Meio milhão de britânicos inscreveram-se para ajudar a curar o cancro. Os seus dados acabaram por ser colocados à venda no Alibaba.
A instituição de caridade UK Biobank informou o governo britânico de um incidente relacionado com a colocação à venda, no site de comércio eletrónico chinês Alibaba, de dados médicos pertencentes a 500 000 cidadãos britânicos.
A Provedora Nacional de Proteção de Dados, Dra. Nicola Byrne, afirmou num comunicado:
«As pessoas que generosamente partilham os seus dados de saúde para beneficiar outros através da investigação médica esperam, com razão, que esses dados sejam mantidos em segurança e que haja responsabilização quando algo corre mal.»
As autoridades afirmaram que os investigadores descarregaram os dados ao abrigo de um contrato legítimo, mas o facto de estes terem aparecido no Alibaba demonstra como um acesso «autorizado» pode, ainda assim, resultar na divulgação pública.
O UK Biobank possui mais de 15 milhões de amostras biológicas e registos de saúde detalhados de voluntários recrutados entre 2006 e 2010, e investigadores de todo o mundo utilizam-no para estudar o cancro, a demência, a diabetes e outras doenças crónicas.
O UK Biobank costuma celebrar contratos com universidades e empresas privadas previamente avaliadas antes de lhes permitir o acesso aos dados, mas os investigadores conseguiram rastrear os anúncios no Alibaba até três instituições de investigação. O UK Biobank revogou o acesso destas instituições e suspendeu o acesso a novos dados enquanto reforça os controlos de segurança.
Segundo relatos, pelo menos um anúncio continha dados sobre todos os 500 000 voluntários, e a Alibaba e as autoridades chinesas retiraram os anúncios antes que alguém pudesse confirmar a venda.
O conjunto de dados provém da coorte de investigação de longa duração do UK Biobank e inclui sequências genéticas, amostras de sangue, imagens médicas e informações detalhadas sobre o estilo de vida, utilizadas para investigação na área da saúde a nível mundial.
O UK Biobank salienta que os dados foram «anonimizados», o que significa que não incluíam nomes, moradas nem números do Serviço Nacional de Saúde (NHS). No entanto, continham ainda dados demográficos detalhados, tais como sexo, idade, mês e ano de nascimento, indicadores socioeconómicos, informações sobre o estilo de vida e indicadores de saúde. Temos constatado repetidamente que esses dados podem ser associados novamente a indivíduos através do cruzamento com outros registos públicos ou comerciais.
Por que é que a China se preocupa
Os relatórios dos serviços secretos, os documentos políticos e os estudos académicos dos EUA apresentam um quadro coerente: a China encara os grandes e diversificados conjuntos de dados genómicos e de saúde como um recurso estratégico, tanto por razões económicas como de segurança.
O Centro Nacional de Contra-espionagem e Segurança (NCSC) dos EUA afirma explicitamente que a República Popular da China considera os dados genómicos e de saúde em massa como uma «mercadoria estratégica» para impulsionar as suas indústrias de biotecnologia, inteligência artificial e medicina de precisão, e que investiu milhares de milhões em iniciativas nacionais nas áreas da genómica e da medicina de precisão.
Os grandes conjuntos de dados provenientes de populações não chinesas são particularmente valiosos para a criação de modelos de IA e para melhorar a competitividade comercial global das empresas farmacêuticas e de biotecnologia chinesas.
Do ponto de vista de um atacante ou de serviços de inteligência estrangeiros, o UK Biobank é um ativo de «grande valor»: trata-se de um conjunto de dados cuidadosamente selecionado, de alta qualidade, à escala populacional e muito mais útil do que dados obtidos aleatoriamente em violações de segurança. E como os dados genéticos são imutáveis (ao contrário de uma palavra-passe, não podem ser substituídos), qualquer violação tem uma utilidade de inteligência a muito longo prazo.
No ano passado, o Guardian noticiou que um em cada cinco pedidos de acesso ao UK Biobank que foram aprovados provinha de entidades chinesas, incluindo a BGI, a principal empresa de genómica da China, que foi posteriormente incluída na Lista de Entidades dos EUA devido a preocupações quanto ao seu papel na vigilância de populações minoritárias.
A China não está apenas a armazenar ADN por mera curiosidade. Está a construir um mapa genómico global que abrange tanto os seus adversários como os seus próprios cidadãos.
Os seus dados genómicos
Tem havido grandes preocupações quanto ao facto de os dados genéticos poderem cair nas mãos erradas, e com razão. Mas não vou dizer que disponibilizar voluntariamente os seus dados médicos para investigação seja algo negativo. Os investigadores costumam dar um bom uso a esses dados para ajudar outras pessoas.
Mas há algumas perguntas importantes a fazer antes de o fazer.
- Quem gere o projeto e onde está sediado?
Prefiro biobancos sem fins lucrativos ou académicos, com mandatos claros de interesse público e uma supervisão rigorosa, em vez de intermediários de dados comerciais opacos. - Como é que eles armazenam os dados recolhidos?
Pergunte especificamente sobre dados genómicos, ficheiros de sequenciação em bruto, ligações a registos médicos e se os dados são encriptados tanto em repouso como em trânsito. - Quem pode aceder aos dados e sob que medidas de controlo?
Procure uma comissão de acesso formal, contratos rigorosos e medidas de controlo técnico, como ambientes de análise seguros e opções de exportação limitadas, e não modelos do tipo «baixar o CSV e pronto», como o que permitiu o incidente do UK Biobank. - As entidades estrangeiras estão autorizadas a aceder ou a copiar os dados?
Tendo em conta os alertas dos governos dos EUA e do Reino Unido sobre o acesso chinês aos dados genómicos ocidentais, é legítimo questionar se os dados podem ser acedidos, processados ou armazenados em jurisdições com diferentes padrões de segurança. - Como é que eles lidam com o risco de reidentificação?
Como já discutimos, «anonimizado» não é uma palavra mágica. Privacy e os serviços de inteligência dos EUA alertaram que os dados de saúde e genómicos podem, muitas vezes, ser reidentificados quando combinados com outros conjuntos de dados.
Se os dados que contêm o seu ADN estiverem nas mãos de outra pessoa, não poderá recuperá-los, mas pode exigir uma melhor gestão e pressionar as instituições para que tratem os dados genómicos como informação sensível, ao nível da segurança nacional.
É também necessário ter mais cautela em relação a esquemas fraudulentos altamente direcionados. Os atacantes podem utilizar grandes conjuntos de dados combinados para criar esquemas convincentes de spear-phishing ou relacionados com a saúde, por exemplo, contactando-o sobre uma doença específica que você ou um membro da sua família tenha. Trate com especial cautela os e-mails, chamadas e aplicações não solicitados relacionados com a saúde ou com o ADN.
O que os cibercriminosos sabem sobre si?
Use a verificação gratuita Digital Footprint Malwarebytes para ver se as suas informações pessoais foram expostas online.
