Il DNA è l’informazione maggiormente sensibile che possa riguardare un essere umano. Se estratto da un campione biologico e sottoposto ad analisi, rivela le caratteristiche genotipiche individuali che a loro volta possono svelare una varietà di notizie concernenti la fisiologia e il corredo genetico della persona, ivi compresa la propensione allo sviluppo di determinate patologie. Per questo, nelle democrazie occidentali l’utilizzo di tali informazioni è sottoposto a rigide forme di regolamentazione in cui le normative di privacy giocano un ruolo rilevante.

Il principio fondamentale di data protection generalmente condiviso – dagli USA alla UE, passando per altri Paesi che forniscono adeguata tutela ai diritti e alle libertà individuali – è semplice: il dato genetico risultante dall’analisi di un campione biologico può essere trattato solo con il consenso dell’interessato (o da chi ne può validamente manifestare la volontà laddove questi – per impossibilità fisica, incapacità d’agire o incapacità di intendere o di volere – non sia in grado di rilasciare il consenso).

In un momento storico in cui la pandemia di Covid-19 costringe quotidianamente un’infinità di persone, compresi milioni di italiani, a sottoporsi a prelievo di proprio materiale biologico tramite tamponi e altri test diagnostici, sorgono alcune domande. Le porzioni fisiologiche che rilasciamo che fine fanno? Sono sempre eliminate una volta esaurito il test? Se chi le analizza volesse ottenerne altre informazioni genetiche o rivendere i campioni (o i relativi dati genetici) a terzi privati, ci sarebbe richiesto uno specifico consenso informato?

Una notizia proveniente da oltremanica deve allertarci. Un’importante azienda inglese avrebbe gravemente violato la normativa britannica di privacy proprio in relazione all’obbligo di raccogliere il consenso all’utilizzo ulteriore del DNA ottenuto tramite test da coronavirus. Al centro dell’attenzione è finita la Cignpost Diagnostics fondata nel giugno 2021 ed autorizzata dal governo a fornire test diagnostici nell’ambito della lotta alla pandemia di Covid-19. In pochi mesi, la società ha venduto sotto il brand Express Test oltre 3 milioni dei propri tamponi ed eseguito le relative analisi di laboratorio per un costo variabile tra le 35 e 120 sterline. Non si tratta dunque di un operatore minore. Express Test ha, infatti, 71 sedi nel Regno Unito ed ha velocemente conquistata la leadership nel settore aeroportuale offrendo diagnostica in partenza e all’arrivo in vari scali insulari, tra cui i due principali hub internazionali Heathrow e Gatwick.

Come riportato dal Times, Cignpost Diagnostics avrebbe rivenduto i tamponi per ulteriori finalità di “ricerca medica” di propri partner commerciali senza ottenere il consenso informato dei clienti. Avrebbe così violato la normativa di privacy del Regno Unito imperniata sul Data Protection Act del 2018 e, dopo la Brexit, sulla piena incorporazione – con gli opportuni adattamenti testuali – dei principi, i diritti e gli obblighi del Regolamento UE 2016/679  tramite il cosiddetto “UK GDPR”. Dopo le rivelazioni del famigerato quotidiano londinese, l’Information Commissioner’s Office (ICO) – l’autorità britannica sulla protezione dei dati – ha avviato un’indagine per delineare la sussistenza e la portata dell’illecito.

Stando a quanto appurato dal Times, i clienti erano tenuti, in sede di prenotazione sul sito di Express Test, ad accettare con un flag una corposa privacy policy che, tra le 4876 parole utilizzate, conteneva il collegamento ad un documento separato denominato Research Program. Nella scheda informativa del programma di ricerca Cignpost affermava che avrebbe conservato “campioni biologici … e il DNA ottenuto da tali campioni“, nonché “informazioni genetiche derivate dall’elaborazione del campione di DNA … utilizzando varie tecnologie come la genotipizzazione e il sequenziamento del genoma intero o parziale” per “saperne di più sulla salute umana”, “per sviluppare prodotti” o “per rivenderli a terze parti”. Ed, ancora, l’azienda si riservava di combinare tali informazioni sensibili con altri dati conferiti dall’interessato (che, ad esempio, deve inviare in alcuni casi una foto del documento di identità per ottenere i risultati del test) e con “informazioni demografiche disponibili al pubblico”. Oltre a ciò, i dati sarebbero conservati “a tempo indeterminato” e, in assenza di riferimenti all’età minima, i minori sarebbero stati inclusi nel programma. In tutto questo, nemmeno l’ombra di un’informativa ad hoc e di consenso specifico per finalità del tutto avulse rispetto alla prestazione richiesta dal cliente.

L’11 novembre scorso Express Test ha aggiornato la propria privacy policy e nella nuova versione è scomparso il link così come qualsiasi riferimento al Research Program. In più, nelle offerte evidenziate nell’header dell’homepage è ora inserita la seguente dicitura: “DNA is collected and used for COVID-19 testing only. All DNA is destroyed once the test process is complete”. In altre parole, l’azienda – annusato il pericolo dopo l’articolo del Times – ha fatto una brusca marcia indietro ed interrotto il programma. Ora bisognerà appurare cosa sia stato effettivamente fatto con i campioni biologici raccolti prima del cambio di rotta.

Intanto, lession learned per Cignpost Diagnostics che si è ravveduta. Ma anche noi tutti dovremmo tenere a mente una lezione. Le autorità competenti devono fare la propria parte in termini di regolamentazione e di vigilanza, ma come cittadini siamo sempre la nostra prima linea di difesa e, per questo, siamo chiamati a districarci tra condizioni contrattuali e privacy policy dei vari servizi di cui fruiamo. Se non manteniamo alto il livello di attenzione potrà capitare che, senza che ne accorgiamo, qualcuno faccia un uso ulteriore delle informazioni che gli affidiamo e financo le rivenda. E più delicate sono le informazioni che rilasciamo, maggiore dovrà essere lo scrutinio sulle policy di chi le raccoglie. Tanto più se tra quelle decine di righe che gran parte di noi non legge si annida l’intenzione di scansionare e/o rivendere la nostra essenza biologica, il nostro genoma.