23andMe: administrador judicial aprova fundo de US$ 46,8 milhões para vítimas do vazamento que expôs 7 milhões de perfis genéticos

Um administrador judicial da falência da 23andMe em Missouri aprovou um fundo de US$ 46,8 milhões para indenizar vítimas do vazamento de 2023 que expôs dados de cerca de 7 milhões de clientes, incluindo perfis genéticos. Do total, US$ 32,5 milhões irão diretamente aos quase 256 mil reclamantes — valores individuais variam de US$ 50 a US$ 10 mil conforme a severidade do dano — enquanto US$ 14 milhões ficam com a administradora Kroll. A ação original pedia US$ 48 bilhões em danos; o acordo aceito é mais de mil vezes menor.

O que aconteceu

O incidente da 23andMe começou em abril de 2023, quando atacantes usaram credential stuffing para acessar contas individuais e, a partir delas, extrair via o recurso “DNA Relatives” perfis de cerca de 5,5 milhões de usuários — não apenas dos titulares das contas comprometidas, mas de seus parentes mapeados. Mais 14,1 milhões de clientes que usavam o produto Family Tree também tiveram dados acessados. Em outubro de 2023, a empresa confirmou o incidente. Logo depois, lotes da base apareceram em fóruns de cibercrime.

A 23andMe já vinha financeiramente fragilizada antes do ataque — havia esgotado a maior parte do mercado de testes salivares caseiros de DNA. Em março de 2025, a companhia entrou em falência sob o nome Chrome Holding Co. e liquidou a maior parte dos ativos. A fundadora Anne Wojcicki recomprou parte da operação em meio à controvérsia. O fundo de US$ 46,8 milhões agora aprovado encerra a frente civil mais ampla das ações coletivas associadas ao vazamento.

O administrador judicial justificou o valor reduzido com base em decisão prévia do tribunal distrital, que considerou um pré-acordo de US$ 30 milhões “razoável dadas as condições financeiras precárias da empresa”. A alternativa — litigar pelos US$ 48 bilhões originalmente pedidos — exigiria “litígio prolongado e de alto risco por meses ou anos, com discovery extenso e milhões em honorários”, drenando recursos que beneficiariam os próprios stakeholders.

Como o acordo se distribui

• Total do fundo: US$ 46,8 milhões.
• Para vítimas: US$ 32,5 milhões — distribuídos entre aproximadamente 256 mil reclamantes já habilitados.
• Para a administradora Kroll: mais de US$ 14 milhões em honorários de gestão do acordo.
• Faixas de indenização: de US$ 50 (danos menores) até US$ 10 mil (casos mais graves de exposição).
• Valor médio aproximado por reclamante: cerca de US$ 127 — antes da modulação por severidade.

“Litigar o valor maior exporia o espólio a um litígio prolongado e de alto risco — recursos que estariam muito mais bem preservados em benefício dos stakeholders.”

Documentos do tribunal de falências, citados pelo The Record

Quem é afetado

• ~7 milhões de clientes diretamente comprometidos em abril-outubro de 2023.
• 5,5 milhões adicionais mapeados via DNA Relatives — muitos dos quais nunca foram clientes ativos da 23andMe.
• 14,1 milhões de usuários do produto Family Tree.
• Reclamantes habilitados na ação: ~256 mil pessoas.
• Familiares e descendentes daqueles cuja base genética foi exposta — dados imutáveis ao longo da vida.

Análise

O acordo da 23andMe consolida uma jurisprudência preocupante para o consumidor: quando o detentor de dados sensíveis quebra financeiramente, a indenização pelas vítimas se torna função do que sobra na massa falida — não do tamanho do dano. Os US$ 32,5 milhões efetivamente aos vazados representam menos de cinco dólares por cliente original comprometido. Para comparação, a multa recorde de US$ 409 milhões aplicada pela autoridade sul-coreana à Coupang esta semana — proveniente de regime regulatório robusto e empresa solvente — mostra a diferença de ordem de magnitude entre regimes punitivos.

Há um ponto que merece particular atenção do mercado brasileiro: dados genéticos são imutáveis. Diferente de senha, número de cartão ou e-mail, o DNA exposto em 2023 segue exposto em 2026, 2050 e além. As implicações vão de discriminação por seguradoras à reidentificação de familiares que nunca consentiram, passando por uso em investigações forenses e exploração futura por modelos de IA. Nesse contexto, qualquer compensação financeira tem caráter simbólico — não há restituição possível da privacidade biológica.

O caso também serve de teste de estresse para a LGPD. Imagine uma empresa brasileira de testes genéticos que vai à falência após vazamento massivo: o regime atual da ANPD tem mecanismos para garantir indenização adequada, ou veríamos uma “23andMe brasileira” oferecer reais simbólicos em moeda já falida? A resposta provavelmente envolve precedente judicial ainda inexistente — e legisladores deveriam observar o modelo coreano (multa antes da falência, fundo dedicado) como referência.

Recomendações práticas

• Para empresas que coletam dados sensíveis: provisione seguro de responsabilidade cibernética com cobertura de class action, não apenas de incidente operacional.
• Adote autenticação multifator obrigatória em todo recurso de compartilhamento entre contas — o vetor original do ataque à 23andMe foi credential stuffing facilitado pela ausência de MFA.
• Implemente data minimization rigoroso: o recurso DNA Relatives multiplicou em 100x o impacto do vazamento ao conectar perfis sem necessidade técnica.
• Reveja contratos de termos de uso em produtos de saúde, genética e biometria — clientes brasileiros têm direito à explicação clara sobre escopo de compartilhamento.
• Para indivíduos: avalie remover seus dados de serviços de genética caseira; nem todas as empresas oferecem deleção comprovada.
• Para reguladores brasileiros: o caso 23andMe é argumento técnico para discussão de “fundo de garantia” obrigatório em empresas que tratam dados sensíveis em escala — modelo análogo ao FGC bancário.

Fonte: The Record