23andMe: administrador judicial aprova fundo de US$ 46,8 milhões para vítimas do vazamento que expôs 7 milhões de perfis genéticos
Tribunal de falências aprova US$ 46,8 milhões para vítimas do vazamento da 23andMe — US$ 32,5 mi vão para 256 mil reclamantes, contra os US$ 48 bilhões pedidos. Acordo escancara fragilidade da reparação em empresas insolventes.
Um administrador judicial da falência da 23andMe em Missouri aprovou um fundo de US$ 46,8 milhões para indenizar vítimas do vazamento de 2023 que expôs dados de cerca de 7 milhões de clientes, incluindo perfis genéticos. Do total, US$ 32,5 milhões irão diretamente aos quase 256 mil reclamantes — valores individuais variam de US$ 50 a US$ 10 mil conforme a severidade do dano — enquanto US$ 14 milhões ficam com a administradora Kroll. A ação original pedia US$ 48 bilhões em danos; o acordo aceito é mais de mil vezes menor.
O que aconteceu
O incidente da 23andMe começou em abril de 2023, quando atacantes usaram credential stuffing para acessar contas individuais e, a partir delas, extrair via o recurso “DNA Relatives” perfis de cerca de 5,5 milhões de usuários — não apenas dos titulares das contas comprometidas, mas de seus parentes mapeados. Mais 14,1 milhões de clientes que usavam o produto Family Tree também tiveram dados acessados. Em outubro de 2023, a empresa confirmou o incidente. Logo depois, lotes da base apareceram em fóruns de cibercrime.
A 23andMe já vinha financeiramente fragilizada antes do ataque — havia esgotado a maior parte do mercado de testes salivares caseiros de DNA. Em março de 2025, a companhia entrou em falência sob o nome Chrome Holding Co. e liquidou a maior parte dos ativos. A fundadora Anne Wojcicki recomprou parte da operação em meio à controvérsia. O fundo de US$ 46,8 milhões agora aprovado encerra a frente civil mais ampla das ações coletivas associadas ao vazamento.
O administrador judicial justificou o valor reduzido com base em decisão prévia do tribunal distrital, que considerou um pré-acordo de US$ 30 milhões “razoável dadas as condições financeiras precárias da empresa”. A alternativa — litigar pelos US$ 48 bilhões originalmente pedidos — exigiria “litígio prolongado e de alto risco por meses ou anos, com discovery extenso e milhões em honorários”, drenando recursos que beneficiariam os próprios stakeholders.
Como o acordo se distribui
- Total do fundo: US$ 46,8 milhões.
- Para vítimas: US$ 32,5 milhões — distribuídos entre aproximadamente 256 mil reclamantes já habilitados.
- Para a administradora Kroll: mais de US$ 14 milhões em honorários de gestão do acordo.
- Faixas de indenização: de US$ 50 (danos menores) até US$ 10 mil (casos mais graves de exposição).
- Valor médio aproximado por reclamante: cerca de US$ 127 — antes da modulação por severidade.
“Litigar o valor maior exporia o espólio a um litígio prolongado e de alto risco — recursos que estariam muito mais bem preservados em benefício dos stakeholders.”
Documentos do tribunal de falências, citados pelo The Record
Quem é afetado
- ~7 milhões de clientes diretamente comprometidos em abril-outubro de 2023.
- 5,5 milhões adicionais mapeados via DNA Relatives — muitos dos quais nunca foram clientes ativos da 23andMe.
- 14,1 milhões de usuários do produto Family Tree.
- Reclamantes habilitados na ação: ~256 mil pessoas.
- Familiares e descendentes daqueles cuja base genética foi exposta — dados imutáveis ao longo da vida.
Análise
O acordo da 23andMe consolida uma jurisprudência preocupante para o consumidor: quando o detentor de dados sensíveis quebra financeiramente, a indenização pelas vítimas se torna função do que sobra na massa falida — não do tamanho do dano. Os US$ 32,5 milhões efetivamente aos vazados representam menos de cinco dólares por cliente original comprometido. Para comparação, a multa recorde de US$ 409 milhões aplicada pela autoridade sul-coreana à Coupang esta semana — proveniente de regime regulatório robusto e empresa solvente — mostra a diferença de ordem de magnitude entre regimes punitivos.
Há um ponto que merece particular atenção do mercado brasileiro: dados genéticos são imutáveis. Diferente de senha, número de cartão ou e-mail, o DNA exposto em 2023 segue exposto em 2026, 2050 e além. As implicações vão de discriminação por seguradoras à reidentificação de familiares que nunca consentiram, passando por uso em investigações forenses e exploração futura por modelos de IA. Nesse contexto, qualquer compensação financeira tem caráter simbólico — não há restituição possível da privacidade biológica.
O caso também serve de teste de estresse para a LGPD. Imagine uma empresa brasileira de testes genéticos que vai à falência após vazamento massivo: o regime atual da ANPD tem mecanismos para garantir indenização adequada, ou veríamos uma “23andMe brasileira” oferecer reais simbólicos em moeda já falida? A resposta provavelmente envolve precedente judicial ainda inexistente — e legisladores deveriam observar o modelo coreano (multa antes da falência, fundo dedicado) como referência.
Recomendações práticas
- Para empresas que coletam dados sensíveis: provisione seguro de responsabilidade cibernética com cobertura de class action, não apenas de incidente operacional.
- Adote autenticação multifator obrigatória em todo recurso de compartilhamento entre contas — o vetor original do ataque à 23andMe foi credential stuffing facilitado pela ausência de MFA.
- Implemente data minimization rigoroso: o recurso DNA Relatives multiplicou em 100x o impacto do vazamento ao conectar perfis sem necessidade técnica.
- Reveja contratos de termos de uso em produtos de saúde, genética e biometria — clientes brasileiros têm direito à explicação clara sobre escopo de compartilhamento.
- Para indivíduos: avalie remover seus dados de serviços de genética caseira; nem todas as empresas oferecem deleção comprovada.
- Para reguladores brasileiros: o caso 23andMe é argumento técnico para discussão de “fundo de garantia” obrigatório em empresas que tratam dados sensíveis em escala — modelo análogo ao FGC bancário.
Fonte: The Record
