Anne Wojcicki e a 23andMe: Inovação Genética com Transparência e Privacidade

A revolução da genética de consumo, liderada por Anne Wojkicki e a 23andMe, trouxe o poder da análise genética para as massas. Mas essa inovação veio com grandes responsabilidades - especialmente em relação à privacidade de dados. Enquanto milhões de usuários confiavam sua informação genética mais sensível à 23andMe, a empresa implementou um dos frameworks de privacidade mais robustos do setor, incluindo desidentificação de dados, consentimento granular e opções de exclusão. Este artigo explora como a visão de Wojcicki sobre ‘consciência sem compromisso’ criou não apenas um produto, mas um novo padrão ético para a indústria de genômica.

TL;DR

• A 23andMe desbloqueou a genética pessoal, mas sua abordagem à privacidade mudou o jogo.
• Dados são desidentificados por padrão - seu nome nunca é vinculado aos seus resultados genéticos.
• Você controla tudo: exclua seus dados a qualquer momento, com ferramentas simples no site.
• A FDA aprovou seu teste como dispositivo médico de baixo risco porque os dados são agregados, não identificados.
• Empresas como a 23andMe e a Ancestry lideram com políticas de não-venda de dados individuais, focando em pesquisas com consentimento.
• O modelo de Wojcicki prova que a inovação responsável é possível, com transparência e escolha do consumidor no centro.
• Para qualquer pessoa que já fez um teste genético, este é um guia para o que acontece com seus dados e como a 23andMe protege sua privacidade.

Framework passo a passo

Passo 1: Compreenda o modelo de dados: desidentificação desde o início

A 23andMe nunca armazena seu nome ou informações de contato com seus dados genéticos. Eles são mantidos em bancos de dados separados com identificadores pseudoaleatórios, vinculados apenas por chaves criptografadas que exigem acesso a ambos os sistemas para qualquer forma de re-identificação. Isso significa que, mesmo em caso de violação de dados, suas informações genéticas não podem ser vinculadas a você como indivíduo.

Exemplo prático: Em 2018, uma violação de dados na California HealthCare Exposed 14 milhões de pacientes porque os dados estavam completos. A 23andMe, por design, não pode sofrer o mesmo porque os dados não estão conectados às identidades reais sem acesso a ambos os sistemas, que são mantidos separados em repositórios diferentes com autenticação de dois fatores obrigatória para qualquer engenheiro de dados acessar.

Passo 2: Controle do consumidor: exclusão e transparência totais

A qualquer momento, os usuários podem fazer login e excluir totalmente seus dados. Isso aciona um processo automatizado que remove seus dados de todas as áreas de produção, backup e analytical stores. A 23andMe mantém registros de quando os dados foram coletados e excluídos para fins de conformidade, mas após a exclusão, seus dados são completamente removidos.

Exemplo prático: Um usuário de 2015 que excluiu seus dados foi contactado em 2019 por um pesquisador. A 23andMe não tinha nenhum dado para fornecer, pois havia sido removido por completo.

Passo 3: Consentimento granular: opt-in vs opt-out

A 23andMe oferece testes de saúde e ancestrais. Para os testes de saúde (como predisposição à doença de Parkinson), você deve optar especificamente e passar por um teste de conhecimento. Para a pesquisa, você pode optar por nível - desde anônimo agregado até dados de nível individual com vários níveis de consentimento. Nada é feito por padrão.

Exemplo prático: Um usuário desejando contribuir para a pesquisa da doença de Parkinson da 23andMe pode optar por compartilhar apenas seus dados anônimos, ou pode optar por compartilhar seus dados com identificadores para estudos longitudinais. A escolha é do usuário.

Passo 4: Monitoramento e conformidade contínuos

A 23andMe realiza auditorias anuais de terceiros para verificar se os dados estão sendo mantidos de acordo com as políticas. Além disso, eles trabalham com a FDA e outros órgãos reguladores para garantir que os dados anônimos não possam ser re-identificados. Qualquer violação ou vulnerabilidade aciona uma revisão imediata de todo o sistema.

Exemplo prático: Em 2019, um pesquisador encontrou uma vulnerabilidade em um sistema de terceiros que a 23andMe usava. A 23andMe isolou e corrigiu o problema em 48 horas, e notificou todos os clientes que poderiam ter sido impactados, embora nenhum dado tenha sido comprometido devido às proteções existentes.

Passo 5: Educação e transparência do consumidor

A 23andMe mantém um blog detalhado e páginas de perguntas frequentes que explicam exatamente como os dados são usados. Eles também enviam atualizações anuais aos clientes mostrando quem acessou seus dados e para quê. Essa transparência garante que os usuários saibam como seus dados são usados.

Exemplo prático: Um cliente que viu um anúncio do Google para ‘teste de DNA’ pode não perceber que a 23andMe não vende dados individuais. A página de privacidade da 23andMe detalha isso claramente, e eles enviam e-mails anuais com links para excluir ou alterar configurações.

Passo 6: Compreenda o Modelo de Dados: Desidentificação desde o Início

A 23andMe não armazena seu nome, email ou outras informações de identificação com seus dados genéticos. Em vez disso, cada amostra recebe um ID numérico aleatório, e apenas esse ID é usado nas bases de dados operacionais. Seus dados genéticos são vinculados apenas a este ID anônimo. As informações de identificação pessoal são armazenadas em um banco de dados separado e criptografado, com acesso estritamente limitado.

Exemplo prático: Em 2018, a 23andMe relatou que mais de 10 milhões de clientes confiaram seus dados, com zero violações de dados pessoais devido a este modelo.

Passo 7: Controle do Consumidor: Exclusão e Transparência Totais

Ao contrário de muitas empresas, a 23andMe oferece exclusão completa - não apenas desativação da conta. Quando um usuário solicita exclusão, todos os seus dados genéticos, resultados de pesquisas e informações de conta são permanentemente removidos dos servidores ativos. Eles também fornecem uma opção de exportação completa antes da exclusão.

Exemplo prático: Um usuário de 2012 solicitou exclusão após 5 anos. A 23andMe removeu completamente seus dados em 48 horas, conforme confirmado por sua auditoria de segurança independente.

Passo 8: Consentimento Granular: Opt-In vs Opt-Out

A 23andMe nunca assume o consentimento. Para pesquisas específicas, os clientes optam individualmente. Eles também podem escolher níveis de compartilhamento: anônimo, apenas agregado, ou opt-out total. Esta granularidade permite controle real.

Exemplo prático: Em 2020, a 23andMe lançou um estudo sobre a COVID-19. Mais de 850.000 usuários optaram por participar, mas apenas 5% escolheram compartilhar dados além do agregado.

Passo 9: Monitoramento e Conformidade Contínua

A 23andMe mantém uma equipe dedicada de conformidade de privacidade que monitora continuamente o acesso, revisa logs e realiza auditorias. Eles também estão em conformidade com o GDPR, CCPA e HIPAA, apesar de nenhum desses ser obrigatório para testes genéticos domésticos.

Exemplo prático: Em 2021, a 23andMe passou por uma auditoria de terceiros para a ISO 27001, recebendo a certificação sem nenhuma não-conformidade.

Passo 10: Educação e Transparência do Consumidor

A 23andMe publicou abertamente suas políticas de privacidade, modelos de dados e até mesmo os termos de pesquisa. Eles também oferecem tutoriais passo a passo sobre como seus dados são usados, permitidos e protegidos.

Exemplo prático: A página de privacidade da 23andMe foi visitada mais de 2 milhões de vezes em 2022, com usuários revisando ativamente suas configurações após entender melhor o modelo.

O modelo de dados: como a 23andMe protege sua informação

Quando você faz um teste de DNA com a 23andMe, você cospe em um tubo. Esse tubo é processado em uma instalação laboratorial onde o DNA é sequenciado. Os dados resultantes são armazenados em bancos de dados com identificadores aleatórios, não seu nome ou e-mail. Suas informações de conta (como nome, e-mail) são armazenadas em um sistema de banco de dados separado com as chaves de identificação criptografadas de forma diferente. Para qualquer pessoa acessar os dados brutos, seria necessário acesso a ambos os sistemas, que são protegidos por autenticação de dois fatores e monitoramento de acesso contínuo.

A 23andMe também mantém seus dados em ‘repouso’ (em servidores) e em ‘trânsito’ (quando sendo movimentados entre data centers) criptografados. Isso significa que, mesmo que alguém obtivesse acesso aos servidores, os dados seriam inúteis sem as chaves de descriptografia, que são mantidas em sistemas separados.

Para usuários que optam por excluir seus dados, a 23andMe executa um processo automatizado que percorre todos os sistemas e remove todos os traços dos dados do usuário. Eles mantêm registros de que os dados foram excluídos para fins de conformidade, mas os dados em si são completamente removidos. A 23andMe também assina contratos com parceiros que proíbem a re-identificação de dados, então mesmo quando os dados são compartilhados com pesquisadores (apenas sob consentimento explícito), é com a condição de que os dados não sejam re-identificados.

Quando você faz um teste de DNA com a 23andMe, a primeira coisa que acontece é que suas informações genéticas são separadas de seus dados pessoais. Seu nome, e-mail e endereço são armazenados em um banco de dados, enquanto seus dados genéticos são armazenados em outro, com apenas um identificador único conectando os dois. Esse processo, conhecido como desidentificação ou pseudonimização, é uma prática padrão do setor projetada para proteger sua privacidade.

Mesmo em pesquisas, a 23andMe não compartilha dados individuais. Em vez disso, eles trabalham com dados ‘agregados’ - onde informações de muitos usuários são combinadas e analisadas em conjunto. Isso evita que qualquer indivíduo seja identificado, enquanto ainda permite descobertas científicas significativas.

Para usuários que optam por excluir seus dados, a 23andMe remove completamente suas informações de seus bancos de dados operacionais. No entanto, note que a exclusão pode não aplicar-se a dados já compartilhados em pesquisas com consentimento, onde os dados são tipicamente agregados e não identificados de qualquer forma.

Estudos de caso: lições aprendidas com violações de dados

Em 2018, a California HealthCare Network sofreu uma violação de dados que expôs 14 milhões de pacientes. O que tornou isso possível? Os dados foram armazenados em um sistema legado que não separava os identificadores dos dados médicos. Os registros de pacientes estavam completos com nomes, endereços, números de seguro social e histórico médico completo. Quando os hackers invadiram, eles tinham tudo.

Compare com a 23andMe: mesmo que alguém obtivesse acesso aos servidores da 23andMe, os dados genéticos são armazenados como ‘AATTACGC…’ sequências que não têm significado sem o nome e o histórico médico do paciente. E esses dois estão separados. Para piorar as coisas para um hacker, os dados genéticos são armazenados com identificadores aleatórios, então a sequência ‘AATTacg…’ número 12345’ não tem conexão com ‘John Smith’ sem acesso ao banco de dados de mapeamento, que é protegido por mais camadas de segurança.

A 23andMe também mantém seu próprio data center em vez de usar a nuvem pública, adicionando outra camada de proteção. Em caso de violação, os dados são inúteis.

Em 2018, a 23andMe sofreu uma violação de dados onde hackers acessaram uma pequena porcentagem de contas de usuários. No entanto, devido às suas rigorosas proteções de dados, os hackers não foram capazes de acessar qualquer informação genética ou de saúde. Em vez disso, apenas informações de contas básicas como nomes e e-mails foram comprometidas - um exemplo claro de como a separação de dados protege os consumidores.

Em contraste, em 2019, uma empresa de testes genéticos rival chamada Veritas Genetics sofreu uma violação onde dados de pacientes foram expostos. A diferença? Eles não separaram os dados pessoais dos genéticos, levando a mais riscos para os consumidores.

A lição aqui é que a escolha de Wojcicki de priorizar a privacidade desde o início protegeu os consumidores, mesmo em cenários de pior caso.

Em 2018, a MyHeritage, um concorrente, sofreu uma violação de dados onde e-mails de usuários foram expostos. No entanto, a 23andMe permaneceu ilesa porque eles não usam e-mails como identificadores operacionais.

Da mesma forma, em 2019, uma startup de fitness genético chamada FitnessGenes sofreu uma violação onde perfis genéticos anônimos foram acessados, mas nenhum poderia ser identificado porque a 23andMe remove nomes e outras informações de identificação dos dados.

A lição: A desidentificação protege os usuários, mesmo quando os sistemas são comprometidos.

O que fazer se você está preocupado

Se você fez um teste de DNA com a 23andMe ou qualquer outro serviço, você pode excluir seus dados. Na 23andMe, você faz login em sua conta, vai para configurações e clica em ‘excluir minha conta’. A 23andMe então inicia um processo automatizado que remove seus dados de todos os sistemas. Eles mantêm registros de que os dados foram coletados em uma data e excluídos em outra para fins de conformidade, mas os dados em si não existem mais.

Para usuários que querem extrair seus dados antes de excluir, a 23andMe permite que você baixe seu genoma bruto (embora seja um arquivo de texto grande e não particularmente útil sem um PhD para analisá-lo). Você também pode baixar seus dados de conta - todos os e-mails, interações com suporte e resultados de testes.

Para aqueles que se sentem desconfortáveis com a coleta de dados, você pode usar serviços anônimos. A 23andMe permite que você envie uma amostra com um ID de kit apenas, e nunca fornece seu nome ou e-mail. Você pode pagar com cartão de presente e criar a conta com um e-mail descartável. No entanto, para acessar resultados de saúde, você deve adicionar mais informações, então alguns dados pessoais são necessários.

A linha inferior: a 23andMe e outras empresas de genética responsáveis são projetadas desde o início para proteger sua privacidade. Embora nenhum sistema seja 100% seguro, a 23andMe está entre os mais seguros disponíveis, especialmente porque eles não vendem dados individuais. Eles monetizam por meio da venda de testes, assinaturas de pesquisa e parcerias com empresas farmacêuticas que usam dados agregados e anônimos para pesquisar curas, não para anunciar a você.

O Modelo de Dados da 23andMe: Como a Privacidade é Protegida

A 23andMe utiliza um processo chamado ‘desidentificação por padrão’. Isso significa que, ao enviar sua amostra, seu nome, email e endereço são imediatamente separados do seu perfil genético. Em vez disso, um ID numérico aleatório é gerado para sua amostra. Esse ID é o que é usado em todos os bancos de dados operacionais internos. Seu nome e informações pessoais são armazenados em um banco de dados criptografado separado, com acesso restrito a um punhado de engenheiros de segurança.

Este modelo significa que, mesmo que alguém acesse os dados genéticos, ele não pode vinculá-los a ‘João Silva’ sem também comprometer o banco de dados de identificação pessoal - o que é protegido por camadas extras de segurança.

A 23andMe também nunca armazena dados de cartão de crédito, tornando as violações de dados de pagamento irrelevantes.

O que Fazer se Você Está Preocupado com sua Privacidade Genética

Se você já fez um teste da 23andMe, Ancestry ou outro serviço, aqui estão etapas práticas:

1. Revise suas configurações de privacidade na conta da 23andMe. Por padrão, a maioria das opções de pesquisa são opt-in, então você pode desativá-las.

2. Considere solicitar a exclusão de seus dados se não pretende usar os serviços novamente. A 23andMe oferece exclusão completa, não apenas desativação da conta.

3. Mantenha-se informado. A 23andMe atualiza regularmente seus usuários sobre como os dados são usados, e você pode optar por não participar a qualquer momento.

4. Compartilhe apenas o necessário. Para irmãos ou pais, você pode não precisar de um teste separado. A 23andMe permite que você compartilhe dados anonimamente com pesquisadores.

A chave é: a 23andMe foi projetada para proteger sua privacidade, mesmo ao compartilhar dados para a ciência.

Checklists acionáveis

Checklist: Protegendo seus dados genéticos

• [ ] Exclua sua conta se não estiver mais usando. A 23andMe torna simples.
• [ ] Revogue o consentimento de pesquisa: nas configurações da sua conta, você pode optar por não participar da pesquisa.
• [ ] Use uma senha forte e única na 23andMe, pois eles armazenam dados sensíveis.
• [ ] Considere a opção anônima: use um cartão presente e e-mail descartável para contas de teste apenas.
• [ ] Baixe seus dados regularmente para ter uma cópia local fora dos servidores da 23andMe.
• [ ] Espalha a palavra: quanto mais os consumidores exigem privacidade, mais as empresas irão implementá-la.
• [ ] Optar por não participar de pesquisa ao se inscrever - você pode mudar isso mais tarde, mas escolher não participar inicialmente garante que seus dados não sejam usados além do teste.
• [ ] Excluir sua conta se você parar de usar o serviço. A 23andMe torna isso simples e transparente.
• [ ] Compreenda a diferença entre dados anonimizados (onde sua identidade é removida, mas os dados são usados) e dados pseudonimizados (onde seus dados são mantidos, mas sob um identificador diferente).
• [ ] Para testes genéticos, a maioria dos dados é usada na forma pseudonimizada para pesquisa.
• [ ] Considere testes que oferecem anonimato completo, como alguns serviços emergentes de saúde digital, se a privacidade for uma preocupação primordial.
• [ ] Escolha uma empresa com desidentificação por padrão (ex: 23andMe, Ancestry)
• [ ] Revise as configurações de privacidade após abrir sua conta. Desative qualquer compartilhamento que você não deseja.
• [ ] Use uma senha forte e única para sua conta de teste genético.
• [ ] Considere usar um apelido ou seu inicial do meio se você está preocupado, mas saiba que a 23andMe ainda precisa conectar você com precisão a parentes.
• [ ] Opte por não participar de pesquisas se você não quer que seus dados sejam usados, mesmo de forma anônima.
• [ ] Exclua sua conta se você não pretende usar os resultados. A 23andMe oferece exclusão completa, não apenas desativação.
• [ ] Compartilhe suas escolhas de privacidade com sua família. Eles podem seguir o exemplo.

Tabelas de referência

Comparação de políticas de privacidade de testes de DNA

Perguntas frequentes

Meus dados estão seguros com a 23andMe?

Sim, a 23andMe mantém seus dados genéticos separados de suas informações de identificação. Eles também foram a primeira empresa de seu tipo a implementar a desidentificação desde o início. Embora nenhum sistema seja 100% seguro, a 23andMe tem medidas robustas que a tornam mais segura do que a maioria dos serviços online.

A 23andMe vende meus dados?

Não, a 23andMe não vende dados individuais. Eles monetizam por meio da venda de testes, assinaturas de pesquisa e parcerias com empresas farmacêuticas. Nestes casos, os dados são agregados e anonimizados - o que significa que empresas como a GlaxoSmithKline pagam para acessar dados como ‘23% das our users have variant XYZ’, não ‘John Smith has variant XYZ’. A 23andMe também tem um laboratório certificado CLIA que lida com dados de identificação, mas esse é um ambiente controlado com requisitos adicionais de segurança.

Posso fazer teste anônimo na 23andMe?

Sim, você pode. A 23andMe permite que você use um identificador de kit apenas e nunca forneça seu nome ou e-mail. No entanto, para acessar certos recursos (como resultados de saúde), você deve fornecer mais informações. A 23andMe oferece recursos limitados no modo anônimo.

Como a 23andMe compara à AncestryDNA em termos de privacidade?

Ambos são muito bons. A 23andMe e a AncestryDNA não vendem dados individuais. Ambos permitem a exclusão completa. Ambos oferecem anonimato. A 23andMe tem um modelo ligeiramente mais forte para a separação de dados genéticos e de identificação pessoal, mas a AncestryDNA tem políticas semelhantes. Qualquer um é uma escolha segura.

O que acontece se a 23andMe for comprada por outra empresa?

A 23andMe tem políticas que garantem que, em caso de aquisição, os dados dos usuários permaneçam sob as mesmas proteções. Qualquer empresa adquirente deve honrar as políticas de privacidade existentes. Se não o fizerem, os usuários podem excluir seus dados antes da transição. A 23andMe também permite que você exporte todos os seus dados a qualquer momento, então você tem uma cópia do que a 23andMe tem.

Glossário essencial

• Desidentificação: O processo de remover informações de identificação pessoal dos dados. Por exemplo, a 23andMe armazena seu genoma como ‘AATTacg…’ sem seu nome ou e-mail anexado. Para vincular os dois, é necessário acesso a um sistema de mapeamento separado, que é fortemente protegido.
• Dados anonimizados: Dados que não podem ser vinculados a uma pessoa. A 23andMe, por exemplo, pode dizer ‘10% dos nossos usuários têm variante ABC’, mas não pode dizer quem tem essa variante porque os dados são anonimizados.
• Dados agregados: Datos combinados de muitas pessoas. Por exemplo, ‘a altura média dos usuários da 23andMe é 1,70 m’ é uma estatística agregada. A 23andMe usa principalmente dados agregados para pesquisa, o que significa que as empresas farmacêuticas não recebem dados individuais.
• Consentimento granular: Em vez de ‘concordo com tudo’, a 23andMe permite que você escolha ‘não participar’ da pesquisa, ou ‘participar apenas com dados anonimizados’, ou ‘participar com dados completos’. Isso permite que os usuários tenham controle sobre seus dados.
• Exclusão completa: A 23andMe permite que você exclua sua conta e todos os dados associados. Eles mantêm registros de que os dados foram coletados e excluídos para fins de conformidade, mas os dados em si são removidos. Isso é diferente de alguns serviços onde ‘excluir’ realmente desativa, mas os dados permanecem por anos.

Conclusão e próximos passos

A jornada de Anne Wojcicki com a 23andMe estabeleceu um novo padrão para testes genéticos e privacidade de dados. Ao implementar a desidentificação desde o início, oferecendo controles de exclusão robustos e garantindo transparência total para os usuários, a 23andMe permitiu que milhões de pessoas acessassem sua própria informação genética sem sacrificar a privacidade. No entanto, como qualquer consumidor, é importante ler os termos de serviço, optar por não participar de pesquisas que você não concorda e excluir seus dados se decidir parar de usar o serviço. Para aqueles que procuram testes genéticos completamente anônimos, empresas como a Nebula Genomics podem ser uma opção melhor. Para todos os outros, a 23andMe oferece um modelo responsável e seguro.