I rischi per la privacy e sicurezza dei kit di test genetici a domicilio.

Il boom dell’Industria Genomica.

Negli ultimi 10 anni, grazie ad una significativa diminuzione del costo di sequenziamento del DNA, si è assistito ad un boom dell’industria genomica. Alle più note società statunitensi “Ancestry” e “23andMe” si sono aggiunte numerose startup più piccole che al fine di ampliare velocemente il proprio database consentono ai propri utenti di caricare i propri dati genetici ottenuti da un altro servizio a pagamento.

Secondo dati risalenti al 2019 più di 26 milioni di persone hanno spedito il proprio campione di saliva conservato in un tubo di plastica al fine di far analizzare il proprio DNA da aziende di test genetici come 23andMe, AncestryDNA, MyHeritage e Family Tree DNA. E più di un milione di questi utenti ha poi caricato le proprie informazioni genetiche su un popolare sito web di terze parti chiamato GEDmatch che permette di confrontare i file di dati del DNA autosomico di diverse società di test.

dnakit

 

I test del DNA autosomico sono utilizzati per ottenere informazioni sui propri antenati e sulle possibilità di ottenere determinate condizioni con un livello di precisione piuttosto elevato. Ciò si ottiene rintracciando variazioni specifiche nei geni e inserendole in gruppi con altri campioni di DNA che hanno variazioni simili.Coloro che condividono gli stessi antenati avranno sequenze geniche autosomiche simili. Questi test del DNA possono aiutare a rintracciare il DNA dell’utente e il DNA di quelli lontanamente collegati a lui da cui derivano quei geni, a volte da diverse generazioni. Uno degli usi più popolari dei kit di DNA autosomico di 23andMe, AncestryDNA e MyHeritage DNA è sempre stato quello di ottenere suggerimenti sulla propria origine etnica e razziale e capire da quali regioni del mondo proviene il proprio DNA.

 

Vulnerabilità e i problemi di sicurezza.

Nel 2019 uno studio dell’Università di Washington sottolineava i gravissimi rischi di sicurezza  e le vulnerabilità dei database di piattaforme come GEDmatch, MyHeritage, Family Tree Dna o Living Dna. Queste startup consentono agli utenti di caricare i dati genotipi acquistati su Ancestry o 23andMe e tale studio evidenziava i rischi di sicurezza connessi all’upload automatico da parte dell’utente suggerendo alle società del settore di sviluppare firme che identificassero  l’azienda che ha svolto il test genetico.

“Genotype Extraction and False Relative Attacks: Security Risks to Third-Party Genetic Genealogy Services Beyond Identity Inference” https://dnasec.cs.washington.edu/genetic-genealogy/ney_ndss.pdf

Risulta abbastanza evidente che le aziende più grandi non sono incentivate ad aiutare le aziende più piccole concorrenti all’implementazione di standard tecnici condivisi. Ma se i problemi di sicurezza dei database sembrano preoccupare soprattutto le società come GEDmatch, è però anche vero che tutte queste società, incluse “Ancestry” e “23andMe”, condividono tutte comuni problemi di privacy e in particolare rispetto ai possibili utilizzi ulteriori, per scopi di ricerca, dei campioni di saliva inviati dai clienti e delle informazioni genetiche estratte.

 

Il crollo delle vendite dei Kit di test direct-to-consumer. 

Nel 2017 si era prevista una crescita esponenziale del settore dei test genomici. Se il settore nel 2015 valeva 70 milioni di dollari, si prevedeva che avrebbe raggiunto i 340 milioni di dollari entro il 2022.

Contrariamente a tali previsioni, si è recentemente assistito ad un rilevante calo delle vendite dei test che secondo “Second Measure” sarebbe crollato del 54% per 23andme e del 38 per i kit di Ancestry.

Secondo alcuni esperti del settore il calo di vendite sarebbe giustificato proprio dalle preoccupazioni sulla privacy genetica e familiare e in tal senso il GDPR Europeo avrebbe avuto un impatto esteso oltre al territorio Europeo. Possiamo però anche supporre che lo scandalo di Cambridge Analityca che ha coinvolto FaceBook abbia contributo a una maggiore consapevolezza dei consumatori in merito a società il cui reale modello di business viene rivelato agli utenti solo molti anni dopo dal loro utilizzo.

Un brusco calo di vendite è secondo alcuni anche giustificato dalle rivelazioni degli inquirenti Californiani di aver utilizzato GEDMatch al fine di risolvere il cold case del serial killer “Golden State Killer” nel 2018.  Dopo quell’annuncio, da un giorno all’altro, è nata una nuova industria che utilizza i database di società come GEDMatch per risolvere cold case (casi di crimini irrisolti) e GEDMatch ha venduto il proprio database a Verogen, società di forensic che offre consulenza alle forze dell’ordine Statunitensi. Inoltre nel 2019 la società di analisi Family Tree DNA ha rivelato di aver collaborato con l’FBI all’insaputa dei propri utenti sebbene solo poche settimane prima USNews avesse indicato tale società come quella con la più forte politica di tutela della privacy dei propri clienti.

 

Strategie di marketing in evoluzione

Basterebbe una breve ricerca su Youtube sui programmi televisivi Statunitensi negli ultimi 7 anni per capire quanto spazio sia stato dedicato dalla TV a queste società e come i benefici dell’analisi del proprio DNA sia stata promossa per le ragioni più disparate.

Una analisi delle piattaforme del settore ci permette di disvelare uno scenario alquanto inquietante. I consumatori sono invitati ad inviare il proprio campione di saliva per poter trovare il partner ideale, migliorare le proprie relazioni romantiche, per studiare il regime alimentare più idoneo e capire lo sport più adatto al proprio profilo genetico.

La startup Instant Chemistry con sede a Toronto ad esempio si basa su presunti studi scientifici che avrebbero dimostrato come le differenze del sistema immunitario degli individui possa rafforzare o indebolire i livelli di attrazione.

 

instant-chemistry

E pazienza se il matching di Istant Chemistry si basi su un assunto che ha credibilità scientifica pari ad una carta astrale o i principi della numerologia, gli utenti di Instant Chemistry son disposti a caricare nella piattaforma informazioni personali e delicate come il proprio DNA per trovare la propria anima gemella.

Ancora più preoccupante è la startup Helix che vorrebbe trasformare un campione di saliva in un centro commerciale personalizzato basandosi sull’assunto che il nostro DNA ci aiuta a comprendere quale sia la nostra bottiglia di vino preferita e gli acquisti più idonei alla nostra sequenza di DNA.

helix 2

Una startup che utilizza il patrimonio informativo del DNA dei propri utenti per offrire raccomandazioni sul regime di fitness più idoneo (DNAFit) ha con successo utilizzato influencer come l’atleta olimpico in pensione Andrew Steele.

La crisi del settore però potrebbe condurre ad una strategia di marketing diversa. E in effetti già molte società stanno modificando il proprio approccio. Se inizialmente i kit di test erano venduti soprattutto a chi volesse scoprire la storia della propria famiglia, ora si preferisce spiegare ai potenziali clienti che – attraverso l’acquisto dei sevizi (ultimamente notevolmente scontati) – stanno contribuendo ad un bene maggiore, ovvero al progresso della ricerca scientifica e della scienza medica che necessita delle loro informazioni genetiche.

E in effetti questi test possono anche dire con quasi il 100 percento di precisione se si è un portatore di una condizione ereditaria o se hai la condizione.Osservando i tratti all’interno dei geni su ciascuno dei cromosomi autosomici, il test può identificare le mutazioni, sia dominanti che recessive, associate a queste condizioni.Con ampi database di DNA autosomico, i ricercatori possono comprendere meglio i processi alla base delle mutazioni genetiche e delle espressioni geniche e quindi migliorare i trattamenti per i disturbi genetici e persino avvicinare i ricercatori alla ricerca di cure.

 

I partner di ricerca terzi.

Quasi tutti i database delle società menzionate condividono informazioni con l’industria farmaceutica, ma il cliente è libero se dare il proprio consenso alla condivisione del proprio DNA con i partner di ricerca terzi. I partner di ricerca possono essere organizzazioni accademiche, no profit o industriali. Talvolta si permette all’utente di dare il consenso a specifici studi e si danno maggiori informazioni sugli enti di ricerca coinvolti e lo scopo dello studio scientifico (come nel caso di 23andme nello studio sul Parkinson condotto con Genentech e nello studio sul lupus condotta con Pfizer).

I clienti normalmente acconsentono all’utilizzo dei propri dati per studi scientifici in quanto vogliono essere partecipi del progresso scientifico nello studio di certe patologie. Gli scopi di ricerca scientifica sono considerati anche dalla normativa europea sulla Privacy (GDPR) come altamente meritevoli di tutela, tanto da consentire deroghe importanti alle regole generali sul trattamento dei dati  e in particolare sul riutilizzo dei dati. Tuttavia se i partner di ricerca non sono identificati è evidente che il consumatore non possa considerarsi realmente consapevole dell’utilizzo che verrà fatto del proprio DNA.

Inoltre sebbene i portavoce di Ancestry abbiano sostenuto che è sempre possibile per l’utente revocare il consenso al riutilizzo per scopi di ricerca, è anche vero che non sempre è possibile accertare se quei dati siano stati effettivamente cancellati da uno dei partner coinvolti.

 

Dato Genetico e Libertà Civili negli Stati Uniti.

Negli Stati Uniti esiste una normativa relativa alla privacy genetica (GINA Genetic Information Non Discrimination Act) che offre una tutela molto limitata rispetto ai rischi concreti di condivisione del DNA attraverso queste piattaforme. Infatti oltre ad un rischio di discriminazione, esiste il rischio che le forze dell’ordine, gli inquirenti e lo stesso Governo Federale possano avere accesso ai database. E ciò sta già accadendo.  Sebbene queste società abbiano annunciato di voler resistere rispetto ai tentativi degli inquirenti di accedervi, non sembra che queste società siano interessate realmente a percorrere la strada che percorse Apple, quando si rifiutò di rispondere alla richiesta dell’FBI di creare un nuovo sistema operativo per un accesso secondario dell’IPhone 5c di Syed Rizwan Farook, che uccise 14 persone a San Bernardino in California.

Negli Stati Uniti la possibilità delle forze dell’ordine di accedere ai database di DNA oltre a creare evidenti preoccupazioni per le libertà civili, potrebbe mettere a rischio le popolazioni storicamente bersaglio delle forze dell’ordine, in quanto potrebbe avere un impatto sproporzionato sugli afroamericani.

A ciò si aggiunga che anche le privacy policy più garantiste non possono prevedere cambiamenti di proprietà e la vendita dei database a società terze.

L’aspetto spesso trascurato è che i consumatori che decidono di acquistare i servizi di analisi del proprio DNA stanno allo stesso tempo decidendo per i propri parenti in quanto forniscono informazioni genetiche anche dei loro lontani cugini.  Per la risoluzione del cold case del Golden State Killer gli inquirenti riuscirono a identificare il responsabile grazie alle informazioni genetiche dei parenti caricate su GEDmatch.

 

golden state

GDPR e tutela del campione nella normativa Europea.

Le startup menzionate sono operative con le proprie sedi anche in Europa e hanno adeguato le proprie privacy policy al GDPR. Ad esempio Ancestry Italia spiega che i campioni di DNA sono conservati in maniera che non possano essere re-identificati e che la partecipazione a studi scientifici dipende da un espresso consenso dell’utente. Ma il regime agevolato per il trattamento dei dati per scopi di ricerca scientifica consentito dal GDPR potrebbe permettere una limitazione dei diritti del soggetto interessato.

https://www.ancestry.it/cs/privacyphilosophy

Allo stato attuale neanche in Europa i dati genetici sono sufficientemente tutelati dal GDPR ed il rischio di trattamento abusivo rimane elevato.

Sebbene le informazioni contenute nel campione biologico utilizzato per estrarre il DNA possano essere di grande valore per la ricerca scientifica e la scienza medicale, è evidente come esistano altissimi rischi di utilizzo abusivo e violazione delle libertà fondamentali.

Uno dei problemi maggiori risiede nella circolazione delle banche dati (biobanche) e nella mancanza di trasparenza rispetto a tali passaggi. Una maggiore trasparenza permetterebbe di assicurare la distruzione dei campioni biologici laddove il soggetto interessato voglia revocare il consenso prestato per lo svolgimento di studi scientifici. In particolare il GDPR è problematico laddove non distingue tra ricerca scientifica no profit e ricerca a scopo di lucro ai fini dell’applicazione di regole speciali e agevolate per il trattamento a scopo di ricerca scientifica.

Se è vero che nel mondo della ricerca scientifica in ambito medicale i protocolli sulla raccolta di campioni e sulla loro circolazione non sono mai stati applicati in maniera rigorosa, è anche vero che i rischi di abuso si presentano in maniera esponenzialmente più rilevante laddove tali bio-banche siano raccolte da società di capitali milionarie che raccolgono queste informazioni in maniera molto ben organizzata e a scopo di profitto.

Ai fini di tale riflessione risulta interessante il caso di Tiziana Life Science, discusso in questo articolo https://marialuisamanis.nova100.ilsole24ore.com/2018/02/23/la-biobanca-genetica-di-shardna-spa-acquistata-da-tiziana-life-science-plc-tutte-le-tappe-della-vicenda-e-le-questioni-giuridiche-da-risolvere/

In tale articolo sottolineavo la mancanza di chiare previsioni in merito alla restituzione dei campioni e in merito all’eventuale distruzione degli stessi una volta che il soggetto interessato ha manifestato una istanza di revoca del proprio consenso. Inoltre un aspetto molto dibattuto in merito al diritto di revoca dei soggetti interessati a livello europeo è sul se possa farsi prevalere l’interesse generale alla ricerca rispetto al diritto del singolo, soprattutto in quei casi in cui la eliminazione di certi campioni biologici possa compromettere l’integrità e il valore della biobanca e l’obiettivo di ricerca scientifica.

Nel caso di Tiziana Life Science fu la stessa società a provvedere spontaneamente alla restituzione dei campioni relativi ai soggetti che avevano ricorso al Garante. Ma si trattava di una fattispecie particolare in quanto i campioni erano rimasti custoditi nella sede designata dallo studio scientifico originario per cui erano stati raccolti, in Sardegna, e in quanto la società Tiziana Life Science non aveva ancora iniziato alcun progetto di ricerca scientifica che prevedesse l’utilizzo di quei campioni.

Probabilmente una parziale soluzione a tale problema potrebbe pervenire dalle nuove proposte normative in materia di tutela di banche dati a livello Europeo.

 

 

____________

 

Diritti d’autore e Termini di Utilizzo.Tutti i diritti sono riservati | Autore: Maria Luisa Manis |Data di Pubblicazione: 12/04/2021. L’utilizzazione del presente Articolo è consentita solo per le finalità e nei limiti previsti dall’Articolo 70 della L.663/1941 e a condizione che si rispetti la modalità di citazione in APA style per le citazioni di blog-post come fonti di ricerca scientifica. Nel caso di utilizzazione nell’ambito di un web-blog è possibile menzionare solo l’iniziale del nome, cognome dell’autore, anno, il titolo dell’articolo e link dell’articolo; nel caso di condivisione del link dell’articolo sui social media è possibile menzionare solo l’iniziale del nome e cognome dell’autore. Qualsiasi utilizzazione al di fuori dei limiti di cui all’Articolo 70 della L.663/1941 è vietato.Una volta pubblicato l’articolo non sarà oggetto di modifiche successive, salvo correzione di eventuali errori di battitura. Eventuali aggiornamenti sostanziali saranno espressamente menzionati nella stessa pagina dell’articolo. Si garantisce l’accessibilità permanente; in caso di rimozione del blog, l’articolo sarà reso disponibile in altra repository che ne  garantisca il libero accesso. Il presente articolo non equivale ad una consulenza professionale sul tema trattato.