Crolla la Banca del DNA, l’avviso agli utenti: “A rischio i dati genetici, cancellateli”

Domenica 23 marzo, 23andMe ha presentato istanza di fallimento ai sensi del Capitolo 11, lasciando un enorme punto interrogativo sul destino delle informazioni genetiche di oltre 15 milioni di clienti. La società, che è stata per anni leader nel settore della genetica commerciale, sta cercando un acquirente mentre affronta gravi difficoltà finanziarie e legali. Alla base del fallimento c'è l'attacco informatico subito a ottobre 2023.  Gli hacker hanno rubato i dati personali di circa sette milioni di utenti, incluse, in alcuni casi, informazioni sulla salute basate sul DNA. L'azienda ha dovuto affrontare oltre 50 azioni collettive e cause legali statali, "circa 35.000 ricorrenti hanno avviato, archiviato o minacciato di avviare richieste di arbitrato contro la società", si legge nell'istanza.

L'azienda ha ammesso di non avere i fonti per coprire i risarcimenti e sta cercando protezione nella bancarotta anche per semplificare le ricadute dei casi legali. La CEO Anne Wojcicki ha annunciato le sue dimissioni come parte del processo di ristrutturazione.

Il futuro dei dati genetici

23andMe si prepara alla vendita, ma non è chiaro chi acquisterà l'azienda e soprattutto tratterà i dati genetici raccolti. La società ha sempre dichiarato di proteggere la privacy degli utenti eppure nel corso degli anni ha cambiato i propri termini di servizio per consentire nuove forme di condivisione dei dati. Ha, per esempio, stretto accordi con grandi aziende farmaceutiche, e poi è stata violata dall'attacco hacker dimostrando la vulnerabilità dei database.

La condivisione di dati sensibili preoccupa i clienti ma anche i familiari: significa infatti consegnare anche parte dell'identità biologica della propria famiglia a un'azienda commerciale. Come ha spiegato il portavoce dell'azienda dopo l'attacco hacker "i dati compromessi includono le informazioni sugli antenati degli utenti, ma anche dati relativi alla salute basati sui profili genetici". Gli hacker sono riusciti ad accedere anche ai profili collegati ai programmi DNA Relatives, utilizzati per rintracciare persone che condividono porzioni di DNA, e Family Tree per ricostruire il proprio albero genealogico. 

In una lettera inviata domenica ai suoi clienti, 23andMe ha assicurato che "i dati rimarranno protetti" e che il fallimento "non cambierà il modo in cui vengono archiviati e gestiti". Qualsiasi acquirente, ha specificato, dovrà rispettare le leggi vigenti in materia di privacy. Al di là delle rassicurazioni dell'azienda il Dna rimane una risorsa preziosa e una volta caricato su un database commerciale, il suo destino è fuori dal controllo dell’utente.

Perché i clienti dovrebbero distruggere i propri dati

Venerdì, il procuratore generale della California Rob Bonta ha consigliato ai clienti di 23andMe di cancellare i loro dati e i loro campioni genetici: "Data la segnalata difficoltà finanziaria di 23andMe, ricordo ai californiani di considerare di invocare i loro diritti e di ordinare a 23andMe di cancellare i loro dati e distruggere tutti i campioni di materiale genetico detenuti dall'azienda". Grazie alla legge sulla privacy in vigore in California, gli utenti hanno diritto a chiedere di cancellare i dati, non è chiaro però come potrebbe essere gestita la domanda durante la bancarotta.

I timori sono reali, come dimostrano i precedenti. Le aziende di sequenziamento genetico infatti hanno già condiviso le informazioni dei clienti con polizia, governi, aziende farmaceutiche e le assicurazioni sanitarie. GED Match, un'organizzazione no-profit per la protezione dei dati genetici, è stata venduta prima a una società a scopo di lucro chiamata Verogen, che collabora con l'FBI, poi a un conglomerato multinazionale olandese.

Il vero problema è che non esistono leggi forti per impedire la commercializzazione dei dati genetici, e i clienti di 23andMe non hanno alcun controllo. Rimane incerto quindi il futuro delle loro informazioni genetiche.