Caso 23andMe e a mercantilização da privacidade

Imagine o cenário: uma empresa de testes genéticos, que detém informações sobre sua ancestralidade, predisposições a doenças e até traços comportamentais, declara falência. E, no meio do turbilhão jurídico, um juiz autoriza a venda desses dados como um ativo qualquer da massa falida. Parece enredo de ficção científica distópica, não é? Pois bem, essa é a realidade do caso 23andMe, que em março de 2025 expôs a fragilidade dos modelos de proteção de dados diante da crescente complexidade e sensibilidade das informações genéticas.

A transformação do DNA em um ativo negociável, em um cenário de recuperação judicial, nos força a questionar os próprios fundamentos da dignidade humana na era digital e a urgência de uma reflexão aprofundada sobre os princípios transnacionais que devem reger a proteção de dados em um mundo cada vez mais interconectado.

No caso 23andMe, o papel da Federal Trade Commission e do tribunal de falências foi relevante ao mesmo tempo que revelou as limitações estruturais do modelo regulatório norte-americano. A FTC buscou assegurar que qualquer alienação de dados permanecesse vinculada à política de privacidade originalmente pactuada com os consumidores. A medida, à primeira vista protetiva, revela-se insuficiente: a simples transferência para um novo controlador, com interesses econômicos distintos, já rompe o vínculo de confiança e altera substancialmente o contexto do tratamento, com o possível esvaziamento da validade do consentimento inicial. Em síntese: preserva-se a forma, mas não a substância da proteção de dados.

O déficit protetivo não é novo. Já em 2000, no caso Toysmart.com, dados de consumidores foram colocados à venda em um processo de falência e tratados como ativos negociáveis, ainda que limitados a hábitos de consumo. A 23andMe repete essa lógica em escala mais grave: o processo de reestruturação, conduzido sob supervisão da Kroll, listou os bancos de DNA ao lado de marcas e propriedades intelectuais, sem qualquer salvaguarda ética ou normativa sobre a sensibilidade do conteúdo, naturalizando sua inserção em circuitos de negociação financeira.

Nesse contexto, a disputa entre a Regeneron Pharmaceuticals e o TTAM Research Institute pela aquisição dos dados explicitou o grau de interesse econômico envolvido em bancos genômicos e a força de players corporativos na definição dos rumos da privacidade genética. O que está em jogo não é apenas a continuidade de um serviço de testes de ancestralidade, mas a apropriação de um repositório de informações existenciais com valor científico, comercial e até especulativo incalculável.

Fragilidade dos modelos regulatórios em contexto transnacional

O caso 23andMe longe de ser um mero acidente de percurso, mostra-se como o sintoma claro da fragilidade inerente a modelos de proteção de dados que não conseguem acompanhar a complexidade e a sensibilidade dos dados, aqui genéticos, em um cenário globalizado.

Spacca

Diferentemente de outras jurisdições, como a europeia com seu GDPR (General Data Protection Regulation) ou a brasileira com a LGPD (Lei Geral de Proteção de Dados Pessoais, Lei 13.709/2018), o modelo norte-americano, onde o caso se desenrolou, opera sob um regime fragmentado, setorial, que se mostra inadequado para lidar com essa realidade. A ausência de uma lei federal geral, somada ao caráter fragmentado e setorial das regulações existentes, cria lacunas que o mercado, em sua voracidade, não hesita em explorar

A lacuna regulatória permitiu que os dados fossem tratados como ativos patrimoniais comuns, negociáveis no processo falimentar sem que se verificasse a compatibilidade com princípios fundamentais de privacidade. O contraste é evidente: se a falência envolvesse um hospital, os prontuários estariam submetidos à Health Insurance Portability and Accountability Act (Hipaa), que protege dados de saúde no contexto médico-hospitalar. Mas, como a 23andMe não é formalmente prestadora de saúde e sim de “testes genômicos de consumo”, seus bancos genéticos ficaram em uma zona cinzenta regulatória.

Nos Estados Unidos, o que existe são normas setoriais: a Children’s Online Privacy Protection Act (Coppa), restrita à coleta de informações de crianças menores de 13 anos; e a atuação da FTC, limitada a práticas enganosas ou abusivas. Nenhuma dessas fontes foi desenhada para enfrentar a realidade de um biobanco genético em falência, onde a venda de dados se torna uma possibilidade real e preocupante.

É nesse vácuo regulatório que a discussão sobre os princípios transnacionais da proteção de dados ganha relevância, especialmente em face dos efeitos mundiais.

Os princípios transnacionais como freio à mercantilização dos dados genéticos

A noção de transnacionalidade [1] oferece uma chave interpretativa decisiva para compreender a complexidade do caso. Trata-se de um espaço jurídico que se projeta além das fronteiras estatais e das instâncias tradicionais do direito internacional, caracterizado pela atuação simultânea de múltiplos players: corporações globais, organismos regulatórios, entidades de pesquisa, fundos de investimento e até tribunais nacionais cujas decisões irradiam efeitos globais.

Nesse ambiente híbrido, as normatividades emergem em rede, sem hierarquia definida, frequentemente guiadas mais por interesses econômicos do que por compromissos com a dignidade humana. É nesse terreno que a transformação de bancos genéticos em ativos patrimoniais se torna possível: a lógica de mercado captura informações íntimas e sensíveis, como o DNA, e as insere em circuitos de negociação financeira, expondo a insuficiência de marcos jurídicos domésticos fragmentados.

Diante dessa realidade, impõe-se a análise de princípios transnacionais de proteção de dados, capazes de frear a mercantilização da privacidade genética e de reorientar o eixo regulatório para a centralidade da pessoa humana em uma sociedade globalizada e hiperconectada.

Os princípios transnacionais de proteção de dados não surgem como comandos legislativos positivados em um único ordenamento, mas como consensos normativos emergentes de múltiplos espaços de deliberação. Eles derivam de tratados internacionais, convenções de direitos humanos, soft law produzida por organismos multilaterais, resoluções de tribunais constitucionais e cortes internacionais, práticas de compliance corporativo e diretrizes emanadas de órgãos de regulação setorial. O que os caracteriza é justamente o fato de não dependerem de um Estado soberano para se afirmarem, mas de se consolidarem em um processo policêntrico, no qual diferentes atores — estados, empresas, sociedade civil organizada, academia e organismos internacionais — disputam a definição dos contornos da proteção de dados.

Nesse sentido, pode-se dizer que tais princípios não são “dados”, mas “construídos”. Eles surgem da necessidade prática de dar resposta a problemas que ultrapassam fronteiras nacionais, como o fluxo global de dados genéticos, e acabam por sedimentar uma gramática comum de proteção, que depois é apropriada e positivada em legislações domésticas, como se observa na GDPR e na LGPD. A legitimidade desses princípios decorre menos da autoridade formal de quem os edita e mais da sua capacidade de gerar convergência normativa em escala global, funcionando como padrões mínimos de governança.

Entre eles, destaca-se o princípio da dignidade humana, que impõe a centralidade da pessoa sobre qualquer lógica patrimonialista; o princípio da autodeterminação informacional, que exige o consentimento livre, informado e renovado sempre que houver alteração substancial da finalidade do tratamento; o princípio da precaução, indispensável diante da irreversibilidade dos riscos relacionados ao uso de dados genéticos; o princípio da transparência, que impõe deveres claros de informação sobre a circulação e a destinação dos dados; e o princípio da não discriminação, voltado a impedir que informações genéticas sejam utilizadas para segregar, excluir ou estigmatizar indivíduos e grupos. A eles soma-se o princípio da responsabilidade objetiva e solidária dos agentes econômicos, essencial em um ecossistema transnacional onde a fragmentação de responsabilidades favorece a impunidade.

A aplicação desses princípios no plano transnacional se dá em múltiplos níveis. No campo judicial, orientam decisões de cortes nacionais e internacionais que se veem diante de casos em que dados atravessam fronteiras ou em que há conflito entre legislações. No plano regulatório, funcionam como balizas para autoridades de proteção de dados na cooperação internacional e na harmonização de procedimentos. No âmbito corporativo, obrigam players privados a internalizar padrões de proteção para operar em diferentes mercados. E, no espaço político, informam a negociação de tratados e acordos multilaterais, convertendo-se em cláusulas de referência para impedir retrocessos.

Assim, quando aplicados ao contexto da 23andMe, esses princípios atuariam como travas normativas: impedindo que dados genéticos sejam alienados em massa como ativos financeiros, impondo o dever de renovação de consentimento em qualquer cessão de controlador, estabelecendo mecanismos de auditoria internacional sobre a destinação dos bancos de dados e vedando usos discriminatórios mesmo quando autorizados por tribunais domésticos. Em outras palavras, funcionariam como freios transnacionais à lógica mercantilista, recolocando a dignidade humana no centro do debate jurídico.

Em última análise, o caso 23andMe para além de desvelar as vulnerabilidades de modelos regulatórios fragmentados, projeta a urgência de consolidar uma arquitetura transnacional de proteção de dados. A aplicação uniforme dos princípios em disputas, que envolvem players globais e bancos de dados sensíveis, constitui a definição de salvaguardas jurídica, mas uma exigência ética de resgate da centralidade da pessoa humana em meio à voracidade do mercado. O DNA não pode ser reduzido a um ativo financeiro: é patrimônio existencial e inalienável da própria condição humana.

Referências

23ANDME HOLDING CO. Restructuring administration cases. Kroll, 2025. Disponível aqui.

ALDER, Steve. Bankruptcy Court Approves Sale of 23andMe. HIPAA Journal, 7 jul. 2025. Disponível aqui.

COLZANI, Ana Luiza. The protection of children’s data for commercial purposes in brazil from transnational standards. 2022. Tese (Doutorado em Ciência Jurídica) – Universidade do Vale do Itajaí e Widener University – Delaware Law School, Itajaí, 2022.

CRUZ, Paulo Márcio; OLIVIERO, Maurizio. Fundamentos de Direito Transnacional. ROSA, Alexandre Morais da; STAFFEN, Márcio Ricardo. Direito Global: Transnacionalidade e Globalização Jurídica. Itajaí: Univali, p. 33-49, 2013.

TeachPrivacy. Bankruptcy Sale of DNA Data: From Toysmart to 23andMe. Disponível aqui.

[1] A noção de transnacionalidade utilizada neste artigo segue a linha de pesquisa desenvolvida no Programa de Pós-Graduação em Ciência Jurídica da Universidade do Vale do Itajaí (PPCJ/Univali).