Alerta global sobre a segurança dos dados pessoais sensíveis

Em um episódio recente que chamou atenção de especialistas e do público em todo o mundo, a InformationCommissioner’s Office (ICO), autoridade de proteção de dados do Reino Unido, aplicou uma multa de £2,31 milhões à empresa americana 23andMe, especializada em testes genéticos. O motivo? Falhas graves na proteção de dados altamente sensíveis de seus usuários, que resultaram em uma das maiores exposições de informações genéticas já registradas.

Tudo começou com um ataque de “credentialstuffing” — técnica usada por cibercriminosos que reutilizam combinações de e-mail e senha obtidas em vazamentos anteriores para tentar acessar outras contas. No caso da 23andMe, a ausência de mecanismos mais robustos de autenticação permitiu que milhares de contas fossem acessadas de forma indevida. Com isso, dados de aproximadamente 155 mil usuários no Reino Unido foram expostos, incluindo informações genéticas, traços de saúde e ancestralidade, muitos deles utilizados para segmentação étnica em fóruns da dark web.

A investigação conduzida pela ICO concluiu que a 23andMe falhou em adotar medidas básicas de segurança esperadas de uma empresa que lida com dados tão sensíveis, culminando com a decisão de penalidade, datada de 5 de junho de 2025. Entre os principais pontos levantados, está a falta de autenticação multifator obrigatória no login de usuários, o que teria reduzido significativamente o risco do ataque. Além disso, a empresa permitia o download de dados genéticos brutos sem qualquer verificação de identidade adicional, o que ampliou a gravidade da violação.

Outro fator agravante foi a demora na identificação da atividade anômala. Apesar de indícios claros de acessos irregulares ao longo de meses, a empresa não conseguiu detectar ou responder adequadamente à ameaça. A ausência de monitoramento efetivo e de processos regulares para testar e avaliar suas medidas de segurança levou a ICO a considerar a conduta como uma violação grave dos princípios do UK GDPR, especialmente os relacionados à integridade e confidencialidade dos dados pessoais.

Se analisado sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil, é possível traçar paralelos importantes. A LGPD exige que empresas adotem medidas técnicas e administrativas aptas a proteger os dados pessoais, especialmente os considerados sensíveis, como dados de saúde e origem racial ou étnica. O caso 23andMe ilustra, de forma contundente, o que pode ocorrer quando essas exigências são negligenciadas.

No Brasil, as consequências poderiam incluir desde advertências até multas de até 2% do faturamento da empresa (art. 52), além de sanções civis por danos materiais ou morais aos titulares. Mais do que penalizações financeiras, no entanto, esse episódio reforça a necessidade de um compromisso genuíno com a segurança da informação e com os direitos dos titulares de dados.

O caso da 23andMe nos lembra que, em um mundo cada vez mais orientado por dados, proteger informações pessoais — sobretudo aquelas mais íntimas — não é apenas uma exigência legal, mas uma questão ética. É preciso ir além da formalidade documental: investir em infraestrutura tecnológica, governança ativa e, acima de tudo, em uma cultura organizacional que trate a privacidade como valor central.