El fiscal de California demanda a los nuevos dueños de 23andMe por la filtración de datos de ADN de 2023
El fiscal general de California demandó a Chrome Holding Co., empresa que adquirió los activos de 23andMe tras su quiebra, por la filtración masiva de 2023 que expuso datos genéticos y de salud de millones de usuarios. La demanda alega que la empresa minimizó el incidente mientras pagaba un rescate al atacante.
Contexto
El fiscal general de California presentó una demanda contra Chrome Holding Co. — la empresa que adquirió los activos de 23andMe después de que la compañía de pruebas genéticas se declarara en quiebra — por la filtración masiva de datos ocurrida en 2023. Esa filtración expuso información genética y de salud de millones de usuarios. Según la demanda, la empresa minimizó públicamente el alcance del incidente mientras, en privado, pagaba un rescate al atacante para evitar que los datos se publicaran. La quiebra no extinguió las responsabilidades legales: el comprador hereda el pasivo.
Por qué importa
- Los datos genéticos y de salud son permanentes: a diferencia de una contraseña, no se pueden cambiar. Una filtración de esa información tiene consecuencias de por vida.
- Este caso muestra que las empresas de tecnología que recopilan datos sensibles de salud pueden enfrentar consecuencias legales años después de un incidente.
- El patrón de minimizar una filtración mientras se paga rescate es relevante para cualquier organización que maneje datos personales sensibles.
Impacto potencial
Para personas
- Si tenías cuenta en 23andMe, tu información genética y de salud puede haber sido expuesta en 2023 y podría estar circulando.
- Los datos genéticos pueden usarse para discriminación en seguros o empleo, y para fraudes de suplantación con una base biológica.
- Señal de alerta: comunicaciones que referencian tu historial de salud de formas inesperadas o solicitudes de información médica no solicitadas.
Para organizaciones
- Las empresas que recopilan datos de salud, genéticos o biométricos están sujetas a obligaciones legales que persisten aunque vendan o transfieran el negocio.
- Minimizar o retrasar la comunicación de un incidente, aunque técnicamente legal en el momento, puede resultar en demandas años después.
- El adquirente de una empresa que sufrió una brecha hereda el pasivo — un factor crítico en cualquier proceso de compra o fusión.
Recomendaciones
Para personas
- Si tenías cuenta en 23andMe, revisa los comunicados que recibiste sobre la filtración de 2023 y monitorea actividad inusual relacionada con tu información de salud.
- Considera descargar y eliminar tus datos de cualquier plataforma de genética o salud digital que ya no uses activamente.
Para organizaciones
Gestión
- Revisar las políticas de comunicación de incidentes: la demanda ilustra que minimizar un incidente públicamente mientras se negocia con atacantes en privado tiene consecuencias legales severas.
- Si la organización maneja datos de salud, genéticos o biométricos, asegurarse de que existen protocolos de notificación y respuesta ante filtraciones.
- En procesos de adquisición o fusión, auditar el historial de incidentes de seguridad de la empresa objetivo antes de cerrar la operación.
Técnicas
- Si no tienes equipo de TI: consulta con asesoría legal qué datos sensibles recopila tu organización y cuáles son las obligaciones de notificación en caso de filtración.
Pregunta diagnóstica
¿Sabe qué datos personales sensibles conserva, dónde están y quién puede acceder a ellos hoy?
Leer fuente original →