1 pontos por GN⁺ 2025-03-23 | 1 comentários | Compartilhar no WhatsApp
  • Com o aumento da incerteza financeira da 23andMe, o procurador-geral da Califórnia, Rob Bonta, orientou os clientes sobre seu direito de excluir dados genéticos
  • A empresa relatou publicamente dificuldades financeiras e, em documentos regulatórios, afirmou haver dúvidas substanciais sobre sua capacidade de continuar operando como empresa em funcionamento
  • O ponto central do alerta são os dados sensíveis dos consumidores mantidos pela 23andMe, e os residentes da Califórnia podem solicitar a exclusão com base na GIPA e na CCPA
  • Nas configurações da conta, é possível excluir informações pessoais e dados genéticos, além de solicitar o descarte de amostras de saliva e amostras de DNA que tenham sido mantidas
  • Clientes que haviam consentido com uso em pesquisa podem, em Research and Product Consents, retirar o consentimento para uso de dados e amostras pela 23andMe e por pesquisadores terceiros

Direitos informados aos clientes da 23andMe

  • O procurador-geral da Califórnia, Rob Bonta, emitiu um alerta ao consumidor para lembrar os clientes da 23andMe sobre o direito de excluir dados genéticos
  • A 23andMe é uma empresa de testes e informações genéticas com base na Califórnia e relatou publicamente dificuldades financeiras
  • Em documentos regulatórios, a empresa afirmou haver dúvidas substanciais sobre sua capacidade de continuar operando como empresa em funcionamento
  • Devido aos dados sensíveis dos consumidores mantidos pela 23andMe, os residentes da Califórnia podem exercer direitos legais
  • Os direitos legais aplicáveis são os seguintes
    • GIPA: consumidores da Califórnia podem excluir a conta e os dados genéticos, além de exigir o descarte de amostras biológicas
    • GIPA: após a conclusão do teste inicial, é possível retirar o consentimento dado para coleta, uso e divulgação de dados genéticos e para retenção de amostras biológicas
    • CCPA: concede aos consumidores da Califórnia o direito de excluir informações pessoais, incluindo dados genéticos, em relação a empresas que coletam informações pessoais dos consumidores
  • Mais informações sobre a CCPA podem ser consultadas aqui

Ações que podem ser feitas na conta

  • Para excluir a conta e informações pessoais na 23andMe, faça login no site e prossiga nas configurações da conta
    • Faça login na conta da 23andMe
    • Vá até a seção “Settings” do perfil
    • Role até a seção “23andMe Data” no fim da página
    • Clique em “View” ao lado de “23andMe Data”
    • Se precisar de uma cópia dos dados genéticos para arquivo pessoal, faça o download no dispositivo antes da exclusão
    • Role até a seção “Delete Data”
    • Clique em “Permanently Delete Data”
    • Confirme a solicitação de exclusão seguindo o link no e-mail enviado pela 23andMe
  • Se no passado você optou por armazenar amostras de saliva e DNA na 23andMe, é possível alterar a preferência de retenção de amostras em Preferences na página de configurações da conta
  • Clientes que consentiram com o uso de dados genéticos e amostras pela 23andMe e por pesquisadores terceiros em pesquisas podem retirar esse consentimento em Research and Product Consents nas configurações da conta

1 comentários

 
GN⁺ 2025-03-23
Opiniões no Hacker News
  • Trabalho na área de genômica populacional e também participei diretamente, no início, de estudos de genotipagem quase em escala de genoma inteiro, na época em que microarrays eram a tecnologia dominante.
    Mas, por quase 20 anos, venho dizendo a parentes para não participarem de genotipagem em larga escala da 23andMe ou de empresas comerciais semelhantes. Isso porque eu achava bastante provável que algo assim acontecesse se a estrutura fosse tal que a empresa retivesse os direitos sobre os dados.
    Alguns anos atrás, a genotipagem da 23andMe virou moda como presente de Natal, e pessoalmente eu não conseguia entender por que tanta gente queria entregar tantos dados a uma entidade comercial.
    Informações de sequenciamento em larga escala podem ser adequadas para algumas pessoas, mas, se você realmente precisar delas, deve garantir ao máximo a propriedade dos seus próprios dados.

    • Esse “não conseguia entender” pode ser visto, no fim, como um simples cálculo de custo/benefício.
      Para mais de 90% das pessoas, o benefício ou o interesse de ver um relatório de ancestralidade parece maior do que o custo ou o risco de entregar o DNA.
      Dito isso, é legítimo perguntar por que mais pessoas não levam a privacidade pessoal a sério. Na prática, empresas como Google ou 23andMe dificilmente existiriam se todo mundo fosse tão sensível à privacidade quanto o público leitor do HN. Para o bem ou para o mal, o Google existe porque consumidores aceitam compartilhar dados.
    • Ao me cadastrar, tomei uma decisão bem informada.
      Isso é genotipagem por SNP, então, na prática, além de informar ancestralidade e algumas condições de saúde, ela não prevê bem a maioria das condições de saúde. A genotipagem captura apenas uma pequena fração de toda a informação genética e nem sequer é sequenciamento de genoma inteiro, então ainda é cara demais pelo que se paga. Por isso, achei que os dados reais eram bastante limitados e que o risco, realisticamente, era pequeno.
      Privacidade é uma questão de riscos e recompensas. Em vez de aplicar o princípio da precaução a tudo, fazemos várias concessões na vida.
    • Graças à 23andMe, encontrei minha meia-irmã e meu pai biológico.
      Casos assim ajudam a entender. Algumas pessoas estão dispostas a pagar um preço bem alto para saber quem são.
    • As pontuações de risco genético e as estimativas de mistura populacional da 23andMe são realmente péssimas.
      É difícil entender por que são tão ruins, mesmo tendo contratado pesquisadores bastante bons. Construir esse tipo de modelo é algo relativamente simples, e modelos gratuitos e públicos superam de longe os resultados oferecidos pelo site.
      De forma parecida com a uBiome, a empresa prejudicou a reputação dos testes voltados ao consumidor ao vender muitos produtos exagerados. É uma pena, porque um serviço como a 23andMe, com um pouco mais de testes epigenéticos que captassem fatores ambientais, poderia ter sido uma ótima forma de obter um panorama geral da saúde.
    • No caso da 23andMe, o usuário é dono dos próprios dados. Se baixar os dados e solicitar a exclusão, a partir daí o usuário passa a ser o único proprietário.
      Ainda assim, se você tiver interesse em genealogia, parentesco e alguns SNPs mais acionáveis, como os relacionados a ADME de medicamentos, a interface da 23andMe é informativa e também útil do ponto de vista médico. Eu de fato encontrei duas variantes clinicamente úteis e também obtive resultados interessantes, como a velocidade de metabolização da cafeína.
      Também acho a interface melhor que a do AllofUs.
  • O problema central que não foi explicitado é que a falência pode apagar as obrigações da empresa com os clientes. Isso inclui obrigações de privacidade[1].
    O problema é ainda maior se os ativos forem vendidos para uma empresa fora da Califórnia ou fora dos Estados Unidos.
    [1] https://harvardlawreview.org/print/vol-138/data-privacy-in-b...

    • Exato.
      As obrigações associadas a dados pessoais deveriam poder acompanhar os dados. É parecido com imóveis: se você combina obrigações como direitos de vizinhança e de acesso, pode fazer com que elas também vinculem futuros proprietários. Caso contrário, você poderia perder o direito de acesso toda vez que eles vendessem o terreno. Esses mecanismos costumam ser estabelecidos quando a terra é subdividida.
    • Falência aconteceu 24 horas depois.
  • Só o fato de a 23andMe estar em uma situação arriscada quanto à capacidade de continuar como empresa em operação já dá a resposta necessária sobre a possibilidade de monetizar dados genéticos em massa.
    No fim, isso significa que é difícil extrair grande valor daqui. Se fosse possível, eles já teriam feito.
    Também não acho que esses dados de DNA sejam tão valiosos para grandes seguradoras de saúde como Humana ou Aetna.
    Os prontuários médicos que se imagina que uma seguradora poderia vincular aos dados genéticos talvez valham ainda menos do que essas sequências de DNA.
    É a opinião de um ex-economista da saúde que já trabalhou com dezenas de milhões de registros de alta hospitalar e, separadamente, com questionários detalhados complementados por dados genéticos.

    • Considerando a lei atual dos EUA, a melhor forma de uma seguradora usar esses dados talvez seja envolver familiares em cuidados preventivos especializados com base nos perfis de DNA do banco de dados.
      Por esse caminho, daria para obter uma receita bastante razoável e possivelmente também conquistar bastante boa vontade.
    • Há muito tempo suspeito que dados de sequenciamento tenham pouco valor fora das agências de aplicação da lei.
      Se fosse tão fácil ligar sequências a doenças, já teríamos visto avanços rápidos na capacidade de lidar com essas doenças. Dados genéticos, por si só, não são um preditor suficiente.
  • Sempre que começo a me sentir orgulhoso por ter sido bastante cuidadoso com data brokers, lembro que meus parentes talvez já tenham entregado DNA suficiente a lugares como a 23andMe para tornar meus esforços sem sentido.

    • Provavelmente esses parentes também estão compartilhando suas fotos, vídeos e detalhes pessoais nas redes sociais.
    • Reconheço que privacidade é importante, mas, por exemplo, se alguém tiver meu DNA, que vetores de ataque concretos isso cria? O que pode acontecer de fato?
    • O Facebook já criou alguma forma de excluir os perfis-sombra que monta sobre não usuários?
      Provavelmente mandaria você criar uma conta.
  • Ainda não está claro como isso causa danos na prática. Por isso, quero testar assumindo o risco diretamente
    Meu genoma analisado pela Nebula Genomics está disponível para qualquer pessoa que quiser. Há arquivos FASTQ brutos, e é preciso pagar uma pequena quantia para acessá-los
    Anos atrás, conversei com um amigo sobre criar um site em que as pessoas pudessem enviar seus genomas e informações de saúde para viabilizar estudos populacionais em larga escala. Também enviei meus dados ao All Of Us e a outros projetos, mas considero uma perda o fato de o acesso aos dados exigir aprovação especial
    Acho que está na hora de revisitar essa questão. Talvez seja melhor publicar o VCF em vez disso. É muito menor e pode ser mais fácil para as pessoas acessarem. De todo modo, se precisar do meu FASTQ, é só me enviar um e-mail

    • Meus dados estão aqui e são gratuitos:
      https://my.pgp-hms.org/profile/hu80855C
      Fiz isso quando estávamos lançando o Google Cloud Genomics e precisávamos de dados que pudessem ser usados sem restrições. O aconselhador genético da Illumina disse que “não havia fatores de risco genético detectáveis”, o que era mais ou menos o que eu esperava. Isso não significa que não haja nenhum fator de risco, mas sim que a capacidade de aconselhamento genético da Illumina não era lá muito boa
    • O governo pode decidir que não gosta de certos fenótipos e usar o banco de dados para ir atrás das pessoas
      Algo parecido já aconteceu no fim dos anos 1930 e início dos anos 1940 com a pergunta aparentemente inofensiva “qual é sua religião” nos formulários do censo
    • Não é uma questão de um indivíduo; o valor é muito maior quando existe um banco de dados em larga escala
      Quando você vai a um café, um stalker pode coletar DNA de uma impressão digital e usar uma base de dados da 23andMe vazada ou vendida para vinculá-lo a uma identidade ou endereço residencial
      Curiosamente, isso também pode funcionar desse jeito se um parente de primeiro grau tiver usado o serviço
    • Quero analisar meu genoma. Não vejo esses dados como algo privado. Acho que um agente realmente determinado poderia coletá-los com apenas um pouco de esforço
      Como foi sua experiência com a Nebula Genomics? Se fosse fazer isso hoje, você recomendaria a Nebula ou outra empresa?
    • Penso de forma parecida com o pessoal ligado ao George Church. Também sou desse lado
      Uma imagem de alta resolução do rosto contém tantos dados pessoais funcionalmente úteis quanto um VCF, ou até mais
      É difícil ser otimista em relação ao rumo atual dos EUA, mas acredito que a GINA continuará sendo lei
      https://en.wikipedia.org/wiki/Genetic_Information_Nondiscrim...
      Se eu estiver errado, a segurança do meu DNA será o menor dos problemas para mim ou para nós
  • Dizem que é possível excluir os dados, mas no fim vão continuar armazenando tudo por causa de “obrigações regulatórias”. Troquei várias mensagens com a equipe de privacidade, e a resposta final foi esta
    “A equipe da 23andMe está retornando com uma resposta de acompanhamento. Para deixar claro, nós e nossos parceiros de laboratório cumprimos diversas obrigações legais e regulatórias que podem exigir a retenção de determinadas informações. Nosso programa de retenção de dados cumpre os requisitos legais aplicáveis, que podem variar de acordo com o país ou estado em que o cliente reside, o estado em que o laboratório contratado está localizado e as obrigações de licenciamento federais ou estaduais relacionadas aos produtos de ancestralidade e saúde que vendemos. Amostras e resultados de testes genéticos são excluídos de acordo com a legislação aplicável, e confirmamos que obrigações legais de retenção constituem uma exceção adequada a solicitações de exclusão de dados sob as leis de privacidade de dados.”

    • Fico curioso para saber que tipo de solicitação levou a essa resposta. Por exemplo, você pediu a exclusão dos dados e depois confirmou por e-mail se eles haviam sido excluídos? Também queria saber se você mora na Califórnia
    • Parece algo passível de processo. Isso é totalmente território jurídico
  • O ponto importante é que uma empresa sediada na Califórnia entrou em dificuldades financeiras e divulgou em documentos enviados à SEC que há dúvida substancial sobre sua capacidade de continuar operando como empresa em funcionamento
    Esse é um dos motivos pelos quais uso o Signal em vez de outros apps de mensagens. Não quero que, quando uma empresa falir, mensagens privadas fiquem em um banco de dados e sejam vendidas em uma liquidação por preço de banana
    Também tento hospedar localmente, sempre que possível, apps como câmeras de segurança, gerenciadores de senhas, automação residencial, armazenamento e wikis

    • Fico curioso para saber o que você usa em hospedagem doméstica para câmeras de segurança, armazenamento e gerenciamento de senhas
      A solução de armazenamento também funciona para backup automático dos dados do celular?
  • Se a 23andMe firmou um acordo com os consumidores sobre como seus dados seriam tratados, esse acordo deveria ser mantido independentemente de uma aquisição. Deveria ser mantido permanentemente, a menos que o consumidor altere ativamente o acordo
    Ninguém diria que, se o Dropbox fosse vendido, os dados pessoais seriam saqueados; então não entendo por que isso vira tema de discussão no caso da 23andMe
    Não estou tentando criticar o procurador-geral, mas dizendo que a proteção ao consumidor ficou tão frouxa que esse tipo de conversa se tornou necessário

    • Sim, em princípio isso não deveria importar. Seria ótimo se vivêssemos nesse mundo, mas não vivemos
      Empresas frequentemente ignoram esses acordos. Mesmo quando às vezes são pegas, tudo termina com uma punição leve
      Acho que o que acontece com mais frequência é que nem ficamos sabendo que o acordo foi violado em primeiro lugar
      É quase uma lei da natureza que uma empresa em dificuldades financeiras comece a colocar etiqueta de preço em dados pessoais que prometeu nunca vender. Como em uma charge com pessoas famintas em um bote salva-vidas, elas passam a olhar para seus dados não mais como um acordo legal que precisam proteger, mas como uma deliciosa coxa de frango
      Quanto à afirmação de que ninguém diria que, quando o Dropbox fosse vendido, os dados pessoais seriam saqueados, as opiniões sobre isso podem variar
    • As políticas de privacidade da 23andMe e do Dropbox dizem apenas que, se a política de privacidade mudar, basta avisar os usuários; não há restrições quanto ao escopo das mudanças
      Portanto, se o Dropbox for vendido, talvez também devêssemos ter essa conversa
  • Existe uma regra simples
    Mesmo que uma empresa prometa não tratar dados importantes de forma negligente nem vendê-los, se não houver consequências legais ou garantias, essa empresa, ou alguma outra empresa relacionada, inevitavelmente acabará fazendo exatamente isso

  • As ações da 23andMe caíram 99,12% em relação a cinco anos atrás. O que diabos aconteceu? Fico me perguntando se o modelo de negócios não se sustenta ou se a empresa foi administrada de forma extremamente errada

    • Alguns anos atrás, houve um artigo bem bom sobre a queda da 23andMe. Acho que talvez tenha sido na The Atlantic
      O ponto central era que, em poucos anos, eles praticamente esgotaram todos os clientes potenciais. Ficou claro que, se todo o negócio é analisar o DNA de uma pessoa, é difícil conseguir clientes recorrentes
      Depois, tentaram migrar para um modelo de assinatura que oferece conselhos de saúde com base no sequenciamento genético, mas o problema é que as informações de saúde que se pode obter do DNA são, em geral, duvidosas e, na maior parte, quase inúteis
    • Pensando bem, em 2013 era uma coisa curiosa. Paguei US$ 99 e, até hoje, ainda tenho acesso às funcionalidades do site que mostram informações sobre ancestralidade e curiosidades relacionadas à saúde
      Quem se interessa por esse tipo de coisa já fez o teste. Que receita ainda resta daqui para frente?
    • Por que uma empresa de exames de sangue voltada ao consumidor deveria ser uma companhia aberta?
      A resposta é simples. Abrir capital é um código de trapaça para uma empresa com prejuízos profundos vender uma história convincente a fundos de pensão procurando onde colocar dinheiro e conseguir milhões de dólares em caixa. Polvilhe isso com um pouco de pó de fada de “somos uma empresa de tecnologia” e está pronto