A empresa de testes de DNA 23andMe não possuía proteção de dados suficiente e ignorou sinais de alerta antes de uma enorme violação de dados há quase dois anos, de acordo com um estudo do Comissário de Privacidade do Canadá.
O comissário Philippe Dufresne disse que os repórteres não estavam presentes em 2023, quando os hackers obtiveram acesso a cerca de 6,9 milhões de perfis no local – quase metade da base de clientes.
“A infração serve como uma história de aviso para todas as organizações sobre a importância da proteção de dados”, disse Dufresne durante uma conferência de imprensa na terça -feira.
“Com violações de dados que crescem em gravidade e complexidade – e ataques de ransomware e malware que aumentam acentuadamente – toda organização que não toma medidas para dar prioridade à proteção de dados e combater essas ameaças é cada vez mais vulnerável”.
Os perfis de clientes contêm dados delicados, incluindo ano de nascimento, localização geográfica, informações sobre saúde e a porcentagem de usuários de DNA compartilham com seus familiares. Dufresne disse que parte das informações roubadas foi vendida posteriormente online.
A investigação foi iniciada no ano passado em combinação com o comissário da Informação Britânica John Edwards.
“A 23AndMe não tomou medidas básicas para proteger as informações das pessoas, seus sistemas de segurança eram insuficientes, os sinais de alerta estavam lá e a empresa respondeu lentamente”, disse Edwards.
Assim como outras empresas de testes genéticos, a 23andMe usa amostras de saliva para gerar relatórios sobre a origem de um cliente e a predisposição potencial para certos problemas de saúde.
Visualização | O Comissário de Informação Britânica John Edwards atinge 23andme com Fine:
O Comissário de Informação do Reino Unido, John Edwards, dá à 23andMe uma multa de 2,31 milhões de libras por violação de dados
Em uma conferência de imprensa conjunta na manhã de terça -feira em Ottawa, o comissário de informações britânicas John Edwards anunciou uma multa de 2,31 milhões de libras contra a empresa de testes genéticos 23andme. Esta decisão segue uma investigação de parceria com o Comissário de Privacidade do Canadá Philippe Dufresne. Edwards afirmou que a empresa não implementou medidas fundamentais de segurança necessárias para proteger as informações pessoais em todo o mundo.
Quase 320.000 canadenses e 150.000 pessoas no Reino Unido foram atingidos pela violação de 2023, disseram os comissários.
Edwards disse que o Reino Unido formou a empresa com base na empresa com uma multa de US $ 4,2 milhões em comparação com a violação de dados, mas Dufnsens disse que não tem o poder de tocar a empresa com multas monetárias.
“(A autoridade para a multa das empresas) é algo que há amplamente nas autoridades de privacidade em todo o mundo e é algo que é necessário. Infelizmente, a Lei de Privacidade Canadense ainda não me oferece isso”, disse Duferse.
No passado, foram propostas mudanças legais de que o comissário de privacidade daria autoridade para cobrar multas, mas nunca foi estabelecido. Dufrense disse que espera que o novo Parlamento em breve proponha mudanças.
Visualização | O Comissário de Privacidade do Canadá diz que seu escritório deve ser capaz de impor multas: 
O Comissário de Privacidade do Canadá diz que seu escritório deve ser capaz de impor multas
O comissário de privacidade do Canadá, Philippe Dufresne, pede melhores ferramentas e diz que a lei canadense o impede de emitir multas, como seu colega britânico fez após um estudo da empresa de testes de genética 23andMe após uma violação mundial de dados.
A 23andMe apresentou falência no início deste ano e anunciou que venderia seus ativos – o que significa que os dados dos clientes podem ser “acessíveis, vendidos ou transferidos”. No entanto, a empresa disse que o processo de falência não influencia como armazena, gerencia ou protege os dados do cliente.
Dufresne e Edwards disseram que esperam que a empresa proteja adequadamente os dados do usuário durante cada venda.
“Seguiremos isso com cuidado … as obrigações (de privacidade) devem continuar a aplicar a todos os novos proprietários”, disse Dufresne.
