Alcune aziende hanno deciso di autoregolamentare l'analisi del Dna
I servizi di test genetici si danno, da soli, delle regole. Ma la strada per la protezione dei dati degli utenti resta lunga
di lettura
Una serie di aziende che vendono test genetici via internet hanno adottato delle linee guida per regolare il modo in cui condividono le informazioni sul DNA dei loro clienti, in particolare il modo in cui rivendono i loro dati ad altre società e consentono l’accesso agli stessi da parte delle forze dell’ordine. Si tratta di alcuni dei nomi più noti del settore, da 23andMe ad Ancestry, da Habit ad Helix fino a MyHeritage, riferisce il Washington Post.
Il codice di autoregolamentazione
Queste aziende - che, attraverso l’invio di un campione di materiale genetico, in genere saliva, eseguono test per ricostruire l’albero genealogico e/o per mappare eventuali rischi legati alla salute - ieri hanno aderito a una sorta di codice di autoregolamentazione, intitolato “Privacy Best Practices for Consumer Genetic Testing Services”. Secondo questo protocollo (che, va specificato, è volontario e non comporta obblighi), le aziende dovranno ottenere il consenso separato dei loro clienti prima di condividere “informazioni a livello individuale”, tra cui dati personali e genetici, con altre imprese. Inoltre dovranno compilare un rapporto annuale che mostri quante richieste ricevono dalla polizia, sul modello dei vari Transparency Report di Google e Twitter.
I dubbi sulla privacy
L’annuncio arriva dopo una serie di episodi che hanno fatto alzare la soglia di attenzione per l’effettiva protezione della privacy e dei dati personali da parte di questo genere di società. Solo tre mesi fa, ad esempio, in California è stato arrestato un uomo (un ex poliziotto) con l’accusa di essere un serial killer - il Golden State Killer, che aveva colpito negli anni ’70 e ‘80 - attraverso uno di questi siti. Gli investigatori hanno identificato l’uomo caricando un campione di DNA prelevato dalla scena del crimine su GEDmatch, un sito amatoriale e gratuito per analisi genetiche dove gli utenti condividono i loro dati.
E dove probabilmente un parente del sospettato aveva caricato i suoi. In realtà quel sito prevedeva la possibilità che altri soggetti avessero accesso ai dati. Ma la vicenda aveva comunque sollevato un dibattito sulle implicazioni legali di questo tipo di indagini.
Servizi come 23andMe e Ancestry hanno dichiarato di non fornire informazioni alle forze dell’ordine senza un mandato di un giudice. E che cercheranno di avvisare gli utenti qualora ricevano simili richieste (anche se spesso queste giungono anche con un’ordinanza restrittiva di non divulgazione che impedisce alle aziende di avvisare le persone interessate).
Ad ogni modo, Ancestry riferisce di aver ricevuto 34 richieste valide nel 2017, ma collegate perlopiù a reati legati all’abuso di carte di credito o furti di identità, e non ai dati genetici. Mentre 23andMe ha detto di aver ricevuto cinque richieste in tutta la sua esistenza, a nessuna delle quali avrebbe dato seguito. Poca roba dunque per ora. Tuttavia, dopo il caso del Golden State Killer e con la crescente diffusione di questi servizi di analisi genetica, è probabile che le richieste di accesso aumenteranno.
Il fronte dell'industria farmaceutica
Ma c’è un altro fronte che merita attenzione, forse anche maggiore. Ed è quello delle partnership di questi servizi con l’industria farmaceutica. 23andMe pochi giorni fa ha annunciato un accordo con GlaxoSmithKline, gigante del settore, che è pronto a investire 300 milioni di dollari nella società di test del DNA. In cambio avrà accesso al database dei suoi clienti e alle loro informazioni genetiche aggregate.
Secondo 23andMe, la condivisione di questi dati con una industria farmaceutica consentirà di sviluppare medicine più mirate; e a essere condivisi, in modo aggregato, saranno solo i dati degli utenti che hanno dato l’ok alla possibilità di donare le loro informazioni alla ricerca quando si sono iscritti (circa l’80 per cento su 5 milioni). Tuttavia, secondo organizzazioni come il Center for Democracy & Technology, sarebbe impossibile anonimizzare e de-identificare pienamente dei dati genetici, così come assicurato da queste aziende.
Infine, c’è da tenere conto del rischio di fughe di dati e attacchi informatici. Quanto sono protette le informazioni genetiche cedute a questi siti da una simile eventualità? A giugno MyHeritage aveva comunicato di aver subito una violazione della propria sicurezza: un ricercatore aveva trovato online un file contenente tutti gli indirizzi email e le password (offuscate) di più di 92 milioni di suoi utenti. Anche se in quel caso i dati relativi al DNA non erano stati toccati, aveva affermato l’azienda.
Condividi