A lei federal pode impedir a exclusão de dados do 23andMe, mas você ainda deve tentar

Desde que a 23andMe lançou testes genéticos diretos ao consumidor em 2007, evoluiu para mais do que apenas uma novidade relativa. É bom para rastrear parentes desconhecidos (para o bem ou para o mal) e representa uma das muitas maneiras pelas quais a tecnologia moderna promove a conscientização sobre a saúde. Seu trabalho também é coberto por diversas regulamentações e utiliza arquivamento digital para segurança, privacidade e facilidade de acesso.

Mas tudo que tem um começo tem um fim, e os dias da 23andMe podem estar contados. O que acontece com seus dados genéticos quando a empresa que os detém faliu? Você pode não ter tanto controle sobre isso quanto gostaria.

A queda da 23andMe em desgraça

Quando o capital de risco acaba e o conselho acaba

DNA: A biometria definitiva.

Dezesseis anos de operações sem lucro foram exacerbados no ano passado, quando cerca de 14 mil contas 23andMe foram violadas. O hacker supostamente se aproveitou do fato de milhares de usuários não praticarem uma boa higiene de senhas e acessou seus dados genéticos brutos, além de parentes e semelhanças genéticas de quase sete milhões de usuários.

Com a queda do preço das ações e o futuro da empresa em questão, todo o conselho renunciou em setembro de 2024. A CEO e fundadora Annee Wojcicki foi deixada para ressuscitar o empreendimento que já custou US$ 6 bilhões. Ela negou repetidamente a possibilidade de aquisição por terceiros e acredita que pode reviver a 23andMe. Resta saber se isso é verdade.

Por que as pessoas estão excluindo seus dados 23andMe

É mais do que apenas um hack

Lembra quando o MyHeritage animou pela primeira vez os ancestrais mortos das pessoas?

A violação do ano passado durou 5 meses, com 23andMe inconsciente de sua ocorrência até outubro de 2023. Isso é o suficiente para questionar a segurança da empresa por si só, mas não é tudo.

A empresa foi contratada com a gigante farmacêutica Glaxo Smith-Kline desde 2018, com acordos de licenciamento contínuos que fornecem acesso ao banco de dados da 23andMe para fins de pesquisa de tratamento (ou seja, medicamentos). Essa colaboração causou espanto (e ainda causa), mas cerca de 80% dos usuários optam ativamente pela missão de pesquisa da 23andMe ao enviar uma amostra. A maioria das pessoas não parece muito preocupada.

O mais pertinente são os problemas financeiros da empresa. Se de alguma forma ressurgir, uma maior monetização de dados poderá desempenhar um papel. Se o 23andMe desistir e for absorvido, não há como saber onde seus dados poderão parar. Problemas de segurança e extrema incerteza tornam agora um ótimo momento para excluir suas informações de identificação do 23andMe.

O obstáculo para a recuperação de dados genéticos

Os laboratórios não têm permissão para excluir resultados de testes imediatamente

As empresas que realizam os testes reais nas amostras 23andMe estão sujeitas a diretrizes federais chamadas Emendas de Melhoria de Laboratórios Clínicos de 1988. As regras dizem que os laboratórios credenciados devem reter os resultados dos testes genéticos por um período mínimo de dois anos. Entramos em contato com um representante da 23andMe, que explicou os requisitos:

As Emendas federais para Melhoria de Laboratórios Clínicos (CLIA) de 1988, a Acreditação CAP e os regulamentos laboratoriais da Califórnia exigem que nosso laboratório armazene os resultados de seus testes de genotipagem desidentificados e mantenha uma quantidade mínima de resultados de testes ou informações de análise.

CLIA e CAP foram estabelecidos para garantir que os laboratórios atendam às práticas de controle de qualidade e segurança e exijam auditoria, inspeção e supervisão de validação por agências federais e estaduais. Como tal, de acordo com os regulamentos do laboratório, o laboratório não pode eliminar todas as informações.

O relativamente conhecido LabCorp realiza testes da 23andMe desde 2008 e segue rigorosamente os regulamentos da CLIA. No entanto, não está claro exatamente como essas diretrizes se aplicam aos bancos de dados 23andMe e LabCorp. Sabemos que o período de retenção mínimo absoluto é de dois anos, algumas regiões exigem três anos (como a Califórnia) e os representantes da 23andMe citaram 10 anos em 2019.

Entramos em contato com a LabCorp e a 23andMe para esclarecimentos sobre o período de retenção e quando o relógio começa a contar.

Por que você não deve se preocupar com a retenção de dados

É um pouco menos invasivo do que você imagina

Recomendamos que você tire seus dados pessoais das mãos da 23andMe, mas não há motivo sério para se preocupar com a retenção de dados necessária por enquanto. Esses pontos importantes devem tranquilizá-lo.

Os dados genéticos retidos são anonimizados após a exclusão do 23andMe

Solicitar a exclusão encerra sua conta permanentemente e evita que seus dados sejam usados ​​em pesquisas futuras (as pesquisas existentes permanecem inalteradas). A empresa deixa claro que, uma vez solicitada, a exclusão não poderá ser cancelada ou revertida. Nesse ponto, ele remove todas as informações diretamente identificáveis ​​do seu banco de dados. 23andMe confirmou isso:

Nosso laboratório reterá suas informações genéticas desidentificadas e um identificador aleatório em seus servidores seguros por um período limitado de tempo. O arquivo não é interpretado e é retirado das informações de registro.

Além disso, a Informação Genética não é acessada, usada ou divulgada para qualquer finalidade que não seja a necessária para cumprir os requisitos de qualidade do laboratório. As informações serão cuidadosamente excluídas uma vez cumpridas as obrigações de retenção.

Embora seus dados permaneçam no servidor e (por exemplo) as autoridades policiais possam, teoricamente, cruzá-los com os resultados de parentes, eles são anônimos na superfície.

O método de teste do 23andMe não é muito aprofundado

Existem maneiras menos invasivas de aproveitar a tecnologia para melhorar a saúde.

Diferentes tipos de testes genéticos servem a propósitos diferentes. O 23andMe não realiza sequenciamento completo de DNA, o que essencialmente define todo o seu roteiro genético. Em vez disso, o serviço usa o que é chamado de “genotipagem de polimorfismo de nucleotídeo único”. Isso parece complexo, mas é um exame relativamente simples de pontos singulares na molécula de DNA e uma comparação com o que sabemos sobre como esses marcadores afetam o corpo.

Na verdade, não há um grande tesouro de informações lá. Em uma situação quase impossível, onde seus dados são de alguma forma rastreados até você, eles não valerão muito – mesmo nas mãos de um mau ator teórico. Além disso, se você solicitou que a 23andMe retenha sua amostra original, ela será destruída assim que você cancelar sua conta.

LabCorp é enorme, com boa segurança da informação

Parte dos regulamentos CLIA descrevem o processamento e armazenamento seguro de dados. A genealogia é uma pequena parte dos negócios da LabCorp, em comparação com os resultados significativamente mais detalhados e impactantes do restante de seus testes. É extremamente improvável que o LabCorp seja hackeado e, se fosse, os ex-usuários do 23andMe não teriam muito com que se preocupar.

O 23andMe não possui recursos para esse nível de proteção, mas não é completamente inseguro. Afirma também que os dados retidos nos seus próprios servidores são distintos dos dados genéticos mais aprofundados aos quais dá acesso aos utilizadores. Além disso, os seus dados permanecerão protegidos pelo equivalente à política de privacidade da 23andMe se os seus activos forem adquiridos.

Qualquer dano provavelmente já está feito

Se você está preocupado com a privacidade hoje, você pode se arrepender de ter enviado seus genes. Não se sinta mal – é um serviço interessante e tem ajudado indivíduos a mapear sua saúde genética, além das diversas pesquisas que ele alimenta.

No momento em que sua conta 23andMe for excluída e seus dados anonimizados, você estará fora do sistema, impossível de ser rastreado por parentes distantes e inelegível para esforços de pesquisa futuros. Quaisquer logins hackeados não levarão a lugar nenhum, e o único registro restante do 23andMe sobre você será um recibo provando que sua exclusão foi solicitada e concluída.

Como excluir seus dados 23andMe

Ou como iniciar o processo, pelo menos

Independentemente dos pontos acima, o futuro sombrio da empresa faz com que agora seja o momento certo para a maioria das pessoas abandonarem o navio. Felizmente, não é difícil, embora também não seja instantâneo.

Primeiro, baixe seus dados se quiser usá-los para outra coisa. Vá para o Configurações menu e role para baixo até Dados 23andMe na parte inferior. Em um navegador, selecione Visualizar; no aplicativo, toque em Acesse seus dados. Selecione cada tipo de dados que deseja salvar. Após uma espera de até 30 dias, você receberá um e-mail com um link para download por tempo limitado.

Para excluir sua conta e informações de identificação, volte para Configuraçõesrole para baixo até Dados 23andMee selecione Visualizar ou Acesse seus dados. Desta vez, toque ou clique Excluir dados permanentemente. Você receberá um e-mail solicitando a confirmação de sua escolha. Depois de confirmar, você não pode desistir.

Aí está – e você ainda possui seus dados genéticos

Só porque uma pequena seção dos dados do seu fenótipo SNP pode estar armazenada em um servidor em algum lugar, não significa que não seja seu. A empresa que o detém pode ser obrigada a acessá-lo por motivos legais, mas não terá suas informações de identificação carimbadas. Essa empresa também não tem direitos legais sobre ela, apenas mantendo-a como registro.

Em última análise, pode não haver problemas legitimamente perigosos com a permanência de seus dados nos servidores de um laboratório, ou mesmo nos servidores da 23andMe. Mas a incerteza da situação é suficientemente má para que a eliminação não faça mal. No mínimo, isso lhe dará tranquilidade em um mundo onde a privacidade está constantemente sob ataque.