou solicitar a exclusão dos seus dados.

Agora que a 23andMe pediu falência, o receio é que os dados genéticos coletados sob um conjunto de promessas possam ser transferidos para um novo proprietário que atue sob políticas completamente diferentes. Clientes que originalmente consentiram em compartilhar seu DNA para pesquisas de ancestralidade ou informações de saúde podem ver esses dados absorvidos por terceiros desconhecidos, sem qualquer obrigação de respeitar os termos de serviço originais.

Vários estados já possuem leis que tratam especificamente desse cenário. A Flórida, por exemplo, proíbe a venda de dados genéticos sem o consentimento expresso do cliente, com sanções penais e multas. Mas nem todos os estados têm essas proteções, e é exatamente por isso que se tornou necessária uma ação coordenada de múltiplos estados.

Por que suas ferramentas de privacidade não protegem os dados genéticos

Esta é a parte da história que a maior parte das coberturas sobre privacidade digital ignora. VPNs, aplicativos de mensagens criptografadas, navegadores privados e ferramentas similares são eficazes para proteger uma categoria de dados: as informações que você transmite ou gera digitalmente. Elas podem blindar seu endereço IP, seu histórico de navegação e suas comunicações contra interceptação.

Mas não podem fazer nada em relação a dados que você já entregou voluntariamente em forma física. Quando você envia uma amostra de saliva pelo correio para uma empresa de testes de DNA, nenhuma proteção de privacidade em nível de rede se aplica. Os dados são coletados, processados e armazenados nos servidores da empresa. Desse momento em diante, sua privacidade depende inteiramente das práticas de segurança da empresa, de suas obrigações contratuais e das proteções legais disponíveis na sua jurisdição.

Essa distinção é importante porque muda a natureza do risco. Na maioria das ameaças à privacidade digital, os usuários mantêm uma capacidade contínua de agir. Você pode parar de usar um serviço, limpar seus dados ou migrar para uma alternativa mais privada. Com os dados genéticos, a informação é imutável. Seu DNA não pode ser alterado, redefinido ou revogado. Uma vez violado ou vendido, a exposição é permanente.

O que isso significa para você

Se você é cliente da 23andMe, a ação judicial significa que há, neste momento, um esforço jurídico ativo para impedir que seus dados sejam vendidos sem seu consentimento. No entanto, processos judiciais levam tempo, e os resultados nunca são garantidos em um tribunal de falências, onde os interesses dos credores muitas vezes competem diretamente com a proteção dos consumidores.

Há medidas concretas que vale a pena tomar agora. Primeiro, verifique se você já enviou uma solicitação de exclusão de dados à 23andMe. A empresa historicamente ofereceu essa opção e, embora o processo de falência complique as coisas, enviar uma solicitação formal de exclusão cria um registro documentado de sua intenção. Segundo, revise todos os contratos de consentimento que você assinou ao criar sua conta, pois esses documentos podem descrever seus direitos durante uma transferência corporativa.

Além da 23andMe especificamente, este caso é um bom estímulo para pensar de forma mais ampla sobre privacidade genética. Qualquer serviço que colete dados biométricos ou biológicos — seja para saúde, condicionamento físico, ancestralidade ou pesquisa — detém informações que estão fora do alcance das ferramentas de privacidade convencionais. O arcabouço jurídico que protege esses dados varia significativamente de estado para estado e ainda está se atualizando em relação à tecnologia.

Para aqueles interessados em como a legislação de privacidade mais ampla está evoluindo nos Estados Unidos, o Projeto de Lei Lofgren-Tillis oferece uma janela útil sobre como os legisladores estão pensando os direitos de dados digitais e os limites das proteções existentes.

O cenário mais amplo do risco dos corretores de dados

A situação da 23andMe também é um lembrete de como funcionam os ecossistemas de corretores de dados. Mesmo dados coletados para uma finalidade benigna podem acabar nas mãos de partes cujas intenções e práticas são completamente desconhecidas para o consumidor original. As vendas em processos de falência são um caminho para isso acontecer. Aquisições corporativas, acordos de licenciamento de dados e violações de segurança são outros.

Os dados genéticos estão entre as categorias mais sensíveis de informações pessoais que existem. Eles podem revelar predisposições a doenças, relações familiares e origem étnica. Em mãos erradas, podem ser usados por seguradoras, empregadores ou autoridades policiais de maneiras que os consumidores nunca previram ou aceitaram.

A ação judicial de múltiplos estados contra a 23andMe é um momento significativo para os direitos de privacidade genética nos Estados Unidos. Independentemente de conseguir bloquear a venda, ela já demonstrou que os procuradores-gerais estaduais estão dispostos a se coordenar com firmeza em questões de dados dos consumidores e que os dados genéticos são cada vez mais tratados como uma categoria que merece proteção jurídica reforçada.

Se você tem dados genéticos armazenados em qualquer empresa de testes, agora é a hora de revisar as configurações da sua conta, entender seus direitos de exclusão e pensar com cuidado antes de enviar dados biológicos para qualquer serviço no futuro. Nenhuma VPN pode proteger seu DNA, mas decisões informadas antes de compartilhar dados são a ferramenta de privacidade mais poderosa que existe.