El cas polèmic de 23andMe ofereix una valuosa lliçó sobre la importància de la privacitat i les normatives de protecció de dades, especialment a la Unió Europea.
Article escrit per
Abigail Sked
Assessora legal mercantil
Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.
Lliçons de 23andMe: Com Protegir la teva empresa de Violacions de Dades Personals
Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)
23andMe, fundada el 2006, ha popularitzat les proves genètiques directes al consumidor. Amb una base d'usuaris a tot el món, inclosos països europeus on les normatives de privacitat són particularment estrictes, la companyia ofereix informació sobre ascendència i salut mitjançant mostres de saliva. Inicialment, va afrontar crítiques per problemes de privacitat, però també va rebre elogis, com el reconeixement de Time Magazine el 2008 pel seu servei de genomes personals. Al llarg dels anys, ha reduït el preu de les seves proves i ha ampliat la seva base d'usuaris, alhora que establia col·laboracions per a recerques genètiques. No obstant això, les preocupacions sobre l'ús de dades i els problemes financers recents han afectat la seva reputació i estabilitat.
El 2023, la empresa va patir una violació massiva de dades, comprometent la informació de caràcter personal de més de 6,9 milions d'usuaris, la qual cosa va generar preocupacions sobre la privacitat de les dades genètiques. Les dades robades incloïen informació com ara noms, vincles entre persones i, en alguns casos, dates de naixement, ubicacions, fotografies, adreces i el percentatge d'ADN compartit amb parents. Arran d'això, va afrontar múltiples demandes i recentment va acordar pagar 30 milions de dòlars en un acord col·lectiu. Durant l'últim any, el consell d'administració de 23andMe ha dimitit, el valor de mercat de la empresa ha patit una important caiguda i els comentaris de la seva fundadora, Anne Wojcicki, sobre la seva disposició a considerar propostes d'adquisició per part de tercers han causat inquietud entre els usuaris sobre el destí de les seves dades de caràcter personal, la qual cosa agreuja la incertesa sobre la viabilitat futura de la empresa.
Eaquests problemes posen en relleu els reptes en la protecció de dades personals sensibles, i en aquest article analitzarem com el Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) poden orientar les empreses espanyoles en la seva actuació davant de problemes com els que ha hagut d'afrontar 23andMe. Aleshores, què podem aprendre d'aquest cas?
1. El RGPD pot aplicar-se a empreses de fora de la UE
El RGPD s'aplica a totes les empreses que realitzin activitats de tractament de dades personals de persones que resideixin a la Unió Europea, independentment de la ubicació de la empresa. Afecta les empreses dins i fora de la UE que ofereixin béns o serveis a la UE o que facin seguiment de persones a la UE i, com a tals, han de complir les obligacions del RGPD i permetre que els interessats exerceixin els seus drets en virtut del RGPD.
QUÈ ÉS EL REGLAMENT GENERAL DE PROTECCIÓ DE DADES (RGPD) I COM M'AFECTA?
2. Les dades genètiques es consideren dades personals especialment sensibles
El RGPD classifica com a categories especials de dades determinats tipus de dades personals, a causa del seu potencial per afectar greument la privacitat i la seguretat de les persones si s'usen de manera inadequada. Aquestes dades requereixen una protecció addicional i només poden ser tractades en circumstàncies estrictes. Els tipus de dades sensibles inclouen:
- Dades d'origen ètnic o racial
- Opinions polítiques
- Creences religioses o filosòfiques
- Pertinença a sindicats
- Dades genètiques
- Dades biomètriques (quan s'utilitzen per identificar de manera única una persona, com ara empremtes dactilars o reconeixement facial)
- Dades de salut (informació sobre l'estat físic o mental d'una persona)
- Dades sobre la vida sexual o l'orientació sexual
El RGPD permet el tractament de dades personals d'aquestes categories només sota certes condicions, com el consentiment explícit de l'individu, o quan és necessari per raons d'interès públic o en l'àmbit de la medicina, l'ocupació o la seguretat pública.
VENDRIES UN ESCÀNER DEL TEU IRIS PER CRIPTOMONEDA?
3. En cas de violació de dades, és possible que la llei us obligui a informar d'aquesta violació les persones que s'hagin vist afectades
Sota el RGPD, la notificació d'una bretxa de seguretat és obligatòria en determinats casos, tant a l'autoritat de control de protecció de dades (a Espanya, l'Agència Espanyola de Protecció de Dades) com als afectats. Les circumstàncies són les següents:
-
Notificació a l'autoritat de control:
- És obligatori comunicar la bretxa a l'autoritat de protecció de dades dins de les 72 hores posteriors a la seva detecció si existeix un risc per als drets i les llibertats de les persones afectades.
- Si la notificació no es realitza dins de les 72 hores, cal incloure-hi una justificació del retard.
- Aquesta notificació ha d'incloure informació sobre la naturalesa de la bretxa, el tipus i la quantitat de dades afectades, i les mesures adoptades per contenir i gestionar la bretxa.
-
Comunicació als interessats (persones afectades):
- És obligatòria quan la bretxa de seguretat suposa un alt risc per als drets i les llibertats dels individus afectats.
- La comunicació s'ha de realitzar sense demora indeguda i de manera comprensible, explicant el tipus de bretxa, les possibles conseqüències, les mesures adoptades o proposades, i les dades de contacte.
- No cal notificar els interessats si la empresa ha pres mesures efectives per protegir les dades (per exemple, mitjançant xifratge), si ja ha mitigat el risc, o si la notificació individual requeriria esforços desproporcionats (en aquest cas s'ha de fer una notificació pública).
4. És increïblement important no utilitzar la mateixa contrasenya per a diversos llocs web
No utilitzar la mateixa contrasenya per a diversos llocs web és important perquè redueix el risc que una sola fallada de seguretat exposi diversos dels teus comptes. A més, emprar mesures de seguretat, com l'autenticació en dos passos, és crucial per protegir les dades personals.
Com crear contrasenyes segures
Per a una contrasenya segura, segueix aquests consells:
- Longitud: Utilitza contrasenyes llargues, d'almenys 12 a 16 caràcters.
- Varietat de caràcters: Combina lletres majúscules i minúscules, números i caràcters especials (com %, &, #).
- Evita paraules comunes i patrons: No utilitzis combinacions previsibles com "12345", "contrasenya" o informació personal com dates de naixement o noms.
- Utilitza un generador de contrasenyes: Els gestors de contrasenyes poden generar contrasenyes aleatòries i segures, a més d'emmagatzemar-les de manera segura.
- Frases úniques: Si prefereixes crear-la tu mateix, pots utilitzar una combinació de paraules a l'atzar que sigui fàcil de recordar per a tu, però difícil d'endevinar, com "GosÀnecSol56!".
A Conesa Legal utilitzem un programari específic per gestionar les contrasenyes individuals i compartides per equips. Contacta amb nosaltres perquè et recomanem el nostre proveïdor en Ciberseguretat:
5. Adquirir una empresa no significa que es pugui fer el que es vulgui amb les dades personals que aquesta empresa ha recopilat
Imagina que la teva empresa es troba en dificultats i has de plantejar-te vendre-la. Què podrà fer la nova empresa amb les dades personals que la teva empresa ha recopilat?
Considerem l'article 21 de la Llei Orgànica 3/2018, que regula el tractament de dades en operacions mercantils.
Article 21. Tractaments relacionats amb la realització de determinades operacions mercantils.
- Llevat de prova en contrari, es presumiran lícits els tractaments de dades, inclosa la seva comunicació amb caràcter previ, que poguessin derivar-se del desenvolupament de qualsevol operació de modificació estructural de societats o l'aportació o transmissió de negoci o de branca d'activitat empresarial, sempre que els tractaments fossin necessaris per al bon fi de l'operació i garanteixin, quan escaigui, la continuïtat en la prestació dels serveis.
- En el cas que l'operació no arribés a concloure's, l'entitat cessionària haurà de procedir immediatament a la supressió de les dades, sense que sigui d'aplicació l'obligació de bloqueig prevista en aquesta llei orgànica.
La nova entitat podria utilitzar les dades personals dels teus clients, però hauria de complir amb la normativa vigent sobre protecció de dades. La continuïtat del tractament d'aquestes dades només seria possible si es garantís la protecció dels drets dels titulars, i si el nou tractament fos compatible amb les finalitats originals per a les quals es van recopilar les dades i també necessari per a aquestes finalitats.
La base jurídica més comuna en aquests casos és l'interès legítim (article 6.1.f del RGPD). La empresa adquirent té un interès legítim a continuar el tractament de les dades dels clients per donar continuïtat al negoci. La empresa ha d'assegurar-se que aquest interès no prevalgui sobre els drets i les llibertats dels titulars de les dades mitjançant una anàlisi d'equilibri (balancing test).
Els clients haurien de ser notificats del canvi en el responsable del tractament i dels detalls de la nova empresa. Això inclouria actualitzar la política de privacitat i proporcionar informació sobre els drets que poden exercir, com el dret d'accés, rectificació, supressió i oposició. La empresa adquirent ha d'estar preparada per respondre a les sol·licituds dels clients per eliminar les seves dades si ja no volen que la nova empresa les conservi.
Resum
El cas de 23andMe posa de manifest la importància de complir amb la normativa de protecció de dades, especialment el RGPD i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) a Espanya, en la gestió d'informació personal sensible. La violació de dades patida per la empresa subratlla els riscos de seguretat en el tractament de dades personals i la responsabilitat de les empreses a l'hora de protegir les dades personals, fins i tot en situacions d'adquisició o reestructuració. Les empreses han de mantenir una transparència continuada sobre l'ús de les dades, implementar mesures de seguretat robustes i notificar les bretxes quan escaigui. Aprendre d'aquest cas pot ajudar les empreses a evitar sancions i a enfortir la confiança dels seus clients en la protecció dels seus drets de privacitat.
T'assessorem en protecció de dades
A CONESA LEGAL, som aquí per ajudar-te a protegir la teva empresa i garantir el compliment de la normativa de protecció de dades. Si vols un assessorament personalitzat per implementar el RGPD i la Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD) a la teva organització i evitar riscos legals, no dubtis a posar-te en contacte amb nosaltres. La teva tranquil·litat i la seguretat de les teves dades són la nostra prioritat.

