¿Qué sucede cuando una empresa pierde una gran cantidad de datos de usuarios? Por lo general, se disculpan y tímidamente piden perdón. No es así con 23andMe. La popular empresa de genómica, que sufrió una violación de datos bastante terrible el año pasado, optó por decirles a los clientes enojados que probablemente deberían haber elegido una contraseña mejor si no querían que sus datos aumentaran.
Para aclarar, 23andMe está siendo demandado (o, más exactamente, atacado legalmente) por un gran número de personas debido al hecho de que un gran número de cuentas de usuarios fueron comprometidas por ciberdelincuentes el año pasado. La noticia de la violación se conoció originalmente en octubre, cuando los datos de los clientes se publicaron para la venta en la web oscura. En ese momento, 23andMe le dijo al público que sólo alrededor de 14.000 cuentas
Entonces, sí, la gente está naturalmente bastante enojada y, como resultado, están tratando de demandar a la compañía de genómica. La palabra clave aquí es “intentar” porque, debido a algunas inclusiones controvertidas en el acuerdo de términos de servicio de 23andMe, un litigio masivo (como una demanda colectiva) es bastante difícil de lograr. En cambio, los TOS de la empresa estipulan que los usuarios deben renunciar a la oportunidad de demandar a la empresa y, en su lugar, probar suerte con el “arbitraje forzado”, un vía legal alternativa que los expertos sostienen es muy ponderado
Con bastante humor, 23andMe no solo opta por permanecer fuera de los tribunales, sino que también parece negar que fue el principal infractor de la violación de datos. Caso en cuestión: el miércoles, TechCrunch reportado en una carta que la empresa de genómica había enviado a las oficinas legales de una de las firmas que llevaban una demanda en su contra, Tycko & Zavareei LLP, en la que parecía negar haber actuado mal y, en algunos casos, señalar con el dedo a los clientes afectados. El cartaque fue enviado a las oficinas del bufete de abogados, dice, en uno de esos pasajes:
“… los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe… Por lo tanto, el incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe…”
En otras palabras, 23andMe parece estar diciendo que toda esta debacle de datos no es realmente culpa suya. Esto es consistente con lo que la compañía ha declarado anteriormente, que es que el verdadero culpable de todo el asunto fue la mala seguridad de la cuenta y que los delincuentes nunca violaron sus propios sistemas. Sin embargo, los críticos han señalado que 23andMe probablemente debería haber exigido a los usuarios que utilizaran autenticación multifactor, una práctica de seguridad estándar de la industria que no cumplió antes de la infracción. La empresa solo instituyó la 2FA obligatoria después de que se robaron los datos de los usuarios.
En respuesta a la carta de 23andMe, el abogado Hassan Zavareei le dijo a Gizmodo que “23andMe renuncia a toda responsabilidad por la infracción y culpa descaradamente a sus clientes por la infracción basándose en que los datos fueron robados a través de cuentas de clientes que reciclaron credenciales de inicio de sesión de otros sitios”.
En una conversación telefónica, Zavareei también señaló el hecho de que 23andMe había actualizado recientemente sus TOS para hacer que el proceso de arbitraje fuera más oneroso y difícil de navegar. Otro Los expertos legales están de acuerdo que los recientes cambios contractuales de la compañía han hecho que sea más difícil para los usuarios afectados unirse y realizar un “arbitraje masivo”, un proceso que sería más parecido a una demanda colectiva y, por lo tanto, más ventajoso y conveniente para las víctimas.
¿Existe alguna forma de eludir la cláusula de arbitraje? Según Zavareei, existen algunos escenarios hipotéticos en los que las víctimas podrían iniciar un litigio tradicional.
“Ellos [23andMe] Podríamos renunciar al arbitraje y simplemente aceptar litigar ante los tribunales y no invocar la cláusula de arbitraje”, dijo Zavareei. “No tenemos ningún indicio de que sea su intención. Podrían hacerlo si simplemente quisieran resolver todo de una vez en lugar de tener miles de arbitrajes. [cases].” El abogado también dijo que los demandantes en esos casos podrían “impugnar la cláusula arbitral y decir que la cláusula arbitral es inaplicable. Hay una serie de [legal] argumentos que alguna vez podrían hacer que la cláusula sea inaplicable y desmesurada”.
En otras palabras, 23andMe podría decidir arriesgarse a un proceso de litigio más tradicional si cree que sería más sencillo que manejar montones y montones de arbitrajes individuales. O, hipotéticamente, los clientes afectados podrían impugnar la cláusula de arbitraje de la empresa. Dicho esto, ambas posibilidades no parecen particularmente probables.
Gizmodo se acercó a 23andMe para hacer comentarios, pero no recibió respuesta. Actualizaremos esta historia si responde.