Sinalização na sede da 23 e ME em Sunnyvale, Califórnia, EUA, na quarta -feira, 27 de janeiro de 2021.
David Paul Morris | Bloomberg | Getty Images
Os testes de DNA se tornaram uma ferramenta valiosa para amadores e genealogistas iniciantes. Para alguns, aprendendo, eles são o décimo primo de Paul Revere ou o 15º sobrinho do Grande vezes removido do último rei da Prússia vale o risco percebido de compartilhar uma amostra de DNA. Mas o que acontece quando a empresa colhendo o DNA vai à falência?
Essa foi a questão colocada a milhões de americanos na semana passada, quando a 23andMe, a empresa que popularizou os testes genéticos do consumidor e teve apoio antecipado do Google, entrou com pedido de falência, levando a uma onda de pedidos para que os americanos excluam seu DNA do banco de dados da empresa.
Embora não esteja 100 % claro se as chamadas “Excluir seu DNA” foram justificadas, os especialistas em privacidade estão alarmados e os americanos que fizeram o teste genético levaram o conselho.
De acordo com dados da empresa de análise de tráfego on -line similarweb, em 24 de março, no dia do anúncio de falência, a 23andMe recebeu 1,5 milhão de visitas ao seu site, um aumento de 526% em relação a um dia anterior. De acordo com o Similarweb, foram feitas 376.000 visitas para ajudar as páginas especificamente relacionadas à exclusão de dados e 30.000 foram feitos na página de atendimento ao cliente para o fechamento da conta. No dia seguinte, esse número aumentou para 1,7 milhão de visitas e RRAFFIC para a página Ajuda de Dados Excluir cerca de 480.000.
Margaret Hu, professora de direito e diretora do Digital Democracy Lab da William & Mary Law School, acha que os americanos fizeram a jogada certa. “Esse desenvolvimento é um desastre para a privacidade de dados”, disse Hu. Na sua opinião, a falência 23andMe deve servir como um aviso sobre o motivo pelo qual o governo federal precisa de fortes leis de proteção de dados.
Em alguns estados, observou Hu, o governo está assumindo um papel ativo no aconselhamento dos consumidores. O escritório do procurador -geral da Califórnia é pedindo californianos Para excluir seus dados e fazer com que 23andme destrua amostras de saliva. Mas Hu diz que isso não é suficiente, e essa orientação deve ser fornecida a todos os cidadãos dos EUA.
As possíveis implicações de segurança nacional dos dados da 23andMe que caem nas mãos erradas não são novas. De fato, o Pentágono já havia alertado o pessoal militar que esses kits de DNA poderiam representar um risco para a segurança nacional.
Expor o DNA coletado dos consumidores também não é um novo problema para 23andMe. Em 2023, quase 7 milhões de pessoas que fizeram o teste genético já foram expostas em uma grande violação de dados 23andme. A empresa assinou um acordo que envolveu um acordo de US $ 30 milhões e uma promessa de três anos de monitoramento de segurança.
Mas Hu diz que a falência torna a empresa e seus dados, especialmente vulneráveis agora.
Pesquisa de drogas e dados de testes genéticos
Uma das coisas notáveis sobre a mentalidade do consumidor nos primeiros anos da popularização dos testes genéticos foi que a maioria dos usuários optou por compartilhar seu DNA para fins de pesquisa, até 80% nos anos em que a 23andme estava crescendo rapidamente. Então, quando o mercado de venda do consumidor dos kits populares de teste de DNA atingiu a saturação mais cedo do que muitos esperavam, a 23andMe se concentrou mais em parcerias de pesquisa e desenvolvimento com empresas farmacêuticas como uma maneira de diversificar sua receita.
Atualmente, quando a 23andMe vende dados genéticos para outras empresas de pesquisa, a maioria é usada em nível agregado, como parte de milhões de pontos de dados sendo analisados como um todo. A empresa também retira a identificação de dados dos dados genéticos, e nenhuma informação de registro (como um nome ou email) está incluída. Os pesquisadores de dados precisam, como a data de nascimento, são armazenados separadamente de dados genéticos e compartilhados com IDs designados aleatoriamente.
A HU está entre os especialistas interessados que essas práticas podem mudar sob 23andme ou qualquer novo comprador. “Em um período de vulnerabilidade financeira, empresas como empresas farmacêuticas podem ter uma oportunidade de explorar os benefícios da pesquisa dos dados genéticos”, disse Hu, acrescentando que eles podem tentar renegociar contratos anteriores para extrair mais dados da empresa. “A próxima empresa que compra 23andme fará isso?”, Disse Hu sobre suas políticas de privacidade.
Nos últimos dias, a 23andMe disse que tentará encontrar um comprador que compartilha seus valores de privacidade.
23andMe não respondeu a um pedido de comentário.
Anne Wojcicki, co-fundadora e CEO da 23andMe empurra o botão, tocando remotamente o sino de abertura da Nasdaq na sede da DNA Tech Company 23andme em Sunnyvale, Califórnia, EUA, 17 de junho de 2021.
Peter Dasilva | Reuters
Ao longo dos anos, desde a 23 e a fundação, em 2006, muitos clientes estavam dispostos a enviar um swab para aprender mais sobre a história da família. Lansing, a moradora de Michigan, Elaine Brockhaus, 70, e sua família ficaram empolgadas em saber mais sobre sua linhagem quando enviaram amostras de seu DNA para 23andme. Mas com a empresa agora oscilando em especialistas em falência e privacidade preocupados com o que acontece com os milhões de pessoas com amostras de DNA armazenadas, Brockhaus diz que tudo “causou um pouco de tumulto na minha família”.
“Nós apreciamos alguns aspectos de 23 e mim”, disse Brockhaus. “Eles continuamente refinaram e atualizaram nossa herança à medida que mais pessoas se juntaram, e foram mais capazes de identificar grupos geneticamente relacionados”, disse Brockhaus. Ela foi capaz de aprender mais sobre fatores de risco à saúde que estavam presentes ou não presentes em seu passado.
Agora, sua família chegou ao círculo completo na experiência 23andme: alguns membros estavam inicialmente relutantes em seguir em frente e agora, diz Brockhaus, todo mundo excluiu suas contas.
Uma empresa única entra em colapso, mas os riscos cibernéticos cotidianos
Mas o Brockhaus continua visualizando 23andMe dentro de um mercado de saúde do consumidor maior, onde os riscos não são novos e as informações de saúde estão sendo compartilhadas em todos os tipos de ambientes onde os problemas de segurança podem surgir. “Qualquer pessoa que envie Cologuard ou recebe resultados médicos através do correio esteja correndo o risco de exposição”, disse Brockhaus. “Nossas próprias identidades podem ser roubadas com algumas teclas de teclas. É claro que isso não significa que devemos levantar as mãos e concordar em ser vítimas, mas, a menos que queremos cavar buracos de volta e viver neles, precisamos ser vigilantes, proativos, mas não em pânico”, acrescentou.
Jon Clay, vice -presidente de inteligência de ameaças da empresa de segurança cibernética Trend Micro, diz que os consumidores da 23andMe precisam ver a falência como uma ameaça. Em qualquer processo de venda, se os dados não forem transferidos e guardados da maneira mais segura possível, “corre o risco de serem usados por atores maliciosos para vários propósitos nefastos”, disse ele.
Clay acha que os dados da 23andMe são incrivelmente valiosos para os cibercriminosos – não apenas porque são permanentes e pessoalmente identificáveis, mas também porque podem ser explorados para roubo de identidade, chantagem ou até fraude médica.
“Os cibercriminosos podem usá -lo para atingir os consumidores com golpes convincentes e táticas de engenharia social, como reivindicar fraudulentamente alguém é um sangue em relação a outra pessoa ou para enviar mensagens enganosas sobre seus riscos potenciais à saúde”, disse Clay. “As organizações que falirem devem garantir que a segurança e a privacidade dos dados de seus clientes sejam críticas, e qualquer compartilhamento ou venda de dados a outros não deve ser feito”, acrescentou.
Mas outros especialistas dizem que a lição de 23andMe é menos sobre o colapso da empresa e a ameaça à privacidade que criou do que servir como um lembrete sobre os riscos cibernéticos diários relacionados a informações pessoais.
“Quando as pessoas começam a falar sobre dados pessoais, esquecem onde seus dados já estão sentados”, diz Rob Lee, chefe de pesquisa e chefe de professores do Sans Institute, especializado em ajudar empresas com segurança da informação e questões cibernéticas. Seja enviando uma amostra de sangue para um laboratório privado ou se livrar de um laptop para atualizar para um novo: “Suas pegadas digitais estão sendo deixadas lá fora para as pessoas encontrarem”, disse Lee. “As pessoas não entendem o escopo, então há uma discussão maior por aí, especificamente para onde os dados vão?”
Com as informações do DNA, existem certos fatores legais básicos que as pessoas devem pesar antes de se matar e enviar a amostra.
De acordo com a Lynn Sessions, uma especialista em privacidade de saúde e ativos digitais e parceira do escritório de advocacia BakerHostetler, a lei federal que cobre a privacidade das informações do paciente, a HIPAA, não se aplica a essa situação, e a 23andMe não seria considerada uma entidade coberta de HIPAA ou associado comercial de uma. Mas existem leis estaduais que se aplicam a informações genéticas que estariam em jogo, como na Califórnia.
Meredith Schnur, diretora administrativa e líder de segurança cibernética da companhia de seguros Marsh, acha que o risco da falência do 23andMe para pessoas que enviaram seus swabs é relativamente baixo. “Isso não causa consternação ou azia adicional”, disse Schnur. “Eu simplesmente não acho que isso abre nenhum risco adicional que já não existe”, disse ela, acrescentando que as informações de muitas pessoas estão “já lá fora”.
Na semana passada, uma co-fundadora da 23andme, Linda Avey, criticou a liderança da empresa. “Sem o desenvolvimento contínuo de produtos com foco no consumidor e, sem governança, a 23andMe perdeu o caminho, e a sociedade perdeu uma oportunidade importante para promover a idéia de saúde personalizada”, escreveu Avey em um post de mídia social. “Existem muitos contos de advertência enterrados na história 23andme”, disse Avey.
A falência em si é a questão que agora é difícil para os consumidores ignorarem e, até que o processo de venda seja concluído, as perguntas permanecerão.
“Quando você está em falência, os valores de privacidade de dados não são o que você realmente está pensando. Você está pensando em vender sua empresa ao maior lance”, disse Hu. Esse maior lance, diz Hu, pode levar os dados genéticos e os dados do perfil do consumidor e vinculá -los ao vendê -los a outras pessoas.
E essa venda inicial que inclui o DNA de milhões de pessoas pode ser apenas a primeira de muitas transações.
“Pode vendê -lo, peça por peça, indiscriminadamente. E o comprador desses dados pode ser um adversário estrangeiro”, disse Hu. “É por isso que isso não é apenas um desastre de privacidade de dados. Também é um desastre de segurança nacional”.
