Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Dati genetici a rischio privacy, ecco il punto debole del GDPR

Le informazioni provenienti dal Dna costituiscono una categoria particolare di “dato personale”. E come tale il regolamento Ue si incarica di proteggerle. Ma nonostante le precauzioni normative molti aspetti rimangono critici: vediamo perché

19 Set 2019
Valentino Vescio di Martirano

Avvocato -Tonucci&Partners M&A- ICT & Cybersecurity- Compliance & Privacy


Il 5 giugno scorso il Garante della Privacy ha diramato il provvedimento n. 9124510 sulle prescrizioni da osservare in merito alle particolari categorie di dati personali. In particolare, al punto 4 del provvedimento si rinvengono nuove prescrizioni (nuove rispetto all’autorizzazione generale n. 8/2016) relative al trattamento dei dati genetici. Ma la definizione data solleva una serie di dubbi sull’efficacia del provvedimento. Vediamo le criticità.

Di interesse è sicuramente la definizione data al punto 4.1, lettera a), sul dato genetico quale dato personale relativo alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

Sembrerebbe una definizione ampia ed esaustiva e tuttavia secondo alcuni autori[1] tale concetto non sarebbe sufficiente a contenere l’idea propria del dato genetico e non sarebbe neppure sufficiente la tutela legale apprestata dal GDPR. Le ragioni di allarme potrebbero essere diverse.

I rischi di trattamento per i dati genetici

Il genoma umano (DNA sequenziato) è il testo della vita. Il codice del DNA (salvo mutazioni) non cambia nel corso della vita di un individuo. Pertanto, una volta stabilito il rischio genetico per un particolare tratto (ad esempio una malattia), tale informazione rimane valida per tutta la vita della persona.

Con il progresso tecnologico, la precisione delle informazioni sul DNA sequenziato sarà sempre maggiore, in grado cioè di predire il futuro di un soggetto (anche sin dalla nascita o addirittura verso soggetti terzi aventi la stessa linea genetica).

Significa che il potere di diagnosticare o prevedere malattie e altri tratti umani è allo stato attuale ancora piuttosto basso e sottostimato, ma è in continuo aumento. Come osservato[2], la legislazione internazionale e soprattutto il GDPR non ha ben focalizzato il rischio celato dal trattamento abusivo del dato genetico. Una volta acquisito il dato genetico, si può conoscere potenzialmente il passato, il presente ed il futuro dell’interessato.

Si tratta di un dato dinamico che tuttavia non sembra avere modifiche nel corso nel tempo ed il rischio di abuso non riguarda solo la tutela della salute, rientrando dunque nel settore della sanità digitale, ma anche il rischio di discriminazione che da esso deriva.

Ad esempio, secondo alcune ricerche[3], alcuni geni potrebbero (anche se allo stato attuale il livello tecnologico non lo consente) essere legati al potenziale sviluppo intellettuale e potrebbero essere rilevanti per l’accesso all’educazione, all’occupazione, per verificare la salute mentale e fisica, la longevità, e potrebbero riguardare problemi comportamentali.

Le informazioni contenute nel dato genetico, o per meglio dire nel campione biologico contenente il DNA, per la loro qualità intrinseca predittiva, possono essere molto preziose (in senso positivo[4]) per la prevenzione e gli interventi precoci tesi alla cura di malattie o patologie; ma al contempo, presentano rischi altrettanto considerevoli che potrebbero condurre a forme di discriminazione di tipo commerciale, come ad esempio quelle che potrebbero attuare le aziende farmaceutiche, assicurative, bancarie, di marketing e di analisi ed elaborazione dati; rischi per i quali ancora non è chiaro il metro di paragone per poter prevenire forme di abuso).

Se volgiamo lo sguardo al citato provvedimento del Garante, provvedimento lodevolmente focalizzato sulla maggiore tutela possibile, vengono elencate una serie di prescrizioni (punto 4.2) appunto per tutelare la conservazione ed il trattamento dei dati.

Dati genetici, le cautele del Garante

In particolare, al punto 4.2 alla lettera e) si prescrive che “i dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o di pseudonimizzazione o di altre soluzioni che, considerato il volume dei dati e dei campioni trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità, in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato.

WHITEPAPER
Come trasformarsi in una intelligent enterprise?
Big Data

Laddove gli elenchi, i registri o le banche di dati siano tenuti con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono di identificare direttamente le persone interessate.”.

Orbene, è fuor di dubbio che i presidi prescritti siano di altissimo livello, ma ci chiediamo se siano più o meno sufficienti.

Attualmente esistono plurime “banche” contenenti dati genetici e soprattutto contenenti “campioni biologici” da cui estrarre il Dna. L’accesso alle informazioni genetiche, estratte dal Dna, consentirebbe l’acquisizione di molteplici informazioni, in grado di compromettere paradossalmente le stesse relazioni sociali.

Immaginiamo un ente che abbia raccolto campioni biologici (con il consenso dell’interessato) per una ricerca scientifica. Ebbene, lo stesso campione biologico potrebbe essere utilizzato per scopi diversi laddove il consenso dell’interessato sia stato prestato senza troppa attenzione rispetto alle finalità ulteriori e differenti[5].

In questo caso la finalità non sarebbe quella della ricerca scientifica o cura di una malattia, ma potrebbe essere commerciale (l’importante, insomma, è che ci sia il consenso).

Banche dati, i pericoli del bias

Ad esempio, un algoritmo potrebbe fare uso dei dati genetici (validamente raccolti) per la valutazione dei rischi rispetto a mutui erogati a persone più sane (in grado di saldare le rate del mutuo) rispetto a persone con problemi di salute.

La stessa informazione genetica, poi, potrebbe essere utilizzata per la valutazione del rischio assicurativo, consentendo di adattare i premi assicurativi al rischio.

I dati genetici, inoltre, possono essere combinati con altri tipi di big data, come i dati fenotipici (stile di vita, abitudini, telefono cellulare, e-mail, carta di credito e dati sanitari) e dati relativi a circostanze/ambiente (ad esempio codice postale, modelli di acquisto e altri indicatori sull’infanzia e sullo stato socioeconomico in età adulta)[6].

Più tutela se l’interessato è consapevole

A questo punto è evidente che il trattamento dei dati genetici presuppone la necessaria sensibilizzazione da parte dell’interessato.

Invero, l’alfabetizzazione dell’interessato sull’importanza del dato personale è uno degli aspetti che non si rinviene chiaramente nel testo del GDPR (se non per quel che riguarda le informazioni da fornire) e non si rinviene neppure chiaramente una lista di nullità di protezione in caso di consenso seppur informato.

Come spesso osservato[7], non è il consenso ad essere informato, ma è l’interessato a dovere essere informato (cioè capace di aver compreso ciò a cui ha dato l’assenso).

Il GDPR e le altre norme sulla protezione dei dati e sulla privacy, hanno come obiettivo quello di rendere i dati accessibili (ad esempio per la ricerca) e proteggerli (favorendo, però, il primo obiettivo). Inoltre il GDPR consente anche la condivisione dei dati.

Possiamo salutare con favore quanto stabilito nel provvedimento del Garante del 5 giugno scorso al punto 4.5.1 laddove osserva che “in caso di revoca del consenso da parte dell’interessato, i trattamenti devono cessare e i dati devono essere cancellati o resi anonimi anche attraverso la distruzione del campione biologico prelevato” ma è lo stesso art. 7 paragrafo 3 del GDPR a stabilire che “la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca”.

Consenso e revoca, il “nodo gordiano”

Ciò significa che i dati genetici, una volta raccolti in una serie di contesti (ad esempio, medico, ricerca, test genetici, banche genetiche), non possono essere “fermati” dalla revoca da parte dell’interessato perché potrebbe essere impossibile, per gli stessi interessati, determinare l’origine della violazione dei loro dati genetici.

È pur vero che l’ultimo comma dell’art. 2-septies del D. Lgs.196/2003 novellato precisa che i dati genetici, biometrici e relativi alla salute non possono essere diffusi; ma è altrettanto vero che l’interessato potrebbe essere indotto a prestare il consenso per ovviare a tale divieto, ed il problema si riproporrebbe.

Ne è dimostrazione quanto contenuto nell’art. 19 del GDPR (Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento) secondo cui il titolare del trattamento, una volta ricevuta una richiesta di rettifica o cancellazione del dato, dovrebbe comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni.

Il condizionale “dovrebbe” è stato volutamente utilizzato poiché l’ultimo inciso dell’art. 19 cit. permette al titolare di evitare questa incombenza qualora “ciò si riveli impossibile o implichi uno sforzo sproporzionato”.

Privacy e dati, il caso delle cellule staminali

Un caso recente[8] può essere di aiuto per comprendere che la possibilità può diventare certezza: il caso di specie ha riguardato un centro per la conservazione di cellule staminali con sede in Svizzera, quotata in Olanda, che decideva di sub-appaltare il servizio di conservazione dei campioni biologici in Polonia; nel frattempo la società controllata italiana – che riceve sul territorio i campioni biologici dalle varie famiglie – veniva dichiarata fallita e le richieste di restituzione del campione biologico non ottenevano alcuna risposta.

Quindi, la mancanza di una tutela adeguata ed effettiva al dato genetico potrebbe comportare rischi troppo elevati in un continuo meccanismo di trasmissione “consenziente” di dati, che sempre più vede crescere nuovi sistemi di condivisione immediata.

Un tale uso combinato di dati e tecnologie rende quasi impossibile prevedere tutti i rischi futuri al momento della raccolta dei dati genetici.

Per questo motivo, sarebbe saggio fare riferimento al “principio di precauzione” (utilizzato spesso nella ricerca scientifica[9] e nella tutela ambientale[10]) in base al quale se un’attività non può essere adeguatamente controllata, non dovrebbe essere utilizzata.

  1. SELITA Fatos, GENETIC DATA MISUSE: RISK TO FUNDAMENTAL HUMAN RIGHTS IN DEVELOPED ECONOMIES, in Legal Issues Journal 7(1) 2019, pages 53-95, © The UK Law and Society Association.
  2. SELITA cit..
  3. Plomin and Deary, 2015; Wertz et al., 2018b, 2018a citato in SELITA Fatos, GENETIC DATA MISUSE: RISK TO FUNDAMENTAL HUMAN RIGHTS IN DEVELOPED ECONOMIES, in Legal Issues Journal 7(1) 2019, pages 53-95, © The UK Law and Society Association.
  4. Come evidenziato dal Gruppo di lavoro SUL CENSIMENTO GENETICO DELLE POPOLAZIONI ISTITUITO del Comitato Nazionale per la Biosicurezza, le Biotecnologie e le Scienze della Vita (CNBBSV), presso la Presidenza del Consiglio dei Ministri- di solito l’obiettivo principale di un rilevamento genetico è quello di promuovere – in maniera più specifica e mirata – la salute anche mediante la prevenzione.
  5. Immaginiamo il caso del dato genetico ceduto consensualmente per scoprire la propria linea genetica in cambio della possibilità di trattamento ulteriore.
  6. SELITA F.cit.
  7. Cass. Civ.,Sez.III, 2847/2010 punto 3.4.
  8. Sul fallimento di Cryo Save Italia su https://it.businessinsider.com/la-banca-delle-staminali-e-sullorlo-del-fallimento-le-cellule-vagano-per-leuropa-migliaia-di-genitori-disperati-non-sappiamo-dove-siano/?refresh_ce
  9. BARBIERO Giuseppe, Il principio di precauzione nella crisi dell’impianto epistemologico dell’ingegneria genetica, CRASL/025/S12/2004
  10. Ex multis, il principio di precauzione è citato nell’articolo 191 del trattato sul funzionamento dell’Unione europea (UE).

@RIPRODUZIONE RISERVATA

Articolo 1 di 2