.
A Federal Trade Commission alegou que a empresa de testes genéticos 1Health.io, também conhecida como Vitagene, enganou as pessoas quando disse que descartaria sua amostra física de DNA, bem como seus dados de saúde coletados.
Para piorar a situação, a FTC também alegou em uma ordem de consentimento tornada pública na semana passada que a empresa não protegeu as informações adequadamente e, além disso, que alterou sua política de privacidade retroativamente sem notificar ou obter o consentimento adequado das pessoas cujos dados a empresa já havia coletado – pessoas que assinaram uma versão anterior e diferente da apólice.
De acordo com o acordo proposto, a Vitagene/1Health.io terá que aprimorar suas práticas de proteção de dados e implementar procedimentos para mantê-las atualizadas, além de pagar uma multa. A empresa não admitiu nem negou nenhuma das acusações.
“As empresas que tentam mudar as regras do jogo reescrevendo sua política de privacidade estão em alerta”, disse Samuel Levine, diretor do Bureau of Consumer Protection da FTC. “A Lei da FTC proíbe as empresas de aplicar unilateralmente mudanças materiais na política de privacidade a dados coletados anteriormente”.
A empresa pede aos usuários que cuspam em um tubo e usa os dados genéticos do cliente, em combinação com um questionário de saúde, para verificar se o usuário tem, ou pode ter em breve, certas condições de saúde. Depois que um usuário compra um pacote de produto que custa entre US$ 29 e US$ 259, a empresa fornece a ele um relatório sobre sua saúde, bem-estar e ancestralidade.
De acordo com ordem [PDF]a empresa, que a FTC disse também comercializa como Vitagene, “identifica dados de genótipos salientes, respostas de questionários pertinentes e, com base nos dados de genótipos e respostas de questionários, o nível de risco de ter ou desenvolver certas condições de saúde, como LDL alto colesterol, triglicerídeos altos, obesidade ou coágulos sanguíneos.”
O documento, que propõe um acordo de $ 75.000 e extrai uma promessa da empresa de policiar sua proteção de dados, afirma que a Vitagene não armazenou com segurança relatórios de saúde dos consumidores e dados brutos de genótipos.
100 pontos para quem adivinhar o que vem a seguir. O pedido continua afirmando que tudo foi bloqueado nos baldes do Amazon S3 e que os controles de acesso dos contêineres eram evidentes por sua ausência.
Com toda a justiça, as configurações incorretas dos baldes de nuvem da Amazon são comuns, mesmo depois que a AWS introduziu um novo conjunto de controles em 2018 para definir “políticas gerais” que bloqueiam a ativação do acesso público ao armazenamento em nuvem que você pode aplicar aos seus depósitos S3 por meio de listas de controle de acesso.
Bloomberg relatado sobre o vazamento em 2019, dizendo que a empresa havia deixado os registros de saúde das pessoas acessíveis ao público por anos.
Vitagene disse à agência de notícias na época que os arquivos datavam de quando a empresa estava em teste beta e afetavam uma pequena fração de sua base de clientes.
O pedido recente da FTC detalha outra contagem da reclamação proposta, alegando que a Vitagene postou políticas de privacidade revisadas em seus sites em abril e dezembro de 2020, que descreviam “práticas materialmente expandidas para o compartilhamento da empresa de saúde sensível dos consumidores e informações genéticas com terceiros. ” De acordo com a comissão, isso incluiu as informações dos consumidores que compraram produtos e serviços da empresa antes de abril de 2020 – “sem tomar nenhuma medida adicional para notificar os consumidores ou obter o consentimento dos consumidores”.
A FTC disse que o pedido proposto continha “disposições” para abordar a conduta da Vitagene e impedi-la de “se envolver nos mesmos atos ou práticas semelhantes no futuro”.
Mehdi Maghsoodnia, CEO da 1Health, disse Strong The One em um comunicado: “Em julho de 2019, fomos pela primeira vez alertados para o fato de que um pequeno número de arquivos de clientes foi armazenado inadvertidamente em um local acessível ao público. Não há evidências de que esses arquivos de clientes tenham sido acessados indevidamente.
“Em resposta, a FTC lançou uma investigação que já se arrasta há quase quatro anos. Este é um caso de extrapolação extraordinária do governo. Em última análise, discordamos de muitas das conclusões da FTC. Mas estamos ansiosos para finalmente deixar esse assunto para trás. .” ®
.
