27 de state dau în judecată 23andMe pentru a bloca vânzarea datelor genetice după încălcarea din 2023

27 de state dau în judecată 23andMe pentru a bloca vânzarea datelor genetice după încălcarea din 2023

Douăzeci și șapte de state și Districtul Columbia au intentat un proces împotriva 23andMe pentru a împiedica compania de testare ADN aflată în faliment să vândă datele genetice ale clienților săi. Procesul, intentat la tribunalul de faliment, se axează pe o încălcare din 2023 care a expus informații sensibile de sănătate aparținând a aproape 7 milioane de persoane și susține că 23andMe a indus în eroare consumatorii cu privire la gravitatea acelui incident. În joc sunt datele genetice ale unui număr estimat de 15 milioane de clienți care nu și-au dat niciodată consimțământul ca informațiile lor biologice cele mai intime să fie scoase la licitație celui mai mare ofertant.

Acest caz nu este doar o poveste despre neglijență corporativă. El ridică o întrebare mai dură și mai incomodă pentru consumatorii preocupați de confidențialitate: ce se întâmplă când riscul de confidențialitate nu este o parolă, o adresă IP sau un e-mail, ci ADN-ul tău real?

Ce susține de fapt procesul

Coaliția procurorilor generali argumentează pe două fronturi principale. În primul rând, că 23andMe nu a protejat corespunzător datele utilizatorilor înainte și în timpul încălcării din 2023, lăsând milioane de clienți expuși unor prejudicii pe care nu aveau cum să le anticipeze. În al doilea rând, că societatea a minimalizat amploarea incidentului, inducând în eroare clienții care altfel ar fi putut lua măsuri pentru a se proteja sau pentru a solicita ștergerea datelor lor.

Acum că 23andMe a solicitat falimentul, îngrijorarea este că datele genetice colectate sub un set de promisiuni ar putea fi transferate unui nou proprietar care funcționează după politici complet diferite. Clienții care inițial și-au dat consimțământul să-și împărtășească ADN-ul pentru cercetarea strămoșilor sau pentru informații de sănătate ar putea descoperi că acele date sunt absorbite de un terț necunoscut, fără nicio obligație de a respecta condițiile inițiale de utilizare.

Câteva state au deja legi care abordează în mod specific acest scenariu. Florida, de exemplu, interzice vânzarea datelor genetice fără consimțământul expres al clientului, sub sancțiunea unor pedepse penale și amenzi. Dar nu toate statele au astfel de protecții, motiv pentru care a devenit necesar un proces coordonat la nivelul mai multor state.

De ce instrumentele tale de confidențialitate nu pot proteja datele genetice

Aceasta este partea din poveste pe care majoritatea articolelor despre confidențialitatea digitală o omit. VPN-urile, aplicațiile de mesagerie criptată, browserele private și instrumentele similare sunt eficiente în protejarea unei categorii de date: informațiile pe care le transmiți sau le generezi digital. Ele pot proteja adresa ta IP, istoricul de navigare și comunicațiile împotriva interceptării.

Dar ele nu pot face nimic în privința datelor pe care deja le-ai predat voluntar în formă fizică. Când trimiți o probă de salivă prin poștă unei companii de testare ADN, niciun nivel de protecție a confidențialității la nivel de rețea nu se aplică. Datele sunt colectate, procesate și stocate pe serverele companiei. Din acel moment, confidențialitatea ta depinde în întregime de practicile de securitate ale companiei, de obligațiile sale contractuale și de protecțiile legale disponibile în jurisdicția ta.

Această distincție contează pentru că schimbă natura riscului. În cazul majorității amenințărilor la adresa confidențialității digitale, utilizatorii au o posibilitate continuă de acțiune. Poți înceta să folosești un serviciu, poți șterge datele sau poți trece la o alternativă mai privată. În cazul datelor genetice, informația este imuabilă. ADN-ul tău nu poate fi schimbat, resetat sau revocat. Odată compromis sau vândut, expunerea este permanentă.

Ce înseamnă asta pentru tine

Dacă ești client 23andMe, procesul înseamnă că în prezent există un efort juridic activ pentru a împiedica vânzarea datelor tale fără consimțământul tău. Totuși, procedurile judiciare durează, iar rezultatele nu sunt niciodată garantate la tribunalul de faliment, unde interesele creditorilor concurează adesea direct cu protecțiile consumatorilor.

Există pași concreți pe care merită să-i faci acum. În primul rând, verifică dacă ai trimis deja o cerere de ștergere a datelor către 23andMe. Compania a oferit istoric această opțiune și, deși procesul de faliment complică lucrurile, trimiterea unei cereri oficiale de ștergere creează o evidență documentată a intenției tale. În al doilea rând, revizuiește orice acorduri de consimțământ pe care le-ai semnat la crearea contului, deoarece aceste documente pot detalia drepturile tale în timpul unui transfer corporativ.

Dincolo de cazul specific 23andMe, acest caz este un impuls util pentru a reflecta mai larg asupra confidențialității genetice. Orice serviciu care colectează date biometrice sau biologice, fie pentru sănătate, fitness, genealogie sau cercetare, deține informații care se află în afara sferei instrumentelor convenționale de confidențialitate. Cadrul juridic care protejează acele date variază semnificativ de la stat la stat și încă încearcă să țină pasul cu tehnologia.

Pentru cei interesați de modul în care evoluează legislația mai amplă privind confidențialitatea în Statele Unite, Proiectul de lege Lofgren-Tillis oferă o perspectivă utilă asupra modului în care legiuitorii gândesc drepturile asupra datelor digitale și limitele protecțiilor existente.

Imaginea de ansamblu asupra riscului brokerilor de date

Situația 23andMe este, de asemenea, un memento despre cum funcționează ecosistemele brokerilor de date. Chiar și datele colectate într-un scop benign pot ajunge în mâinile unor părți ale căror intenții și practici sunt complet necunoscute consumatorului inițial. Vânzările din faliment reprezintă o cale prin care se poate întâmpla acest lucru. Achizițiile corporative, acordurile de licențiere a datelor și încălcările de securitate sunt altele.

Datele genetice se numără printre cele mai sensibile categorii de informații personale care există. Ele pot dezvălui predispoziții la boli, relații familiale și moștenire etnică. În mâini greșite, ar putea fi folosite de asigurători, angajatori sau autorități de aplicare a legii în moduri pe care consumatorii nu le-au anticipat și nici nu le-au acceptat.

Procesul multistatal împotriva 23andMe este un moment semnificativ pentru drepturile privind confidențialitatea genetică în Statele Unite. Fie că reușește să blocheze vânzarea, fie că nu, a demonstrat deja că procurorii generali ai statelor sunt dispuși să se coordoneze agresiv pe teme legate de datele consumatorilor și că datele genetice sunt tratate tot mai mult ca o categorie care merită o protecție juridică sporită.

Dacă aveți date genetice stocate la orice companie de testare, acum este momentul să vă revizuiți setările contului, să înțelegeți ce drepturi de ștergere aveți și să vă gândiți cu atenție înainte de a trimite date biologice oricărui serviciu în viitor. Niciun VPN nu vă poate proteja ADN-ul, dar deciziile informate înainte de a partaja datele sunt cel mai puternic instrument de confidențialitate disponibil.