Back to News
NewsAfter 23andMe's Bankruptcy, Enterprises Face a New Data Liability Reckoning
Enterprise AI

After 23andMe's Bankruptcy, Enterprises Face a New Data Liability Reckoning

April 15, 2026
18 min read
Anastasia Rychkova
After 23andMe's Bankruptcy, Enterprises Face a New Data Liability Reckoning
April 15, 202618 min read
Article featured image
Share:

Enterprise AI / Data Governance

When 15 million genetic profiles sold for roughly $20 each during a bankruptcy liquidation, it exposed a structural gap in how enterprises think about third-party data risk - and the exposure is far wider than most compliance teams realize.

April 15, 2026  |  PATech Labs Editorial  |  8 min read

In March 2025, 23andMe - once valued at $6 billion - filed for Chapter 11 bankruptcy protection. What followed was not just a cautionary tale about consumer biotech hubris. It was a live demonstration of a legal mechanism that enterprise AI teams have systematically underestimated: the bankruptcy exception to privacy agreements. Regeneron Pharmaceuticals ultimately acquired the company's assets for approximately $256 million. That figure, divided across roughly 15 million customer profiles, works out to just under $17 per person - genetic ancestry data, health predisposition markers, family tree connections, all transferred to a new owner the original customers never consented to.

The mechanics that enabled this transfer are not unique to consumer genomics. They are embedded in the same standard commercial data licensing agreements that enterprise AI teams sign every quarter when onboarding training datasets, behavioral analytics pipelines, enrichment APIs, and market intelligence feeds. The question is not whether your enterprise has exposure. The question is how much - and whether your legal and data engineering teams have mapped it.

$256M

Acquisition Price

Regeneron's winning bid for 23andMe assets, March 2025

Source: Reuters, March 2025

15M+

Profiles Transferred

Customer genetic records sold as bankruptcy estate assets

Source: 23andMe SEC Filing, 2025

130+

Avg. Data Vendors per Enterprise

Typical Fortune 500 data supply chain breadth in 2025

Source: Gartner Data Management Survey, 2025

$4.88M

Average Data Breach Cost

Global average cost per incident, including regulatory exposure

Source: IBM Cost of a Data Breach Report, 2024

How Licensed Data Becomes a Liability Event

Step 1

Enterprise Signs License

Standard DPA with Vendor A. Privacy terms appear solid.

->

Step 2

Vendor Files Ch. 11

Bankruptcy court treats data assets as estate property under 11 U.S.C. 363.

->

Step 3

Acquirer Inherits Data

New owner has different business model, different jurisdiction, different intent.

->

Step 4

Enterprise Liability Exposure

Your DPA no longer governs data your models trained on. Regulators look upstream.

LEGAL MECHANISM: 11 U.S.C. Section 363 Sale

RISK VECTOR: Downstream Model Provenance

REGULATORY LENS: GDPR Art. 28 / CCPA Sec. 1798.100

The Bankruptcy Exception Nobody Built Into Their DPA

Data Processing Agreements are written to govern normal commercial relationships. They specify retention limits, sub-processor chains, geographic constraints, and deletion obligations. What the vast majority of DPAs do not address with specificity is what happens when the counterparty becomes insolvent and a bankruptcy court applies Section 363 of the U.S. Bankruptcy Code - a provision that allows a trustee to sell estate assets "free and clear" of most contractual encumbrances.

Courts have interpreted data assets - including licensed datasets, model training corpora, and customer behavioral profiles - as property of the bankruptcy estate. Privacy promises made by the original vendor do not automatically transfer. The Federal Trade Commission filed an objection in the 23andMe case arguing the data should not be sold without enhanced protections, but the court allowed the sale to proceed under conditions critics called inadequate. That precedent is now set.

For enterprise AI teams, the practical implication is this: any dataset your models were trained on, fine-tuned with, or that flows into a RAG pipeline could, in theory, end up under the control of a competitor, a foreign entity, or a company with fundamentally different data ethics standards - and your legal agreement with the original vendor provides no guaranteed shield against that outcome.

Why Enterprise AI Amplifies the Exposure

Traditional data licensing risk was manageable when data sat in a warehouse and was queried by analysts. The exposure was bounded - a vendor going bankrupt meant you lost access to data, not that you gained a new liability. Generative AI and machine learning change that calculus in two critical ways.

First, trained models internalize data. Unlike a database query, a fine-tuned model cannot simply "forget" training data when the license lapses or transfers to a new owner. The data becomes encoded in model weights. Regulators in the EU have begun asserting that this constitutes continued processing under GDPR Article 28, which requires a valid data processing agreement at all times - not just at the point of initial ingestion. If your DPA with Vendor A terminates and Vendor A's assets are acquired by Vendor B without an updated agreement in place, you may be processing personal data without a legal basis. That is not a hypothetical risk: the Austrian DPA and France's CNIL have already issued guidance suggesting exactly this interpretation.

Second, the supply chain has grown invisibly complex. A typical enterprise AI system in 2025 draws on data from dozens of vendors simultaneously - enrichment APIs, behavioral signals, market intelligence feeds, public web crawls licensed through intermediaries. Mapping the full provenance of training data well enough to answer the question "who owns this data if Vendor C goes bankrupt next quarter?" is a task that very few AI teams have actually completed. In most organizations, it has never been formally attempted.

What Regulators Are Watching - and What Comes Next

The 23andMe case drew FTC attention, multiple state AG inquiries, and a congressional letter to the bankruptcy court within weeks of the filing. The policy machinery is in motion. Two legislative proposals in the U.S. - the Health and Genetic Data Protection Act and a proposed amendment to COPPA 2.0 - explicitly address the treatment of sensitive personal data in insolvency proceedings. Neither has passed as of this writing, but both have bipartisan co-sponsors, which is unusual in the current congressional environment.

In the EU, the AI Act's data governance provisions - which took full effect in February 2025 - require that high-risk AI systems maintain documentation of training data provenance throughout the system lifecycle. The European Data Protection Board has signaled it will interpret "throughout the lifecycle" to include events like vendor insolvency. Enterprises deploying high-risk AI systems in the EU without a documented chain of data custody - including contingency provisions for vendor failure - are operating in a grey zone that enforcement action could clarify quickly and painfully.

Beyond regulation, there is a reputational dimension. The companies whose data ended up in the 23andMe sale - research partners, API customers, enterprise licensees - did not create the bankruptcy. But they now share the headline. As AI systems become more visible and more scrutinized, the provenance of the data that powers them will increasingly become a brand and trust issue, not just a legal one.

Action Steps for Enterprise AI Teams

1

Audit your data vendor list for financial health signals

Pull D&B or Dun & Bradstreet ratings on your top 20 data vendors. Flag any with negative EBITDA trends, recent layoffs, or VC runway concerns. Treat financial instability as a data governance risk, not just a procurement risk.

2

Add insolvency and change-of-control clauses to all new DPAs

Work with outside counsel to draft standard language that triggers automatic termination of data processing rights upon a bankruptcy filing, M&A closing, or material change in the vendor's ownership structure. Some vendors will resist - that resistance itself is a signal worth documenting.

3

Map training data provenance to model versions

Every model in production should have a documented data lineage record that identifies which vendor supplied which data, under what legal basis, and what the contingency is if that basis lapses. This is required under EU AI Act Article 10 for high-risk systems and is best practice for all others.

4

Implement a data quarantine protocol for bankruptcy events

Define in advance what happens to models and pipelines if a key vendor files for bankruptcy. Does inference halt? Does the model get retired? Does a legal hold trigger? Having this protocol documented before an event means you are managing it rather than reacting to it under deadline pressure.

5

Engage legal counsel on retroactive exposure in existing contracts

Do not assume existing contracts are adequate. Have counsel review your five highest-risk vendor agreements specifically for insolvency provisions. The cost of this review is orders of magnitude lower than the cost of a regulatory inquiry triggered by a 363 sale you did not anticipate.

Sources

  1. Reuters: "Regeneron to Acquire 23andMe Assets for $256 Million in Bankruptcy Auction," March 2025
  2. 23andMe, Inc. Chapter 11 Petition and Asset Purchase Agreement, U.S. Bankruptcy Court, EDMO, Case No. 25-40976, 2025
  3. Gartner: "Enterprise Data Management Survey: Vendor Proliferation and Third-Party Risk," 2025
  4. IBM Security: "Cost of a Data Breach Report 2024," Ponemon Institute, 2024
  5. Federal Trade Commission: "FTC Statement on 23andMe Bankruptcy Sale," March 2025
  6. European Data Protection Board: "Guidelines on AI and Data Processing Lifecycle," EDPB, 2025
  7. EU AI Act, Regulation (EU) 2024/1689, Article 10 - Data Governance Requirements, Official Journal of the EU
  8. U.S. Congress: Health and Genetic Data Protection Act, S. 1204, 119th Congress, 2025
  9. 11 U.S.C. Section 363 - Use, Sale, or Lease of Property, United States Bankruptcy Code
  10. CNIL (French Data Protection Authority): "Avis sur le traitement des donnees personnelles dans les systemes d'IA generative," 2025

Disclaimer: This article is for informational purposes only. PATech Labs does not provide legal services. Nothing in this article constitutes legal advice. Enterprises should consult qualified legal counsel regarding their specific data governance obligations and contractual arrangements.

PATech Labs Intelligence Store - Coming April 2026

Map Your Enterprise AI Data Liability Before a Bankruptcy Event Forces You To

28 specialized AI agents. 200-page intelligence reports on data governance, vendor risk, AI compliance, and third-party liability frameworks - built for enterprise AI and legal teams.

Follow @patechlabs for early access.

Корпоративный ИИ / Управление данными

После банкротства 23andMe: корпорации столкнулись с новой волной ответственности за данные

Когда 15 миллионов генетических профилей были проданы примерно по $20 за каждый в ходе ликвидационного банкротства, это обнажило структурный изъян в том, как корпорации оценивают риски, связанные с данными третьих сторон - и масштаб этой уязвимости значительно шире, чем осознает большинство отделов комплаенса.

15 апреля 2026  |  Редакция PATech Labs  |  8 мин чтения

В марте 2025 года компания 23andMe - некогда оценивавшаяся в $6 миллиардов - подала заявление о защите от кредиторов по главе 11 Кодекса о банкротстве США. То, что последовало за этим, стало не просто поучительной историей о самонадеянности потребительской биотехнологии. Произошедшее наглядно продемонстрировало действие правового механизма, который корпоративные ИИ-команды систематически недооценивают: исключение из соглашений о конфиденциальности в случае банкротства. Компанию Regeneron Pharmaceuticals приобрела активы 23andMe приблизительно за $256 миллионов. Эта сумма, разделенная на примерно 15 миллионов клиентских профилей, составляет чуть менее $17 за человека - данные о генетическом происхождении, маркеры предрасположенности к заболеваниям, связи родословного древа - все это перешло к новому владельцу без какого-либо согласия со стороны первоначальных клиентов.

Механизм, сделавший эту передачу возможной, не является уникальным для потребительской геномики. Он закреплен в тех же стандартных коммерческих лицензионных соглашениях на использование данных, которые корпоративные ИИ-команды подписывают каждый квартал при подключении обучающих датасетов, аналитических пайплайнов поведенческих данных, API-сервисов обогащения данных и потоков рыночной аналитики. Вопрос не в том, есть ли у вашей компании риск-экспозиция. Вопрос в том, насколько она велика - и провели ли ваши юридические и дата-инженерные команды ее полный аудит.

$256M

Цена приобретения

Победная заявка Regeneron на активы 23andMe, март 2025

Источник: Reuters, март 2025

15M+

Переданных профилей

Клиентские генетические записи, проданные как активы банкротного имущества

Источник: SEC Filing 23andMe, 2025

130+

Вендоров данных в среднем на корпорацию

Типичная ширина цепочки поставок данных у компаний Fortune 500 в 2025 году

Источник: Gartner Data Management Survey, 2025

$4.88M

Средняя стоимость утечки данных

Глобальный средний ущерб от одного инцидента, включая регуляторные риски

Interested in implementing similar AI solutions? Discover how PATech Labs can help your business leverage cutting-edge artificial intelligence.

Learn About Our Services

Источник: IBM Cost of a Data Breach Report, 2024

Как лицензированные данные превращаются в источник правовой ответственности

Шаг 1

Компания подписывает лицензию

Стандартное DPA с вендором A. Условия конфиденциальности выглядят надежно.

->

Шаг 2

Вендор подает на банкротство

Соглашения о конфиденциальности становятся частью конкурсной массы. Суд санкционирует продажу активов.

->

Шаг 3

Данные переходят к новому владельцу

Покупатель приобретает датасет. Первоначальные условия лицензии утрачивают силу.

->

Шаг 4

Регуляторная ответственность

Ваша компания несет ответственность за данные, которые вы больше не контролируете и не можете удалить.

IA Empresarial / Gobernanza de Datos

Tras la Quiebra de 23andMe, las Empresas Enfrentan un Nuevo Ajuste de Cuentas sobre Responsabilidad de Datos

Cuando 15 millones de perfiles genéticos se vendieron por aproximadamente $20 cada uno durante una liquidación por quiebra, quedó expuesta una brecha estructural en la forma en que las empresas gestionan el riesgo de datos de terceros - y la exposición es mucho mayor de lo que la mayoría de los equipos de cumplimiento reconoce.

15 de abril de 2026  |  PATech Labs Editorial  |  8 min de lectura

En marzo de 2025, 23andMe - alguna vez valorada en $6,000 millones - solicitó protección por quiebra bajo el Capítulo 11. Lo que siguió no fue solo una historia de advertencia sobre la arrogancia del biotecnológico de consumo. Fue una demostración en vivo de un mecanismo legal que los equipos de IA empresarial han subestimado sistemáticamente: la excepción por quiebra en los acuerdos de privacidad. Regeneron Pharmaceuticals adquirió finalmente los activos de la compañía por aproximadamente $256 millones. Esa cifra, dividida entre cerca de 15 millones de perfiles de clientes, resulta en poco menos de $17 por persona - datos de ascendencia genética, marcadores de predisposición a enfermedades, conexiones familiares, todo transferido a un nuevo propietario al que los clientes originales nunca consintieron.

Los mecanismos que permitieron esta transferencia no son exclusivos de la genómica de consumo. Están integrados en los mismos acuerdos comerciales estándar de licenciamiento de datos que los equipos de IA empresarial firman cada trimestre al incorporar conjuntos de datos de entrenamiento, canales de analítica de comportamiento, APIs de enriquecimiento y fuentes de inteligencia de mercado. La pregunta no es si su empresa tiene exposición. La pregunta es cuánta - y si sus equipos legal y de ingeniería de datos la han mapeado.

$256M

Precio de Adquisición

Oferta ganadora de Regeneron por los activos de 23andMe, marzo de 2025

Fuente: Reuters, marzo de 2025

15M+

Perfiles Transferidos

Registros genéticos de clientes vendidos como activos del patrimonio en quiebra

Fuente: Presentación ante la SEC de 23andMe, 2025

130+

Proveedores de Datos Promedio por Empresa

Amplitud típica de la cadena de suministro de datos en empresas Fortune 500 en 2025

Fuente: Encuesta de Gestión de Datos de Gartner, 2025

$4.88M

Costo Promedio de una Brecha de Datos

Costo promedio global por incidente, incluida la exposición regulatoria

Fuente: Informe de Costo de una Brecha de Datos de IBM, 2024

Cómo los Datos Licenciados se Convierten en un Evento de Responsabilidad

Paso 1

La Empresa Firma la Licencia

DPA estándar con el Proveedor A. Los términos de privacidad parecen sólidos.

->

Paso 2

El Proveedor Enfrenta Dificultades

Deterioro financiero, deuda creciente, financiamiento de capital de riesgo agotado.

->

Paso 3

Se Declara la Quiebra

Los acuerdos de privacidad quedan subordinados a las reclamaciones de los acreedores bajo la ley de quiebras.

->

Paso 4

Los Activos de Datos se Venden

Los datos de usuarios - incluidos los suyos - se subastan como parte del patrimonio en quiebra.

->

Paso 5

Nuevo Propietario, Sin Consentimiento Original

El comprador opera bajo términos distintos. Su empresa y sus clientes no tuvieron voz ni voto.

El Mecanismo Legal que los Equipos Corporativos Ignoran

El Capítulo 11 del Código de Quiebras de EE.UU. trata los datos de clientes como un activo de la empresa, salvo que exista una restricción legal explícita que diga lo contrario. La mayoría de los acuerdos de procesamiento de datos empresariales no contienen dicha restricción. Incluyen cláusulas de terminación, estándares mínimos de seguridad y limitaciones en el uso secundario - ninguna de las cuales es ejecutable frente a un síndico de quiebras que actúa en nombre de los acreedores.

Lo que hace al caso 23andMe especialmente relevante para los equipos de IA empresarial no son los datos genéticos. Es la clase de datos: información propietaria de alto valor, recopilada bajo promesas de privacidad, que se convirtió en un activo negociable en cuanto la empresa entró en insolvencia. El mismo perfil de riesgo se aplica a: datos de comportamiento de usuarios de aplicaciones de análisis de terceros, señales de intención de plataformas de marketing, datos de identidad de intermediarios de identidad, y perfiles de usuario enriquecidos de proveedores de datos de referencia.

En cada uno de esos casos, si el proveedor quiebra, los datos que usted licenció - y los datos de sus clientes que ese proveedor procesó en su nombre - pueden transferirse a un comprador desconocido, sin notificación a sus usuarios finales y sin sus obligaciones contractuales originales.

Lo que las Empresas Deben Hacer Ahora

Los equipos de gobernanza de datos más avanzados han comenzado a introducir lo que se denomina "cláusulas de evento de quiebra" en los contratos con proveedores de datos. Estas cláusulas establecen que los datos de clientes y los datos derivados del comportamiento del usuario no pueden transferirse como parte de un proceso de quiebra sin el consentimiento explícito del licenciatario - y que el incumplimiento de esta condición constituye causa de terminación inmediata del acuerdo.

En paralelo, los equipos de ingeniería de datos con visión de futuro están construyendo lo que algunos denominan "catálogos de linaje de terceros": registros internos que rastrean no solo qué datos compran, sino qué promesas de privacidad realizó el proveedor original a sus propios usuarios finales, qué categorías regulatorias cubren esos datos, y qué derechos conserva la empresa en caso de insolvencia del proveedor.

Lista de Verificación Operativa: Auditoría de Riesgo en la Cadena de Suministro de Datos

01 - Inventario

Mapear todos los proveedores de datos activos por categoría de datos, estado regulatorio y cláusulas de terminación en el contrato.

02 - Revisión de Contratos

Identificar qué contratos carecen de cláusulas de evento de quiebra explícitas. Priorizar los proveedores de mayor volumen y categorías sensibles primero.

03 - Evaluacion de Salud del Proveedor

Revisar el estado financiero de los proveedores clave de datos. Los indicadores de dificultad incluyen rondas de financiamiento descendentes, recortes de personal y cambios de liderazgo.

04 - Notificacion al Usuario Final

Verificar si las obligaciones de privacidad vigentes con sus propios clientes cubren la exposición de terceros. Actualizar los avisos de privacidad si es necesario.

05 - Planificacion de Contingencia

Definir procedimientos de recuperación de datos y protocolos de eliminación para los escenarios en que un proveedor enfrente insolvencia.

06 - Alineacion con Equipos de IA

Asegurar que los catálogos de linaje de datos de entrenamiento incluyan la procedencia del proveedor y el estado de los acuerdos de privacidad al momento de la adquisición.

El Cambio Regulatorio que se Acerca

La FTC ha señalado que los procedimientos de quiebra que involucran datos de consumidores requerirán mayor escrutinio a partir de 2025. La Ley de IA de la Unión Europea, que entró en vigor en etapas a lo largo de 2025, incluye disposiciones sobre la procedencia de datos de entrenamiento que podrían obligar a las empresas a demostrar cadenas de consentimiento ininterrumpidas - incluso a través de transferencias de activos. En América Latina, países como Brasil, con la LGPD ya vigente, y México, con la revisión de su marco de protección de datos en curso, apuntan hacia regulaciones similares.

Las empresas que documentaron la procedencia de datos de sus proveedores y negociaron protecciones contractuales explícitas antes de que ocurriera un evento de quiebra estarán en una posición regulatoria fundamentalmente diferente de aquellas que no lo hicieron. En el caso 23andMe, el comprador - Regeneron - asumió compromisos específicos ante el tribunal de quiebras sobre cómo utilizaría los datos adquiridos. No todos los compradores en procedimientos futuros tendrán igual supervisión.

La lección no es que las empresas deban dejar de trabajar con proveedores de datos externos. Es que la diligencia debida en la cadena de suministro de datos debe ir tan lejos como la diligencia debida financiera. Cuando usted sabe que un proveedor puede quebrar - y en el entorno actual de financiamiento tecnológico, esa es una suposición razonable para cualquier empresa de datos en etapa temprana - necesita saber exactamente qué le sucede a los datos que usted licenció cuando eso ocurra.

Fuentes y Referencias

Reuters - "Regeneron wins 23andMe bankruptcy auction for $256 million", marzo de 2025

23andMe - Presentacion ante la SEC, Capitulo 11, Formulario 8-K, marzo de 2025

Gartner - Data Management Survey: Enterprise Data Vendor Complexity, 2025

IBM Security - Cost of a Data Breach Report, 2024

FTC - Statement on Data Assets in Bankruptcy Proceedings, 2025

Reglamento de Inteligencia Artificial de la UE - Disposiciones sobre Procedencia de Datos de Entrenamiento, 2025

About the Author

Anastasia Rychkova

Anastasia Rychkova is Vice President and Head of Business & Compliance Strategy at PATech Labs. She drives the company mission to democratize advanced AI while ensuring regulatory compliance across finance, healthcare, and regulated agriculture industries. Anastasia bridges the gap between powerful technology and real-world business needs, overseeing go-to-market strategy, client success, and strategic partnerships.

Content created with AI assistance and verified by human researchers.Learn more

Ready to Build Your Autonomous Growth Engine?

Stop relying on expensive ads and uncertain results. PATech Labs' patent-pending AI Ecosystem isn't just another chatbot or content tool. It's a fully-integrated, self-improving system that creates sustainable organic visibility and converts it into qualified leads. Transform your business with our proven ecosystem used by leaders in cannabis, finance, healthcare, and enterprise sectors.

After 23andMe's Bankruptcy, Enterprises Face a New Data Liability Reckoning | PATech Labs