La Oficina del Comisionado de Información del Reino Unido (ICO) ha emitido un aviso de intención de multar a la empresa de análisis genético 23andMe con £4.59 millones.
Actualmente, 23andMe ha solicitado protección por bancarrota bajo el Capítulo 11 en EE. UU. como parte de su proceso de venta. No obstante, la ICO aclara que la UK GDPR sigue aplicable independientemente de este proceso e independientemente de cualquier proceso de venta.
23andMe, conocida por sus kits de prueba basados en saliva, alcanzó en su momento una valoración de $6 mil millones. Dado el carácter de su negocio, la empresa almacena datos personales altamente sensibles, incluyendo información de salud, origen étnico y relaciones biológicas de sus clientes. Esta categoría de datos personales exige que las empresas mantengan un nivel más alto de seguridad y gobernanza, de acuerdo con el UK GDPR.
La sanción propuesta por la ICO surge a raíz de una violación de datos reportada en octubre de 2023. En junio de 2024, la ICO, en colaboración con la Oficina del Comisionado de Privacidad de Canadá (OPC), inició una investigación conjunta con el objetivo de determinar: (i) el alcance de la información que quedó expuesta por la violación y los posibles daños a las personas afectadas; (ii) si 23andMe contaba con las garantías adecuadas para proteger la información altamente sensible bajo su control; y (iii) si la empresa notificó adecuadamente la violación a los dos reguladores y a las personas afectadas, tal y como exigen las leyes de protección de datos de Canadá y el Reino Unido.
Como resultado de la investigación, se anunció la intención de multar a la empresa. Sin embargo, la ICO aclara que sus conclusiones son provisionales y están sujetas a las alegaciones de 23andMe.