ICO publica la decisión final al caso 23andMe
La ICO, autoridad inglesa de protección de datos, ha emitido su decisión final en el caso contra 23andMe, multando a la compañía con £2.31 millones.
En 2023, la empresa pasó por un ataque hacker que afectó a 155,592 residentes del Reino Unido, y expuso información altamente sensible de los usuarios, incluyendo nombres, años de nacimiento, ubicación aproximada, imágenes de perfil, raza, etnia, árboles genealógicos y reportes de salud.
Justamente por la naturaleza de los servicios ofrecidos por 23andMe—análisis genéticos mediante kits de saliva—la compañía maneja datos especialmente delicados, lo cual exige estándares de seguridad altos (la ICO tiene publicada una Guía de las principales medidas de seguridad a tener en cuenta en un tratamiento de datos personales).
La investigación de la ICO identificó fallos graves, concretamente en los sistemas de autenticación y verificación. La empresa no implementó medidas básicas como autenticación multifactor obligatoria, protocolos seguros de contraseñas o nombres de usuario impredecibles. Aunque las primeras actividades sospechosas comenzaron en abril de 2023, 23andMe no inició una investigación exhaustiva hasta octubre, cuando un empleado descubrió que los datos robados estaban siendo vendidos en Reddit.
Inicialmente, en marzo de 2025, la ICO había propuesto una multa de £4.59 millones, pero este mes la autoridad publicó la sanción definitiva, reducida a £2.31 millones. El caso refuerza la importancia de que las empresas que tratan datos sensibles implementen medidas de ciberseguridad sólidas y respondan de manera diligente ante incidentes.
El caso de 23andMe no se trata de un caso aislado. El tema de las brechas de seguridad suele ser bastante acompañado por las autoridades de protección de datos, y casi todos los meses hay alguna sanción relevante.
En España, la AEPD ha sancionado a ALVEA SOLUCIONES TECNOLÓGICAS con 35.000 euros por compartir datos personales —nombres y números de identificación— sin consentimiento, a través de una hoja de cálculo de Google con enlace público. Además, el almacenamiento prolongado de estos datos incrementó el importe de la multa. Solo en junio, dos decisiones adicionales han sido destacadas en medios especializados.
En Italia, el Garante ha impuesto una multa de 30.000 euros a la asociación Psychologists of Lombardy, debido a la falta de medidas de seguridad que permitió un acceso no autorizado, el cifrado malicioso de los datos y la eliminación de copias de seguridad, incluyendo datos sensibles. La autoridad italiana enfatizó la importancia crítica de establecer sistemas sólidos de respaldo para garantizar la disponibilidad y recuperación de la información.