Investigação conclui que 23andMe 'falhou em tomar medidas básicas' para proteger informações privadas
A empresa de testes de DNA 23andMe não tinha proteção de dados adequada e ignorou os sinais de alerta antes de uma grande violação de dados há quase dois anos, segundo uma investigação do comissário de privacidade do Canadá.
O comissário Philippe Dufresne disse aos repórteres que as proteções adequadas não estavam em vigor em 2023, quando hackers obtiveram acesso a cerca de 6,9 milhões de perfis no site — quase metade de sua base de clientes.
"A violação serve como um alerta para todas as organizações sobre a importância da proteção de dados", disse Dufresne durante uma entrevista coletiva na terça-feira.
"Com as violações de dados crescendo em gravidade e complexidade — e os ataques de ransomware e malware aumentando drasticamente — qualquer organização que não esteja tomando medidas para priorizar a proteção de dados e lidar com essas ameaças está cada vez mais vulnerável."
Os perfis dos clientes continham dados pessoais delicados, incluindo ano de nascimento, localização geográfica, informações de saúde e a porcentagem de DNA que os usuários compartilham com seus parentes. Dufresne disse que algumas das informações roubadas estavam sendo posteriormente vendidas online.
A investigação foi iniciada no ano passado em conjunto com o comissário de informação do Reino Unido, John Edwards.
"A 23andMe falhou em tomar medidas básicas para proteger as informações das pessoas, seus sistemas de segurança eram inadequados, os sinais de alerta estavam lá e a empresa demorou a responder", disse Edwards.
Assim como outras empresas de testes genéticos, a 23andMe usa amostras de saliva para gerar relatórios sobre a ancestralidade do cliente, bem como possíveis predisposições a certas condições de saúde.
Quase 320.000 canadenses e 150.000 pessoas no Reino Unido foram afetadas pela violação de 2023, disseram os comissários.
Edwards disse que o Reino Unido aplicou uma multa de US$ 4,2 milhões à empresa sediada em São Francisco pela violação de dados, mas Dufrense disse que não tem poder para aplicar penalidades monetárias à empresa.
"[A autoridade para multar empresas] é algo que existe amplamente em autoridades de privacidade no mundo todo e é algo necessário. Infelizmente, a lei de privacidade canadense ainda não me fornece isso", disse Dufrense.
Mudanças legais foram propostas no passado , dando ao comissário de privacidade a autoridade para aplicar multas, mas nunca foram promulgadas. Dufrense disse esperar que o novo Parlamento proponha mudanças novamente em breve.
A 23andMe entrou com pedido de falência no início deste ano e anunciou que venderia seus ativos — o que significa que os dados dos clientes poderiam ser "acessados, vendidos ou transferidos". No entanto, a empresa afirmou que o processo de falência não afetará a forma como armazena, gerencia ou protege os dados dos clientes.
Dufresne e Edwards disseram que esperam que a empresa proteja adequadamente os dados dos usuários durante qualquer venda.
"Acompanharemos isso cuidadosamente... as obrigações [de privacidade] devem continuar a se aplicar a qualquer novo proprietário", disse Dufresne.
cbc.ca
