Uma startup brasileira desenvolveu um aplicativo para predizer, por meio de IA, a probabilidade de um indivíduo desenvolver certas condições médicas com base em dados genéticos e histórico familiar. Os dados foram coletados mediante consentimento dos usuários, para fins de melhoria do algoritmo e pesquisa científica. Os riscos para os dados e os impactos associados foram relatados como muito baixos pela startup. Um órgão de pesquisa parceiro internacional que teve acesso aos dados, em razão de vulnerabilidade conceitual do método de pseudonimização empregado, conseguiu reidentificar uma parte significativa dos titulares ao cruzar os dados com bases públicas.

A partir da situação hipotética precedente, é correto afirmar, com base na LGPD, que a ação inadequada da startup que culminou no vazamento de dados sensíveis foi o(a)