Ritratti: i grandi innovatori del passato

The | Edge omaggia le storie di grandiosi personaggi storici, uomini e donne del passato, pionieri e pioniere dell’innovazione, che attraverso la diffusione del loro sapere e delle loro scoperte in ambito scientifico e tecnologico, hanno contribuito a rivoluzionare l’umanità.

Dati genetici: i rischi e le innovazioni normative per proteggerci

Introduzione

ll nostro DNA è l’unità biologica che determina le informazioni fondamentali per definire il nostro aspetto, le nostre origini nonché le malattie a cui possiamo essere soggetti, oltre a molti altri aspetti della nostra individualità. Vista la quantità di informazioni e i potenziali utilizzi connessi ai dati che derivano dal nostro patrimonio genetico, i dati genetici sono di estremo interesse tanto per i centri di ricerca e le aziende, quanto per i malintenzionati e hacker pronti ad impossessarsene per rivenderli al miglior offerente.  
Il primo mezzo a nostra disposizione per comprendere come evitare di cadere vittima di azioni criminali rivolte ai nostri dati genetici è quello di comprendere che cosa questi siano, la loro importanza e i mezzi a nostra disposizione per cercare di prevenire e tutelarci. 
Lo scopo di questo articolo è quello di fornire un breve approfondimento su quello che è il panorama dei dati genetici, indagando quindi i rischi connessi al loro utilizzo improprio e alcuni degli episodi criminali che hanno recentemente coinvolto aziende private che raccolgono test del DNA. Approfondendo le leggi e gli strumenti oggi a nostra disposizione, cercheremo di comprendere quali potrebbero essere nel futuro gli organismi in grado di fornirci un supporto adeguato a proteggere al meglio i nostri dati genetici. 

DNA, dati genetici e il rischio di attacchi hacker

Il nostro corredo genetico è composto da più di 3 miliardi di paia di basi azotate, di cui più del 99% è uguale in ogni essere umano. Il modo in cui queste basi si combinano in sequenza è l’elemento utile a fornire le informazioni per la creazione e il mantenimento del nostro organismo. 
Siamo ancora all’oscuro del ruolo che molti geni rivestono all’interno del nostro organismo, nonché del modo in cui ognuno di questi si relaziona con gli altri e, se è vero che nel campo medico le potenzialità in merito sono senza precedenti, è d’altro canto necessario considerare che un uso improprio dei dati genetici potrebbe condurre ad abusi che tuttora non siamo in grado di immaginare. 
Data la rilevanza e la quantità di informazioni che possono essere estratte ed interpretate dal DNA, gli interessi attorno ai dati relativi al nostro patrimonio genetico è andato via via crescendo dai primi anni duemila ad oggi e le sue potenzialità applicative crescono a vista d’occhio. Così come aiuta gli organi di sicurezza ad identificare i criminali, allo stesso modo consente ai centri di ricerca o alle case farmaceutiche di sviluppare farmaci personalizzati e ottimizzati per ogni genere di malattia.  
Recenti vicende hanno infatti messo in risalto come i dati genetici in possesso non solo delle aziende, ma anche delle università o degli istituti di ricerca, rappresentano una miniera d’oro per gli hacker e i criminali che, una volta ottenuti i dati degli individui, li vendono a caro prezzo a chiunque desideri acquistarli. 
Nell’autunno del 2023, l’azienda 23andMe, uno dei nomi più importanti nel campo dei test del DNA a casa, è stata vittima di un hacking che ha coinvolto i dati personali di 6.9 milioni di loro clienti. In un post pubblicato dall’hacker, noto con il nome di Golem, questi annunciava che i dati sarebbero stati messi in vendita in forma di pacchetti con vari range di prezzo: 1000$ per pacchetti di dati fino a 100 persone, 100.000$ per pacchetti di dati di 100.000 persone1.  
Questo è solo l’ultimo caso di aziende di test del DNA vittime di quello che in gergo viene chiamato, un “data breach” ossia “una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali”2. Nel 2018 un’altra compagnia My Heritage è stata vittima di una perdita di dati e-mail e password di oltre 92 milioni di utenti.  
Nonostante ad oggi non sia ancora chiaro l’insieme di rischi correlati ad un uso improprio dei dati genetici e l’insieme di misure necessarie a garantirne la sicurezza, la normativa per la protezione della privacy ed in particolare quella adottata nell’Unione Europea (GDPR) hanno iniziato a predisporre un insieme di regole fondamentali per proteggere tutti i dati personali, tra cui anche quelli genetici. 

Le leggi per proteggere i dati genetici

Il GDPR, o General Data Protection Regulation3, è la normativa adottata dall’Unione Europea per tutelare il diritto alla protezione dei dati personali degli individui e garantirne così la libera circolazione. Se infatti i dati genetici sono sempre più il bersaglio di attacchi hacker, allo stesso tempo la loro circolazione e condivisione è fondamentale per lo sviluppo della ricerca scientifica e medica che mira a nuove scoperte e nuove soluzioni per migliorare la vita delle persone.  
Secondo la normativa, i dati genetici sono “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica4. Per poter fare uso dei dati genetici è necessario rispettare un insieme speciale di regole e, data la particolare sensibilità di questi dati, le misure di sicurezza richieste alle aziende e ai centri di ricerca comportano degli oneri molto rilevanti. 
Per poter fare uso dei nostri dati genetici, per scopi commerciali o per ragioni di ricerca, è bene sapere che è anzitutto fondamentale aver dapprima raccolto il nostro consenso. Questo rappresenta infatti la base imprescindibile per poter poi effettuare delle analisi o altre attività sul nostro patrimonio genetico. Inoltre, anche una volta raccolto il consenso, le organizzazioni che fanno uso dei nostri dati saranno sempre costrette a riconoscerci una serie di diritti imprescindibili definiti dalla normativa. 
Secondo il GDPR, infatti, ognuno di noi potrà sempre esercitare su questi dati:  

  • Il diritto di chiedere quali dei propri dati personali vengono trattati e il criterio alla base di tale trattamento; 
  • Il diritto alla cancellazione di questi dati; 
  • Il diritto alla modifica dei dati laddove inesatti o non aggiornati; 
  • Il diritto ad opporsi al trattamento dei propri dati per scopi specifici; 
  • Il diritto alla revoca del consenso; 
  • Il diritto alla portabilità, meglio noto come il diritto a ricevere in forma elettronica i propri dati anche per trasferirli ad altri. 

Nonostante tutte le cautele che possiamo mettere in piedi, esiste comunque il rischio che coloro con cui abbiamo condiviso i nostri dati subiscano una violazione e finiscano vittime di attacchi hacker, come successo nel caso di 23andMe. In questi casi è sempre la normativa dell’Unione Europea a venire in nostro soccorso. Secondo il GDPR, infatti, chiunque abbia subito dei danni materiali o immateriali come risultato della violazione delle norme sulla protezione dei dati personali, come nel caso di un data breach, avrà sempre la possibilità di esercitare il proprio diritto al risarcimento, rivolgendosi o all’azienda vittima del breach o ad una corte di giustizia. 
Questo insieme di diritti rappresenta un grande passo avanti per la tutela dei nostri dati personali, eppure ad oggi esistono ancora dei grossi scogli all’effettiva possibilità di esercitarli. Per questa ragione sempre l’Unione Europea ha istituito con una recente normativa (il Data Governance Act5) gli intermediari di dati, delle entità che si interpongono tra noi, i nostri dati e i potenziali utilizzatori per facilitarne la condivisione. Seppur ancora in fase di definizione e chiarimento, queste nuove organizzazioni potrebbero consentirci di condividere in maniera informata e responsabile i nostri dati genetici con chi dovessimo ritenere affidabile, aiutandoci inoltre a esercitare i nostri diritti ed eventualmente a presentare richieste di risarcimento nel caso in cui i nostri dati dovessero essere oggetto di attacco da parte di organizzazioni criminali. 

Conclusioni

I dati genetici saranno probabilmente alla base di alcune tra le più grandi scoperte della medicina personalizzata e non solo. Se il loro valore fino a ieri poteva sembrarci quasi insignificante, il crescente interesse da parte delle aziende, dei centri di ricerca e soprattutto delle organizzazioni di cyber criminali ha determinato l’insorgere di una serie di attività pubbliche e private mirate ad aumentare da un lato la loro protezione da parte delle organizzazioni che li raccolgono e dall’altro lato il livello di sensibilizzazione delle persone verso l’importanza di condividerli in maniera responsabile e consapevole.
Il GDPR ha posto le basi per un primo sostrato normativo in grado di fornirci i mezzi necessari a proteggere i nostri dati genetici, obbligando al contempo le aziende ad adottare una serie di misure per massimizzare il livello di sicurezza verso attacchi interni e usi impropri interni. L’introduzione di nuovi strumenti di protezione e di nuove categorie di soggetti, come gli intermediari di dati, in grado di tutelare i nostri interessi e la nostra privacy sembra oggi essere lo step fondamentale per consentire alla ricerca scientifica di operare con la libertà necessaria a poter sviluppare nuove soluzioni in grado di migliorare la nostra vita oltre che la nostra salute. 



  1. J. Kleeman; DNA testing: What happens if your genetic data is hacked?; 12 February 2024; BBC Future; https://www.bbc.com/future/article/20240212-dna-testing-what-happens-if-your-genetic-data-is-hacked  ↩︎
  2. Garante per la Protezione dei Dati Personali; Data Breach – Violazioni di Dati; https://www.garanteprivacy.it/data-breach ↩︎
  3. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) GU L119/1 del 4.5.2016   ↩︎
  4. Art. 4, c. 1, n. 1, Regolamento (UE) 2016/679  
    ↩︎
  5. Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)  ↩︎
Condividi Articolo

Nel blu, dipinto di blu

Il turismo spaziale non è più un sogno irraggiungibile, diventerà fenomeno di massa e faremo i pendolari fra le stelle? A spasso fra le stelle,

La forza del pensiero

L’evoluzione dell’AI in sofisticate reti neurali danno una speranza a miliardi di malati. Ma restano i nodi per l’etica, la privacy e l’aspetto sociale Muovere