A Procuradoria-Geral da Califórnia abriu uma ação judicial contra a 23andMe, alegando que a empresa de genética falhou em implementar controles básicos de segurança e enganou seus consumidores sobre a extensão do megavazamento ocorrido em 2023. Segundo a denúncia, a companhia não apenas expôs informações sensíveis, incluindo históricos familiares e condições de saúde, mas também tentou transferir a responsabilidade para os usuários enquanto negociava, em paralelo, um resgate com os invasores.

O caso, que agora impacta a Chrome Holding Co. — entidade que sucedeu a estrutura comercial original sob a liderança de Anne Wojcicki —, coloca em xeque a governança de dados em um setor que lida com o ativo mais privado de um indivíduo: seu código genético. A promotoria descreve a postura da empresa como perturbadora, destacando que a falha de conformidade ocorreu em um momento de aumento de tensões sociais e antissemitismo, tornando o vazamento de dados étnicos um risco ainda mais grave.

A anatomia de uma falha sistêmica

A crise da 23andMe ilustra um problema comum em empresas de tecnologia que crescem rápido demais: a priorização de funcionalidades sociais em detrimento da segurança estrutural. O vazamento não ocorreu por uma invasão direta aos servidores centrais de genômica, mas pela exploração da funcionalidade "DNA Relatives", que permite o cruzamento de dados entre usuários. Ao comprometer cerca de 14 mil contas por meio de ataques de preenchimento de credenciais, o atacante ganhou acesso a uma rede que, por efeito cascata, expôs quase 7 milhões de perfis.

O fato de a empresa ter levado cinco meses para identificar a intrusão reforça a crítica dos reguladores sobre a ausência de mecanismos de detecção precoce. A insistência da 23andMe em não tornar a autenticação de dois fatores (2FA) obrigatória por padrão, mesmo após o incidente, evidencia uma resistência cultural em aplicar fricções de segurança que poderiam impactar a experiência do usuário, uma escolha que se provou custosa tanto em termos financeiros quanto reputacionais.

O dilema do resgate e a transparência

Um dos pontos mais críticos da acusação é a estratégia de comunicação adotada pela empresa após o incidente. Enquanto assegurava ao público que não houve um incidente de segurança sistêmico e minimizava o valor dos dados roubados, a 23andMe negociava com o atacante para que este removesse informações prejudiciais da internet e fornecesse detalhes sobre as vulnerabilidades exploradas. Essa prática de pagar resgate para encobrir rastros, em vez de priorizar a transparência, cria um precedente perigoso para o mercado.

Ao tentar controlar a narrativa, a empresa acabou por agravar sua situação jurídica. A tentativa de culpar os clientes pela reutilização de senhas, em vez de assumir a responsabilidade pela falta de camadas de proteção robustas, minou a confiança dos consumidores. Para o ecossistema de biotecnologia, o caso serve como um alerta sobre a responsabilidade fiduciária que empresas de dados genéticos possuem, que vai muito além da conformidade técnica básica.

Implicações para o setor de biotecnologia

O desdobramento deste caso afeta não apenas a 23andMe, mas todo o mercado de testes genéticos diretos ao consumidor. Reguladores globais, como a autoridade britânica de proteção de dados, já impuseram multas significativas, sinalizando que a era da autorregulação leniente no setor de saúde digital chegou ao fim. A transição da 23andMe para uma estrutura sem fins lucrativos, sob o TTAM Research Institute, levanta questões sobre como passivos legais herdados serão geridos e se a nova governança conseguirá restaurar a integridade da marca.

Para os usuários, a lição é sobre o custo permanente da exposição de dados biológicos. Diferente de uma senha ou número de cartão de crédito, o DNA não pode ser alterado após um vazamento. A pressão judicial agora impõe uma nova realidade: o custo da segurança deve ser contabilizado no balanço operacional desde o primeiro dia, sob pena de inviabilizar o modelo de negócio de qualquer startup que lide com informações sensíveis.

O futuro da responsabilidade corporativa

O que permanece incerto é o impacto a longo prazo desta batalha judicial sobre as operações da 23andMe sob a nova gestão. A separação entre a antiga entidade comercial e o instituto de pesquisa levanta dúvidas sobre a eficácia da proteção ao consumidor em um cenário de reestruturação societária. Acompanhar a evolução deste processo será fundamental para entender como o sistema jurídico americano tratará empresas que falham em proteger dados imutáveis.

A questão central que persiste é se o modelo de negócio baseado na monetização de insights genéticos pode coexistir com os padrões de segurança que a sociedade exige hoje. A transição para uma gestão focada em pesquisa acadêmica pode ser apenas o primeiro passo de uma longa jornada de reparação e reconstrução de confiança que, até o momento, parece ser um desafio monumental para os envolvidos.

Com reportagem de Brazil Valley

Source · The Register