GeneDPR: l’esordio del DNA sui social network e la necessità di una reale trasparenza
di Simone Napoli
Ormai da alcuni anni, sono disponibili sul web portali che consentono agli utenti di ricevere una mappatura del loro DNA, estratto da una ciocca di capelli o da un altro campione biologico inviato alla società proprietaria della piattaforma, col fine di sondare eventuali commistioni etniche nel loro patrimonio genetico (una lontana parentela asiatica o una discendenza americana) o entrare in contatto con altri utenti del sito che abbiano tratti genetici comuni. Un vero e proprio social network genealogico-genetico, popolato autonomamente o – perché no? – accessibile via single sign-on Facebook, per evitare troppi passaggi burocratici e accelerare la conoscenza fra utenti (si conceda il sarcasmo).
Prima di affrontare il tema dei rischi per i diritti e le libertà della persona connessi a questi trattamenti, è utile premettere che il GDPR (art. 4, comma 1, n.13) definisce i dati genetici come “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”. Precisamente (considerando 34), ci si riferisce ai “dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti” [1].
La definizione normativa combacia appieno con la tipologia d’informazione che le piattaforme in questione chiedono agli utenti di condividere, e designa una tipologia di dato che rientra pacificamente nella previsione dell’art. 9 del Regolamento, relativo alle categorie particolari di dati personali, sia come dati genetici tout court, sia come dati relativi alla salute, potendosi ricavare, da un’analisi genetica, anche la predisposizione di un soggetto a contrarre alcune specifiche malattie (considerando 35). Ebbene, per questo tipo di dato personale, è previsto che il trattamento sia vietato salvo che l’interessato abbia prestato il proprio consenso esplicito; o il trattamento sia necessario per assolvere gli obblighi in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; o sia necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica; o qualora il trattamento sia effettuato da una fondazione, associazione o altro organismo senza scopo di lucro; o ancora se il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o per motivi di interesse pubblico rilevante; o infine se sia necessario per finalità di medicina preventiva o di medicina del lavoro, per esigenze di sanità pubblica o archiviazione nel pubblico interesse. Passando in rassegna le differenti basi giuridiche elencate, l’unica opzione valida, per un trattamento come quello di cui si discorre, sembrerebbe il consenso espresso dell’interessato; ed in effetti il consenso viene regolarmente richiesto all’utente che si registri.
Vale però la pena di ricordare che il consenso deve sempre essere declinato come “un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento di dati personali” (considerando 32). Ma è realmente informato un consenso prestato sulla base di un’informazione carente come quella fornita nelle informative di questi portali? Il tema di maggior approssimazione, nelle privacy notices che si riescono a reperire, è forse quello più delicato, ovvero il riferimento alle misure di protezione e sicurezza adottate a presidio delle preziose informazioni maneggiate. Al contrario, figurano espressioni di scarico di responsabilità che, pur facendo leva sull’aleatorietà propria della gestione del rischio, mal si conciliano con i contenuti di un documento ufficiale, che potrebbe oltretutto costituire un’evidenza rilasciata in sede di audit ad un’Autorità di Controllo (“sviluppiamo programmi di sicurezza congrui […] ma non esistono programmi perfetti” – citazione testuale).
Il Regolamento esige, infatti, che il titolare del trattamento utilizzi procedure e adotti misure tecniche e organizzative adeguate al fine di ridurre i rischi esistenti per gli interessi e i diritti dell’interessato e impedire effetti discriminatori nei confronti di persone fisiche sulla base, fra l’altro, proprio dello status genetico o dello stato di salute; chiarendo (art. 5 comma 1 lett.f) che i dati devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
È pur vero che l’art. 13 non impone al titolare di descrivere le specifiche misure di sicurezza adottate, ma sembra incongruo, a fronte di un Regolamento improntato alla trasparenza e al risk based approach, che all’interessato non sia dato conto, anche solo in modo generale, delle modalità di trattamento e, segnatamente, dei presidi di sicurezza predisposti e calibrati sull’elevatissimo rischio: con un riferimento a norme volontarie o a certificazioni di sicurezza, ad esempio, oppure con un richiamo a protocolli di cifratura avanzati. A questo sembra fare riferimento, dopotutto, il considerando 39, richiamato proprio dall’art. 5 sui principi applicabili al trattamento, che richiede, come requisito di liceità, correttezza e trasparenza, di chiarire alle persone fisiche le “modalità con cui i dati sono […] utilizzati”.
Poco, però, viene detto al riguardo sulle informative sottoposte agli utenti, benché – paradossalmente – le stesse risultino aggiornate anche in tempi abbastanza recenti; e non risultano più dettagliate neanche rispetto ai requisiti di selezione dei soggetti a cui queste informazioni siano condivise.
A fronte di una notevole chiarezza nell’individuazione dei soggetti con cui i dati non siano “spartiti” (figura la rassicurazione che la società proprietaria della piattaforma “non ha mai venduto o concesso in licenza dati personali”, ad esempio, “a società assicurative”), la rassicurazione che un interessato meriterebbe riguarda piuttosto l’affidabilità tecnica, e la conformità normativa, di vendor e partner coinvolti (solo partner certificati lato security/data protection e dunque periodicamente auditati sul punto, ad esempio).
La leggerezza con cui i titolari dei portali affrontano il tema della sicurezza, e forse anche la poca precisione che la normativa ad oggi consente loro, deve suonare ancor più allarmante se si considera che, nella maggior parte dei casi, si tratta di società extra UE (i maggiori player di settore sono due società statunitensi e una israeliana), che non sembrano affatto sensibili al tema del trattamento sicuro del dato; ciò, benché sia pacifico che i trattamenti eseguiti rientrino nel campo di applicazione del GDPR. L’art. 3 del Regolamento chiarisce infatti che lo stesso si applica, non solo al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’UE, ma anche quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione Europea.
In conclusione, in mancanza di un’adeguata precisione da parte dei player del settore, non restano quindi che due garanzie: in primo luogo, il buonsenso individuale, che dovrebbe forse suggerire una minore superficialità nelle condivisione del proprio patrimonio genetico (tanto più in presenza di informative poco dettagliate); in secondo luogo, la garanzia citata proprio dell’art. 9 del Regolamento, ovvero il possibile intervento del diritto dell’Unione o degli Stati membri, che disponga che l’interessato non possa revocare il divieto di trattamento dei dati particolari (quindi che non basti il consenso dell’interessato) quando siano trattati dati di questo tipo; che il trattamento possa avvenire unicamente sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri; o che il contenuto delle informative, in tali casi, debba essere ben più articolato rispetto a quanto risulti dai requisiti minimi ex artt. 13 e 14.
In assenza di un’autoregolamentazione degli operatori (obiettivamente utopistica), sarebbe quindi auspicabile un intervento legislativo efficace ed elaborato a stretto giro, non solo per arginare alcuni abusi già invalsi, ma anche per anticipare criticità future. Se non si imporranno delle regole più stringenti per la condivisione di dati genetici tra individui e società impegnate nella loro mappatura genetica, quei dati, una volta confluiti nei databases dei players di settore, potrebbe diventare incontrollabili, tanto più considerate le innovazioni allo studio, soprattutto all’estero, per veicolare i dati genetici.
È notizia di poche settimane fa, ad esempio, che l’università inglese di Surrey ha elaborato un ingegnoso metodo di conversione della traccia di DNA in traccia sonora – metodo ribattezzato sonificazione [2] – sulla base di una matrice di corrispondenza di ogni segmento di DNA ad una nota musicale [3]. Al di là dell’originalità dell’iniziativa sul piano accademico, pensiamo alle criticità che potrebbero derivare dalla disponibilità di tale matrice di conversione per operatori del settore, animati da fini non di ricerca ma di business: avrebbero a disposizione un efficace strumento per diffondere i dati genetici ricevuti dagli individui, celandoli in un semplice file mp3. Ad ogni modo, al di là degli strumenti che – suo malgrado – il progresso tecnico potrebbe fornire ad operatori malintenzionati, il tema del trattamento dei dati genetici si avvia ad essere, per le ragioni esaminate, un fronte al quale prestare la massima attenzione, in quanto ambito attenzionato da molti operatori con fini di business, e spesso con un approccio sprezzante delle garanzie di legge. Compensare questa superficialità con la pretesa di una maggiore informazione sulla modalità di utilizzo dei nostri dati è quindi un’importante arma per scongiurare, nei prossimi anni, una circolazione di informazioni sensibili, via via sempre più fuori controllo.
[1] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679
[2] https://www.icad.org/websiteV2.0/References/nsf.html
[3] https://www.rai.it/ufficiostampa/assets/template/us-articolo.html?ssiPath=/articoli/2022/04/Quinta-Dimensione—Il-futuro-e-gia-qui-con-Barbara-Gallavotti-b405c06e-a8a1-45a2-b85b-445c6b329148-ssi.html
Autore: