Luego de que un grupo indeterminado de ciberpiratas accediera a algunos perfiles registrados en el servicio de la empresa de secuenciación de ADN 23andMe, y compartieran sus datos en la función DNA Relatives en la web oscura, la empresa genética fue objeto de una demanda colectiva, presentada por Edelsberg Law, P.A. y Shamis & Gentile, P.A. ante la Corte Distrital del Distrito Norte de California.
La acción denuncia negligencia, incumplimiento de contrato implícito, invasión de la privacidad y enriquecimiento ilícito, por lo que se exige un juicio con jurado, a la vez que los demandantes piden un pago por daños compensatorios, supervisión crediticia de por vida, restitución de datos y que se paguen los honorarios de sus abogados.
Mientras 23andMe asegura que la filtración de datos masiva que expuso los datos genéticos de millones de personas no ocurrió por pobres políticas de protección de datos por su parte, por lo que no encontraron pruebas de que el incidente de seguridad de datos nació dentro de sus sistemas (los hackers no se infiltraron en los servidores de la empresa, sino que atacaron cuentas de usuarios individuales), el robo de estos datos tomó un cariz peligroso: Los ciberpiratas crearon listas de personas basadas en su etnia, lo que puede enfrentarlos a situaciones de discriminación y acoso.
Mientras más sensible es la data, a más peligros está expuesta
En un trabajo anterior, LexLatin expuso que el procesamiento de datos sensibles está relacionado con una preocupante frecuencia de incidentes de seguridad que comprometen la integridad de dicha información, por lo que es mandatorio que la industria de datos deje de ser considerada bajo ordenamientos locales, de manera que se puedan mitigar los riesgos desde diversas perspectivas legales y jurisdiccionales.
El ataque a 23andMe replantea los riesgos que implica compartir información genética y médica (los usuarios rellenan un formulario con datos propios y de sus familiares, aunque no hayan dado su consentimiento para la recopilación de datos) y el peligro al cual se enfrentan quienes son objeto de la exposición de datos de esta naturaleza. También replantea dudas sobre cómo proteger la privacidad y seguridad digital de los individuos.
Expertos como Brett Callow, analista de la firma de seguridad de datos Emsisoft, explicó que este robo resalta los riesgos asociados con las bases de datos de ADN y es “particularmente preocupante” porque facilita que la información extremadamente sensible se haga pública.
Derechos de autor: El “limbo” en el que está el Corinthians por el uso de su himno
Para Callow, esto plantea preguntas más amplias sobre los riesgos de compartir información genética confidencial en servicios diseñados para facilitar el intercambio, ya que estos adolecen de los mismos riesgos de seguridad que las redes sociales tradicionales.
El caso de esta compañía es particularmente escandaloso si se toma en cuenta que, según Wisconsin Law Journal, los hackers compartieron en la dark web una lista de personas con ascendencia judía asquenazí (y de ascendencia china) cuando un grupo extremista inició la campaña “ Día de matar a un judío” y Hamas convocó un día internacional del terrorismo llamado “Día Global de la Jihad” contra judíos y cristianos.
El abogado Nicholas Zales, dijo a este medio que, si bien las demandas podrían basarse en negligencia e incumplimiento de contrato, estas varían según el estado de la unión y sus normativas, por lo que podrían sumarse reclamos por robo de identidad, fraude, pérdidas financieras y de privacidad, daño a la reputación y angustia emocional, que escalarán si el robo de datos causa la muerte de alguien.
De interés: Propiedad Intelectual en México: Los desafíos que enfrenta la práctica según Alejandro Luna, de la Amppi
23andMe falló en sus protocolos de seguridad
Por ahora, el Santana et al v. 23andMe, Inc. (3:23-cv-05147), no solo señala a 23andMe por no cuidar con más celo los datos albergados en su plataforma sino también por pretender redirigir la culpa de la violación de seguridad a los usuarios, “en violación de sus Términos de Servicio, evitando al mismo tiempo mencionar que sus salvaguardias eran inadecuadas”.
La empresa aseguró en un comunicado que los ciberdelincuentes accedieron a ciertas cuentas en casos en los que los usuarios reciclaron las credenciales de inicio de sesión (utilizando la técnica de relleno de credenciales, en la que los hackers prueban combinaciones de nombres de usuario, correos electrónicos y contraseñas usados en otros sitios web que han sido previamente pirateados), por lo que, en teoría, no es responsable del robo de datos que nació de la “inocencia” de sus usuarios. Entretanto, inició una investigación y pidió a los usuarios a cambiar sus contraseñas y activar la autenticación multifactor.
Sin embargo, la demanda colectiva dice que el daño ya está hecho y, además, la posición de la compañía es ambigua porque no aclararon, en el único comunicado oficial desde que se conoció del robo de datos, si contuvieron la amenaza a la ciberseguridad de su sitio, cómo se produjo la infracción ni si establecieron salvaguardas adicionales, mediante sistemas de revisión y supervisión independientes que eviten futuros ataques, ya que aún conservan los datos de los usuarios y aún son responsables por estos.
Podrías leer: Agencia de Protección de Datos de Brasil evalúa a TikTok y le pide proteger datos de menores
Los abogados de Edelsberg Law y Shamis & Gentile sostienen que la violación de datos fue un resultado directo de la falta de procedimientos y protocolos razonables de ciberseguridad de 23andMe, acusada por ellos de ser imprudente con los datos privados de los usuarios y mantener una red informática en una condición vulnerable a ataques cibernéticos.
De acuerdo con Zales, este caso requerirá de un examen de los términos y condiciones del servicio, para determinar si hay algún elemento que exima a la empresa de cualquier responsabilidad o limitar los daños al monto pagado por el cliente. Lo único que hasta ahora queda claro es que 23andMe falló en proteger adecuadamente los datos así como cifrar y mantener dicha información bajo resguardo utilizando los métodos estándar de la industria, además, también falló en notificar de inmediato a los usuarios cuando notó que los datos estaban comprometidos, reveló el documento introducido a la corte.
Al respecto, un abogado canadiense que lidera la demanda colectiva por esta infracción contra 23andMe, recordó que la violación de datos de los clientes de este servicio es un ejemplo incómodo de violaciones de la privacidad que pueden tener consecuencias de gran alcance para los ciudadanos y deja en claro que “las corporaciones que acumulan grandes cantidades de datos sobre los consumidores deben ejercer una mayor conciencia sobre la ciberseguridad y prácticas de protección de datos”.
Para él, las demandas promoverán la responsabilidad en todos los mercados de consumo, especialmente entre las corporaciones que manejan información médica.
}
Add new comment