Alguns segredos são tão secretos que ninguém sabe sobre eles. Até recentemente, isso descrevia os segredos trancados em nosso DNA. Mas uma chave para a confiança do consumidor no crescente mercado de testes genéticos é até que ponto as pessoas podem confiar na promessa de uma empresa de que “o seu segredo está seguro connosco”. Em seu primeiro caso focado na privacidade e segurança da informação genética, a FTC alega que a Vitagene, Inc., com sede em São Francisco – agora conhecida como 1Health.io – não cumpriu suas promessas e alterou injustamente os termos materiais de privacidade sem que os clientes consentimento. O acordo proposto e outras ações recentes enviam uma mensagem clara de que a FTC está totalmente comprometida com a proteção das informações sobre saúde dos consumidores.
Depois que os consumidores pagaram entre US$ 29 e US$ 259, enviaram uma amostra de saliva para a Vitagene e responderam a um questionário on-line sobre seu histórico de saúde, histórico familiar e estilo de vida, a empresa lhes forneceu um Relatório de Saúde personalizado. O Relatório incluía o nome completo do cliente e uma avaliação dos seus riscos de desenvolver uma série de problemas de saúde.
Usando imagens de fechaduras, chaves e nuvens seguras, o site da empresa estava repleto de afirmações sobre o cuidado com que prometia lidar com as informações genéticas dos consumidores. Aqui estão apenas algumas das promessas da empresa.
- “Usamos práticas de segurança padrão da indústria para armazenar sua amostra de DNA, seus resultados de testes e quaisquer outros dados pessoais que você fornecer.”
- “Pedra–Segurança sólida. Usamos a tecnologia mais recente e excedemos as práticas de segurança padrão do setor para proteger sua privacidade.”
- “A Vitagene coleta, processa e armazena suas informações pessoais em um ambiente responsável, transparente e seguro que promove a confiança de nossos clientes.”
- “Você está no controle de seus dados. Você pode excluir seus dados a qualquer momento. Isso removerá suas informações de todos os nossos servidores.”
- “Três maneiras de proteger sua privacidade: 1. Seus resultados e amostra de DNA são armazenados sem seu nome ou qualquer outra informação de identificação comum. 2. Vitagene destrói sua amostra física de saliva de DNA depois de analisada. 3. Não compartilhamos suas informações com terceiros sem o seu consentimento explícito.”
Boa conversa sobre privacidade e segurança, mas de acordo com a FTC, Vitagene era mais conversa do que ação. Você vai querer ler a reclamação para obter detalhes, mas parte da história começou na nuvem. Como componente da sua infraestrutura de TI, a Vitagene utilizou um conhecido fornecedor de serviços em nuvem para armazenar informações confidenciais, incluindo relatórios de saúde dos consumidores e dados de ADN. A Vitagene supostamente não usou medidas integradas para proteger as informações e, em vez disso, as armazenou em “baldes” que possibilitaram que qualquer pessoa com acesso à Internet visse os relatórios detalhados de quase 2.400 clientes da Vitagene. Também acessíveis: dados genéticos brutos de pelo menos 227 outros clientes, às vezes identificados pelo primeiro nome. Enquanto Vitagene prometeu “exceder indústria–práticas de segurança padrão”, a FTC afirma que a empresa não criptografou esses dados, não restringiu o acesso a eles, não monitorou o acesso e não os inventou para ajudar a garantir sua segurança. A denúncia também acusa a Vitagene de não ter tomado medidas para garantir que tudoab que analisamuitos dos as amostras de DNA tinham uma política para destruí-las.
Além disso, a denúncia alega que, durante um período de dois anos, a Vitagene recebeu três avisos separados de que estava armazenando informações genéticas e de saúde dos clientes de uma forma que as tornava acessíveis ao público. Aviso nº 1: uma mensagem de julho de 2017 do provedor de serviços em nuvem informando que a Vitagene havia configurado seus dados “para permitir o acesso de leitura de qualquer pessoa na Internet”. O e-mail incluído links para um console de conta e informações sobre como restringir o acesso. A resposta de Vitagene: Grilos.
O aviso nº 2 veio de uma empresa de segurança que conduziu um teste de penetração de aplicativos da web em novembro de 2018 e “descobriu que dados de DNA carregados estavam sendo armazenados. . . sem nenhum controle de acesso.” A denúncia alega que Vitagene novamente não conseguiu corrigir a situação.
O aviso nº 3 foi um e-mail de junho de 2019 de um pesquisador de segurança enviado para a caixa de entrada de suporte da Vitagene. Depois que o pesquisador contatou a mídia, a FTC diz a empresa finalmente investigou sua exposição pública das informações de saúde dos clientes. No entanto, como a Vitagene não monitorou quem acessou ou baixou os dados, não foi possível determinar quem mais poderia ter visto as informações..
Os supostos erros de Vitagene não terminaram aí. Em 2020, a empresa alterou a sua política de privacidade, expandindo retroativamente os tipos de terceiros com os quais pode partilhar dados dos consumidores para incluir cadeias de supermercados, fabricantes de suplementos dietéticos e similares. E fez isso sem avisar clientes que forneceram seus dados de acordo com a política de privacidade anterior, mais restritiva e obter seu consentimento.
A denúncia acusa a empresa de que as promessas da empresa de que excedeu os padrões de segurança da indústria, armazenou resultados de DNA sem informações de identificação, excluiu dados a pedido dos consumidores e providenciou para que amostras físicas de DNA fossem destruídas, eram falsas ou enganosas. Além do mais, a FTC alega que as mudanças posteriores à política de privacidade da empresa sobre o compartilhamento de informações pessoais confidenciais com terceiros foram uma prática injusta, em violação da Lei da FTC. Embora a política de privacidade original da Vitagene declarasse que o acesso ou uso dos serviços da empresa por um cliente depois que a empresa publicou uma política de privacidade revisada significava que o consumidor havia aceitado os termos revisados, essa linguagem nãonão isentar a Vitagene de sua obrigação de avisar e obter o consentimento dos consumidores antes de fazer alterações retroativas materiais em suas práticas de privacidade. Além disso, a queixa alega que a conduta da Vitagene foi injusta, embora a empresa ainda não tenha implementado as práticas mais amplas de partilha de informações estabelecidas nas suas políticas de privacidade revistas.
Para resolver o caso, 1health.io concordou em implementar um programa abrangente de segurança da informação, incluindo avaliações de terceiros a cada dois anos. Além disso, um executivo sênior deve certificar anualmente que a empresa está cumprindo os termos do acordo. O acordo proposto também inclui uma solução financeira de US$ 75.000. Assim que o acordo aparecer no Federal Register, você terá 30 dias para registrar um comentário público.
O que outras empresas podem tirar da ação da FTC?
Informações sensíveis sobre saúde – incluindo dados genéticos – requerem cuidados intensivos. Se a sua empresa coleta ou mantém informações sobre a saúde do consumidor, você elevou o nível dos padrões de privacidade e segurança que deve implementar. Tome cuidado especial para fundamentar as promessas que você faz sobre suas práticas de dados. (A propósito, se você ainda não leu a Declaração de Política sobre Informações Biométricas de maio de 2023 da FTC, reserve um tempo agora.)
Só porque os dados estão em sua posse não significa que sejam seus. Coletar dados de consumidores não significa que você está livre para fazer o que quiser com eles. Os consumidores têm o direito de saber antecipadamente como pretende utilizar as suas informações e você tem a obrigação legal de cumprir as suas declarações. Isso significa que se você quiser mudar suas práticas no futuro, uma modificação de isca e troca em sua política de privacidade não será suficiente. Você precisará do consentimento expresso e afirmativo dos consumidores para qualquer novo uso de seus dados.
Quando se trata de segurança, manter seus dados na nuvem não significa que você pode manter a cabeça nas nuvens. A FTC afirma há muito tempo que armazenar dados na nuvem não dá à empresa passe livre em termos de segurança. Ainda é sua responsabilidade tomar medidas razoáveis para proteger seus dados – por exemplo, definindo adequadamente as configurações de segurança na nuvem e inventariando e auditando seu armazenamento em nuvem. Como deixa claro o Pedido de Informação da FTC sobre computação em nuvem, os vendedores de tecnologia em nuvem e as empresas que utilizam os seus serviços partilham a responsabilidade de proteger as informações pessoais dos consumidores.
Responda a avisos confiáveis sobre possíveis falhas de segurança. A denúncia contra a Vitagene alega vários casos em que a empresa não atendeu aos alarmes outross – incluindo o provedor de seu armazenamento em nuvem – havia falado sobre a segurança de suas informações baseadas em nuvem. Você possui sistemas para garantir que esses alertas cheguem às pessoas certas e recebam a atenção imediata que merecem?
