California dă în judecată 23andMe pentru breșa de date genetice a 7 milioane de utilizatori

California dă în judecată 23andMe pentru breșa de date genetice a 7 milioane de utilizatori

Procurorul General al Californiei a intentat un proces împotriva companiei de testare ADN 23andMe, care operează acum sub numele Chrome Holding Co., din cauza modului în care a gestionat o breșă din 2023 care a expus datele genetice și de ascendență a aproape 7 milioane de utilizatori. Procesul se axează pe două acuzații principale: că 23andMe nu a reușit să protejeze în mod corespunzător unele dintre cele mai sensibile date personale care există și că a indus în eroare clienții cu privire la gravitatea reală a expunerii. Pentru oricine se gândește la protecția confidențialității în cazul breșelor de date genetice, acest caz este un avertisment dur că niciun instrument de confidențialitate sau obicei de consum nu ar fi putut preveni acest rezultat.

Ce susține, de fapt, procesul din California împotriva 23andMe

Plângerea Procurorului General al Californiei se concentrează pe presupusul eșec al 23andMe de a implementa măsuri de securitate adecvate pentru date care includ profiluri ADN și informații privind predispozițiile de sănătate. La momentul dezvăluirii inițiale a breșei, criticii au remarcat că comunicările publice ale companiei au minimalizat amploarea informațiilor compromise. Procesul oficializează aceste îngrijorări, argumentând că consumatorii au fost induși în eroare cu privire la gravitatea expunerii.

Ceea ce face acest caz semnificativ din punct de vedere juridic este faptul că datele genetice ocupă o categorie specială în legislația californiană. Spre deosebire de o adresă de e-mail compromisă sau chiar de un număr de card de credit, datele ADN nu pot fi modificate. Ele se leagă direct de vulnerabilități de sănătate, relații de familie și ascendență, iar această legătură este permanentă. Statul susține că 23andMe avea atât o obligație legală, cât și una etică de a trata acele date cu o grijă mult mai mare decât a făcut-o aparent.

De ce datele genetice și de sănătate reprezintă o categorie diferită de risc

Majoritatea breșelor de date provoacă prejudicii grave, dar breșele de date genetice au consecințe care se extind cu mult dincolo de individ. ADN-ul dumneavoastră conține informații despre rudele dumneavoastră, inclusiv despre persoane care nu și-au dat niciodată consimțământul de a împărtăși ceva cu o terță parte. Poate dezvălui predispozițiile la boli, moștenirea etnică și legăturile biologice de familie – detalii care pot fi exploatate de asigurători, angajatori sau actori rău intenționați ani sau decenii după producerea breșei.

Iată ce separă datele genetice de credențialele și profilurile comportamentale pe care le expun majoritatea breșelor corporative. Nu există resetare de parolă pentru genomul dumneavoastră. Această realitate plasează o responsabilitate uriașă pe umerii companiilor care colectează și stochează acest tip de informații și este exact argumentul pe care California îl susține în instanță.

Situația reflectă preocupări mai largi legate de modul în care marile companii gestionează informațiile sensibile ale utilizatorilor fără o responsabilitate reală. Așa cum s-a relatat în articolul despre procesul intentat de Procurorul General al Texasului împotriva Netflix pentru colectarea secretă a datelor utilizatorilor, procurorii generali din întreaga țară sunt din ce în ce mai dispuși să urmărească firmele din domeniul tehnologiei și al consumului care folosesc abuziv sau nu reușesc să protejeze datele personale pe care le colectează.

Ce poate și ce nu poate face un VPN după o breșă de date corporativă

Acesta este un caz care merită o prezentare onestă pentru cititorii preocupați de confidențialitate. Un VPN este un instrument valoros pentru criptarea traficului de internet, mascarea adresei IP față de site-uri și agenți de publicitate și protejarea activității în rețelele publice. Acestea sunt beneficii reale și semnificative.

Dar breșa 23andMe nu a fost un caz în care cineva a interceptat datele în tranzit. A fost o defecțiune în interiorul sistemelor proprii ale companiei, care implica date pe care utilizatorii le trimiseseră cu ani în urmă. Un VPN care rulează pe dispozitivul dumneavoastră în momentul breșei nu ar fi făcut nimic pentru a proteja profilurile ADN stocate în baza de date a 23andMe.

Această distincție contează, deoarece consumatorii sunt uneori făcuți să creadă că instrumentele de confidențialitate precum VPN-urile creează un scut cuprinzător în jurul vieții lor digitale. Nu este așa. Odată ce încredințați datele unei terțe părți, protecția dumneavoastră depinde în totalitate de practicile de securitate ale acelei companii, de obligațiile legale și de disponibilitatea de a fi transparentă atunci când ceva nu merge bine. Procesul 23andMe sugerează că cel puțin una dintre aceste garanții a eșuat pe mai multe planuri.

Pași practici pentru a vă limita expunerea dincolo de un VPN

Înțelegerea limitelor oricărui instrument individual de confidențialitate este primul și cel mai important pas. De aici, câteva obiceiuri concrete pot reduce semnificativ riscul în relația cu companiile care dețin date sensibile.

Fiți selectiv cu privire la ceea ce împărtășiți. Serviciile de testare genetică sunt produse de consum cu compromisuri reale în materie de confidențialitate. Înainte de a trimite o probă ADN, examinați politica de păstrare a datelor a companiei, istoricul acesteia privind solicitările de date din partea autorităților de aplicare a legii și ce se întâmplă cu datele dumneavoastră dacă firma este achiziționată sau intră în faliment. Procedurile de faliment ale 23andMe au ridicat deja preocupări separate cu privire la soarta bazei sale de date.

Examinați și folosiți opțiunile de ștergere. Multe companii de testare genetică oferă posibilitatea de a vă șterge datele ADN stocate și informațiile contului. Dacă ați folosit un serviciu și nu mai doriți ca datele să fie păstrate, exercitați acest drept. Nu toate companiile fac acest lucru ușor, dar este adesea disponibil.

Citiți cu atenție notificările de breșă. Companiile sunt obligate legal să vă notifice cu privire la breșele care se califică, dar așa cum ilustrează procesul din California, modul în care sunt formulate aceste notificări poate subestima amploarea reală a prejudiciului. Dacă primiți o notificare de breșă, luați-o în serios indiferent de exprimare și verificați surse independente pentru o imagine completă.

Înțelegeți ce acoperă de fapt consimțământul. Înscrierea la un serviciu înseamnă că sunteți de acord cu politica de confidențialitate a acelei companii, dar aceste politici includ adesea formulări ample despre partajarea datelor cu terți. Datele genetice, dosarele medicale și informațiile biometrice merită o analiză suplimentară înainte de a face clic pe „accept”.

Ce înseamnă acest lucru pentru dumneavoastră

Procesul intentat de Procurorul General al Californiei împotriva 23andMe nu este doar o acțiune de reglementare îndreptată împotriva unei singure companii. Este un semnal că aplicarea legii la nivel de stat în domeniul protecției confidențialității datelor genetice devine mai agresivă și că expunerea ADN-ului și a dosarelor de sănătate va atrage din ce în ce mai mult consecințe juridice pe care o companie nu le poate absorbi pur și simplu ca pe un cost al activității comerciale.

Pentru consumatori, concluzia este atât împuternicitoare, cât și sobră. Puteți lua decizii mai bune cu privire la companiile cărora le încredințați cele mai sensibile date. Puteți cere ștergerea, puteți citi textul scris cu litere mici și vă puteți informa atunci când firmele în care ați avut încredere sunt supuse controlului. Ceea ce nu puteți face este să vă bazați pe un singur instrument, inclusiv un VPN, pentru a proteja datele care se află deja în sistemele unei terțe părți.

Pentru a înțelege cum se manifestă acest tipar în alte industrii, articolul despre procesul intentat de Procurorul General al Texasului împotriva Netflix pentru date oferă o paralelă utilă: utilizarea abuzivă a datelor corporative operează la un nivel care depășește cu totul ceea ce pot aborda instrumentele personale de confidențialitate. Să rămâneți informat cu privire la aceste cazuri este unul dintre cele mai practice lucruri pe care le puteți face.