Test del DNA: quali sono i rischi per la privacy?

I test del DNA commerciali stanno diventando sempre più popolari, incentivati anche dal crescente desiderio di saperne di più sulla propria storia e sul proprio patrimonio genetico, ma le persone spesso trascurano le potenziali implicazioni sulla privacy che questo tipo di indagine implica; interessante in questa prospettiva il contributo che Comparitech (azienda americana specializzata in sicurezza digitale) ci ha trasmesso, e che di seguito pubblichiamo integralmente nella versione inglese originale, e a quindi nella traduzione in italiano:


Testo originale in inglese

DNA TESTING KITS: WHAT ARE THE PRIVACY RISKS?

Commercial DNA testing kits are becoming increasingly popular, but what are the privacy risks involved? We explore who can access your DNA information and the potential unexpected consequences of DNA testing.

Have you ever wondered what makes you? Mused over how you came to be, and who you share genes with? There’s a new option to find answers, and all it needs is a drop of spit. 
It should come as no surprise that commercial DNA tests are rising in popularity. Genealogy itself is, after all, an ancient practice: members of the royal family of the United Kingdom, for example, can trace their ancestry down to Henry VII. Now with commercial DNA testing, genealogy maps are very accessible.  Your DNA is a map that holds traits of every person who came before you. With the right analysis, DNA tests can also unlock data on health problems or predispositions. 
But if you’re considering a test, not so fast. It turns out that knowledge comes with a price, one with potentially long-lasting consequences. Your DNA can expose secrets, even those that aren’t your own, and put you at risk in ways that aren’t advertised. There are huge, privacy concerns with commercial DNA testing, starting with what you agree to in the fine print. 

Who owns the data? 
Your spit might belong to you, but the unraveled code, in digital form? That’s different. In order to test your genes, commercial DNA services ask for the rights to your information. These details are frequently found within the terms of service, and can be very unnerving. AncestryDNA for example, states that it “does not claim any ownership rights in the DNA submitted for testing”, however: 
“By submitting DNA to AncestryDNA, you grant AncestryDNA and the Ancestry Group Companies a royalty-free, worldwide, sublicensable, transferable license to host, transfer, process, analyze, distribute, and communicate your Genetic Information for the purposes of providing you products and services, conducting Ancestry’s research and product development, enhancing Ancestry’s user experience, and making and offering personalized products and services.” 
Other providers include similar statements in their terms. 23andMe, for example, includes a ‘Waiver of Property Rights’ on submitted DNA. 
While companies obtain consent before using DNA for research, users may not realize they have a choice. Judy Russell, The Legal Genealogist, points out options are often unclear. Consent forms are frequent examples of bad design. As a result, users may feel giving consent to research is necessary to be tested. As Russell suggests in her blog: 
“So when AncestryDNA says that many hundreds of thousands of its more than 1 million test takers have agreed to participate in the research study, I don’t believe for one minute that more than a tiny fraction knew that (a) they didn’t have to agree and (b) if they did agree, they were agreeing to disclose every last jot and tittle of their family history.”

When HIPAA and other health privacy regulations don’t apply
Since DNA is health information, many users may expect the data is protected by privacy legislation. HIPAA, for example, is the well-known health privacy legislation in the United States and in Canada health privacy laws exist in most provinces. If a doctor requests genetic testing, safeguards and limitations on use are enforced by law.
However, HIPAA only applies to genetic information when under the authority of ‘health care providers’. Hospitals, individual clinics and private medical practices must uphold HIPAA privacy practices, as do insurers. Other private companies do not unless they are performing a service for a HIPAA health care entity. To give a clear example, a business that provides X-ray technology for hospitals typically complies with HIPAA. This is because their hospital clients are responsible for business associate privacy practices. HIPAA does not apply, however, if the x-ray company never works with health care providers. 
Companies including AncestryDNA and 23andMe are not health care providers. So long as their labs are sequencing DNA for commercial purpose and interest, HIPAA does not apply. As Peter Pitts, writing for Forbes, puts it, “The Portability Act was passed when genetic testing was just a distant dream on the horizon of personalized medicine.” This begs the question, now that genetic testing can be commonplace, should the legislation be expanded to include organizations or laboratories that process genetic information even if not affiliated with health care providers? 
 
What about other legislation, like the GDPR?
For individuals outside the United States, the law may offer more protection. In Canada, private companies are subject to PIPEDA, which includes limitations on collection, use and disclosure. Health information may also be under the jurisdiction of provincial health information acts. The Personal Health Information Act of Ontario, for example, includes “laboratory or a specimen collection centres” as health care custodians. This places restrictions on how data may be used without consent; notably, data may not be disclosed outside the province of Ontario without consent, or unless for the purpose of health care planning.
In Europe, the General Data Protection Regulation applies to all organizations that process personal information. Genetic information is explicitly called out in the law, under Article 9, ‘Processing of special categories of personal data’. Commercial DNA Testing companies who include processing of European genetic data are conscious of the law and may apply higher levels of safeguards to European data subjects. The website for 23andMe includes a specific page to illustrate compliance with the GDPR.

Unexpected consequences: when your DNA affects your insurance
Are you predisposed to certain conditions? Does your DNA suggest health problems as you age? In the United States, your insurance company wants to know… and in some cases, may already have access to the information. 
The Genetic Information Nondiscrimination Act (GINA) prevents health insurers from using DNA information to discriminate, but the law does not apply to life insurance. Fast Company‘s Christina Farr reports that customers face denial of coverage over DNA information, such as having a genetic predisposition to breast cancer.  
There’s also a question of whether users have a choice before handing data over. In 2017, the House of Representatives proposed HR 1313, the Employee Wellness Programs Act. This act would allow employers to request genetic testing from employees and families if they want to be covered by the company’s health insurance. Iain Thomson of The Register writes that while testing would not be mandatory, “those who refuse could see their health costs rise by up to 50 percent…The proposed legislation would do an end-run around [GINA] protections.” Fortunately as of 2019,  the act appears to be withdrawn, with the status of “Died in a previous Congress” according to Govtrack.us.

Are your parents who they say they are? 
We’ve all seen it before in movies and soap operas: a character discovers one of their parents isn’t blood-related to them. Paternity testing isn’t new; it’s been used to prove parenthood for over two decades and settle disputes. Commercial DNA sequencing companies, however, do offer a new twist. With a paternity test, the relationship between parent and child is already in question. Results from commercial DNA tests, by contrast, can come as a shock. As a result of the test, families see when there’s no genetic match between parent and child. Depending on the database’s detail, testing may also provide data on potential parents. If parent and child are in the same database, the match can be uncovered. As a reminder of potential consequences, 23and me includes a warning in its Terms of Service. “Once you obtain your Genetic Information, the knowledge is irrevocable.” 

Your privacy vs. the privacy of your family
The ability for DNA to expose genetic parents raises serious ethical issues and unexpected breaches of privacy without consent. To date, adoption agencies may be bound by law not to release identifiable information at the parent’s request.  Adoption privacy laws are a longtime hot button issue. 
Who has the stronger claim: the adoptee’s right to know their parentage or the parent’s right to protect their own privacy? With DNA testing, parents may not have a choice on having their information exposed. If the child takes a DNA test, once they have information on their own DNA, they can test it against different databases to find a match. In some cases, this is advertised by genealogists, such as the blog post by Amie Tennant of FamilySearch titled “Connecting with Your Biological Family through DNA Testing.”
What about the privacy of other family members? How much of your DNA tells a story about other relations? When we give up our DNA to commercial testing companies, we may be exposing family members without their consent. A study in Science Magazine titled “Identity inference of genomic data using long-range familial searches” reveals the truth: 60% of Americans of European descent can be matched to their third cousins or closer relations. Brian Resnick reporting for Vox estimates that number will rise as technology improves and more people give their data to DNA companies. What are the consequences of family connections? 
Already we have one example: in California, a person’s participation in a DNA testing database led to their family member’s arrest.
 
Using commercial DNA tests to catch a killer 
In April 2018, the FBI in California made an arrest in a case left unsolved for decades: the Golden State Killer. The news broke headlines, sensational for the arrest and how the suspect was found.  To find the Golden State Killer, investigators tried a new tactic. They took earlier forensic DNA evidence and checked it against a commercial DNA platform, GEDMatch. The suspect hadn’t uploaded their DNA… but a in relative Oregon had. Suddenly the authorities had a new clue.  By taking the DNA match from Oregon and mapping out relatives in a family tree, they could reduce the pool of suspects, until narrowing it down enough to make an arrest. 
Law enforcement using DNA to solve crimes is no new trend. The use of DNA evidence has been acceptable since 1988, the first successful case of DNA testing within a murder trial. However, calls for police access to commercial DNA databases are raising alarms. In the past, DNA evidence was the final nail in the coffin. In 1988, police confirmed a guilty defendant when the DNA of the victim matched a bloodstain on his T-shirt. With the Golden State Killer, investigators did not use DNA to confirm proof. Instead, it became a new search lead.  

More law enforcement access on the rise
DNA Test access by law enforcement is a rising concern. How much access to DNA test results should police and investigators have? In January of 2019, public ire rose when FamilyTreeDNA allowed FBI access to its research. Writing for the Miami Herald, Monique Madan notes 23 and Me responds to legal requests on a case-by-case basis. 
Ancestry DNA also follows legitimate legal requests, including those from warrants or subpoenas.  These requests are increasing. 

In November of 2019, courts allowed a detective in Florida to warrant access to search GEDMatch’s full servers. It set an unnerving precedent: if warrants become obtainable, other agencies are likely to use court orders to bypass DNA testing companies’ privacy policies. Speaking with Science News, Erin Murphy of New York University comments the ability to get a warrant is a huge game-changer.  “It’s a signal that no genetic information can be safe.” 
Others however are more skeptical. Also speaking with Science News, lawyer and bioethicist Kayte Spector-Bagdady suggests it won’t be so simple. Unlike companies that do an analysis of salvia, GEDMatch populates its database by allowing users to upload their raw data, free, from other services. The warrant would not apply to companies that do direct-to-consumer private consumer analysis, and if a warrant is given for police search of databases like 23andMe, the company has the right to appeal. If companies feel user privacy is at stake, they “still have the right to challenge warrants in court.” 
That’s assuming, however, that the company requires a warrant to begin with. Before May of 2019, profiles of GED Match were accessible to law enforcement by default, which is how police were able to use the tool to find the Golden State Killer. Soon, users may see those days returning: in December 2019, GEDMatch was bought by forensics testing firm Verogen. As Verogen specializes in assisting police, future law enforcement access is a given.  
Why is law enforcement of DNA an issue? As law enforcement access grows, scientists and civil rights advocates have concerns. Researchers, for example, worry fewer people will be open to sharing their DNA for health research for fear of ending up in a police database. There are significant differences between genetic data in the hands of doctors, and in the hands of legal agencies. Dr. Caitlin Curtis for the University of Queensland in Australia poses the question:
“It may be acceptable to receive a genetic health risk score from a doctor, but do we want law enforcement to be predicting the mental health of suspects, or for that information to be considered in court?”
Others, including Russel, ask if handing over DNA to police violates the Fourth Amendment, which prohibits “unreasonable searches and seizures”. Reviewing past cases of police use of DNA evidence, it becomes clear that the method isn’t fool-proof. Matthew Sheer, writing for The Atlantic, demonstrates a number of ways in which DNA can get it right.. or get it wrong. Commenting in Sheer’s article, Erin Murph of New York University puts it plainly:  “just because we’re moving forward doesn’t mean mistakes aren’t still being made.”

DNA on the dark web: hackers want in too
Even if a company plans the very best privacy policy, will they be able to uphold it? Police aren’t the only ones who want your DNA: it’s a valuable target for hackers. Data breaches are a common bane of security teams, it’s already happening to DNA repositories. In 2018 DNA testing site MyHeritage suffered a breach of 92 million usernames and passwords. The company has since added two-factor authentication for logins to increase security, but their hack won’t be the last. A year later in November of 2019, attackers gained a trove of data from Veritas Genetics. For those whose DNA is now out in the dark web, options are limited. 
Why would hackers want your DNA? Matt Jancer with Men’s Journal delivers the cybercrime reality. Hackers can sell DNA for ransom, threatening to reveal medical conditions or family secrets to the wrong people. It’s valuable data, and any repository of valuable data is at risk. Worse, there’s a huge difference between a stolen list of passwords and a database of DNA sequences. For starters, your DNA cannot be reset or changed: once out in the dark web, it’s out for good. 

Tip of the iceberg  
The sad reality is, we’re only beginning to understand what can be done with our DNA. Already, technological horrors are becoming real. Adrian Potoroaca of Techspot reveals in China scientists are combining DNA with sketching software to generate rough models of a person’s face. The technique, called DNA phenotyping, allows scientists to visually identify individuals without photographs. More chilling is what the data is being used for. According to Mark Munsterhjelm, from the University of Windsor, Ontario, “the technology is used for hunting people.” 
Other sinister practices aren’t hard to visualize. For example, could stolen DNA be applied to hack biometric security systems? It doesn’t appear to be too far fetched, with researchers like Tsutomu Matsumoto bypassing systems using 3D printing and gummy bears.  When it comes to commercial DNA Testing, customers need to understand that the fun comes with risks. Once your DNA is analyzed, it can be used for much more than finding lost relatives. David Gewirtz with ZNet says it best: “ Your DNA is, fundamentally, the source code to… you.” 

Victoria McIntosh
.

Traduzione in italiano

KIT PER IL TEST DEL DNA: QUALI SONO I RISCHI PER LA PRIVACY ?

I kit commerciali per il test del DNA stanno diventando sempre più popolari, ma quali sono i rischi per la privacy ? Verifichiamo chi può accedere alle tue informazioni sul DNA e le potenziali conseguenze inaspettate del test del DNA.

Ti sei mai chiesto cosa ti rende unico? Hai riflettuto su come sei diventato e con chi condividi i geni? C’è una nuova opzione per trovare risposte, e tutto ciò di cui ha bisogno è una goccia di saliva.
Non dovrebbe sorprendere che i test del DNA commerciali stiano aumentando di popolarità. La genealogia stessa è, dopo tutto, una pratica antica: i membri della famiglia reale del Regno Unito, ad esempio, possono far risalire i loro antenati fino a Enrico VII. Ora, con il test del DNA commerciale, le mappe genealogiche diventano facilmente accessibili per tutti. Il tuo DNA è una mappa che contiene le caratteristiche di ogni persona che è venuta prima di te. Con la giusta analisi, i test del DNA possono anche fornire informazioni su problemi di salute o predisposizioni.
Ma se stai considerando un test, non essere precipitoso. Ti accorgerai che la conoscenza ha un prezzo, talvolta con conseguenze potenzialmente durature. Il tuo DNA può svelare segreti personali, ma anche segreti che non sono strettamente ed esclusivamente tuoi, e metterti a rischio con modalità inattese e tal volta trascurate. Ci sono enormi problemi di privacy con il test del DNA commerciale, a partire da ciò che accetti con le condizioni contrattuali.

Chi possiede i tuoi dati?
La tua saliva potrebbe esserti restituita, ma il codice digitale che ne è stato ricavato? Questo è diverso. Al fine di testare i tuoi geni, i servizi commerciali del DNA chiedono il diritto di disporre delle informazioni relative alla tua persona. Questi dettagli si trovano spesso all’interno dei termini di servizio e possono essere molto articolati. AncestryDNA, ad esempio, afferma di “non rivendicare alcun diritto di proprietà sul DNA presentato per il test“, tuttavia:
“Inviando dna ad AncestryDNA, l’utente concede ad AncestryDNA e alle Società del Gruppo Ancestry una licenza esente da royalty, mondiale, cedibile in sublicenza e trasferibile per ospitare, trasferire, elaborare, analizzare, distribuire e comunicare le informazioni genetiche dell’utente allo scopo di fornire prodotti e servizi, condurre la ricerca e lo sviluppo di prodotti di Ancestry, migliorare l’esperienza utente di Ancestry e creare e offrire prodotti e servizi personalizzati”.
Altri fornitori includono dichiarazioni simili nei loro termini. 23andMe, ad esempio, include una «Rinuncia ai diritti di proprietà» sul DNA presentato.
Mentre le aziende ottengono il consenso prima di utilizzare il DNA per la ricerca, gli utenti potrebbero non rendersi conto di avere una scelta. Judy Russell, The Legal Genealogist, sottolinea che le opzioni sono spesso poco chiare. I moduli di consenso sono spesso esempi di cattiva comunicazione. Di conseguenza, gli utenti potrebbero ritenere che dare il consenso alla ricerca sia necessario per poter eseguire il test. Come suggerisce Russell nel suo blog:
“Quindi, quando AncestryDNA dice che molte centinaia di migliaia dei suoi oltre 1 milione di partecipanti al test hanno accettato di partecipare allo studio di ricerca, non credo neanche per un istante che più di una piccola frazione di essi sapesse A) che non era necessario dare il proprio assenso e B) che con il consenso, stavano accettando di rivelare ogni più intimo dato della loro storia familiare”.

Quando HIPAA e altre normative sulla privacy sanitaria non si applicano
Poiché il DNA è un’informazione sanitaria, molti utenti potrebbero aspettarsi che i dati siano protetti dalla legislazione sulla privacy. HIPAA, ad esempio, è la ben nota legislazione sulla privacy sanitaria negli Stati Uniti e in Canada. Se un medico richiede test genetici, le salvaguardie e le limitazioni d’uso sono applicate dalla legge.
Tuttavia, l’HIPAA si applica alle informazioni genetiche solo quando è sotto l’autorità di “fornitori di assistenza sanitaria”. Gli ospedali, le singole cliniche e gli studi medici privati devono sostenere le pratiche sulla privacy HIPAA, così come gli assicuratori. Altre società private non lo fanno a meno che non stiano eseguendo un servizio per un’entità sanitaria HIPAA. Per fare un esempio chiaro, un’azienda che fornisce tecnologia a raggi X per gli ospedali in genere è conforme all’ HIPAA. Questo perché i loro clienti ospedalieri sono responsabili delle pratiche sulla privacy. La normativa HIPAA non si applica tuttavia, se la società di raggi X non lavora direttamente per gli operatori sanitari.
Le aziende, tra cui AncestryDNA e 23andMe, non sono operatori sanitari. Finché i loro laboratori stanno sequenziando il DNA per scopi e interessi commerciali, la normativa HIPAA non si applica. Come afferma Peter Pitts, scrivendo per Forbes, “Il Portability Act è stato approvato quando i test genetici erano solo un sogno lontano dall’orizzonte della medicina individuale“. Ciò solleva la domanda: ora che i test genetici possono essere all’ordine del giorno, la legislazione dovrebbe essere ampliata per includere le organizzazioni o i laboratori che gestiscono le informazioni genetiche anche se non affiliati come gli operatori sanitari?

Che dire di altre normative, come il GDPR?
Per le persone al di fuori degli Stati Uniti, la legge può offrire maggiore protezione. In Canada, le società private sono soggette alle disposizioni PIPEDA, che include limitazioni sulla raccolta, l’uso e la divulgazione dei dati personali. Le informazioni sanitarie possono anche essere sotto la giurisdizione delle leggi provinciali sull’informazione sanitaria. Il Personal Health Information Act dell’Ontario, ad esempio, include “centri di raccolta di laboratori o campioni” come custodi dei dati dell’assistenza sanitaria. Ciò pone restrizioni su come i dati possono essere utilizzati senza consenso; in particolare, i dati non possono essere divulgati al di fuori della provincia dell’Ontario senza consenso esplicito, se non ai fini della pianificazione sanitaria.
In Europa, il Regolamento generale sulla protezione dei dati si applica a tutte le organizzazioni che elaborano informazioni personali. Le informazioni genetiche sono esplicitamente richiamate nella legge, ai sensi dell’articolo 9, “Trattamento di categorie particolari di dati personali”. Le società commerciali di test del DNA che trattano dati genetici europei sono consapevoli della legge europea e possono applicare livelli più elevati di garanzie per i cittadini del Vecchio Continente. Il sito web di 23andMe ad esempio include una pagina specifica per illustrare la conformità del suo operato al GDPR.



Conseguenze inaspettate: quando il tuo DNA influisce sulla tua assicurazione
Sei disposto a sopportarne le conseguenze? Il tuo DNA evidenzia problemi di salute legati all’età? Negli Stati Uniti, la tua compagnia assicurativa vuole sapere… e in alcuni casi, potrebbe già avere accesso alle questo tipo di informazioni.
Il Genetic Information Nondiscrimination Act (GINA) impedisce agli assicuratori sanitari di utilizzare le informazioni sul DNA, ma la tale legge non si applica all’assicurazione sulla vita. Christina Farr di Fast Company riferisce che i clienti non si oppongono alla tutela delle informazioni sul DNA, come quella di avere una predisposizione genetica al cancro al seno.
C’è anche la situazione di coloro che sono chiamati a fare una scelta ancor prima di aver concesso l’autorizzazione al trattamento dei propri dati genetici. Nel 2017, la Camera dei Rappresentanti ha proposto l’HR 1313, l’Employee Wellness Programs Act. Questo atto avrebbe consentito ai datori di lavoro di richiedere test genetici ai dipendenti e alle famiglie per poter essere coperti dall’assicurazione sanitaria dell’azienda. Iain Thomson di The Register ha scritto che mentre i test non sarebbero obbligatori, “coloro che rifiutano potrebbero vedere i loro costi sanitari aumentare fino al 50% … La legislazione proposta porrebbe un limite intorno alle protezioni dei dati [GINA]“. Fortunatamente a partire dal 2019, l’atto sembra essere stato ritirato, con lo status di “decaduto con il precedente Congresso” secondo Govtrack.us.

I tuoi genitori sono chi dicono di essere?
L’abbiamo già visto tutti nei film e nelle soap opera: un personaggio scopre che uno dei suoi genitori non è il suo genitore biologico. Il test di paternità non è una novità; è stato usato per dimostrare la genitorialità per oltre due decenni e risolvere le controversie in materia. Le società commerciali di sequenziamento del DNA, tuttavia, offrono una nuova evoluzione. Quando si effettua il test di paternità, la relazione tra genitore e figlio è già in dubbio. I risultati dei test del DNA commerciali, al contrario, possono essere uno shock. Come risultato del test, le famiglie scoprono inaspettatamente una mancanza di corrispondenza genetica tra genitore e figlio. A seconda dei dettagli del database, i test possono anche fornire dati sui potenziali genitori. Se padre e figlio si trovano nello stesso database, la corrispondenza può essere scoperta. Come avviso per le potenziali conseguenze, 23and me include un avviso nei suoi Termini di servizio. “Una volta ottenute le informazioni genetiche, la conoscenza è irrevocabile.”

La tua privacy vs. la privacy della tua famiglia
La capacità del DNA di scoprire l’identità dei genitori genetici solleva gravi problemi etici e violazioni inaspettate della privacy, senza alcun consenso. Ad oggi, le agenzie di adozione possono essere vincolate dalla legge a non rilasciare informazioni identificanti su richiesta del genitore. Le leggi sulla privacy per l’adozione sono un problema di vecchia data.
Quale diritto prevale: il diritto dell’adottato di conoscere la propria parentela o il diritto del genitore di proteggere la propria privacy? Con il test del DNA, i genitori potrebbero non avere una scelta sull’esposizione delle loro informazioni. Se il bambino fa un test del DNA, una volta che ha le informazioni sul proprio DNA, può inserirlo in diversi database per trovare una corrispondenza. In alcuni casi, questo è pubblicizzato dai genealogisti, come il post sul blog di Amie Tennant di FamilySearch intitolato “Connettersi con la tua famiglia biologica attraverso il test del DNA“.
E la privacy degli altri membri della famiglia? Quanto del tuo DNA racconta una storia di altre relazioni parentali? Quando cediamo il nostro DNA a società di test commerciali, potremmo coinvolgere i membri della nostra famiglia senza il loro consenso. Uno studio su Science Magazine intitolato “Identity inference of genomic data using long-range familial searches” rivela: il 60% degli americani di origine europea può essere associato ai propri cugini di terzo grado o a relazioni ancora più strette. Brian Resnick che scrive per Vox stima che il numero aumenterà man mano che la tecnologia migliorerà e un numero crescente di persone forniranno i loro dati alle aziende del DNA. Quali sono le conseguenze sui legami familiari?
Abbiamo già un esempio: in California, la partecipazione di una persona a un database di test del DNA ha portato all’arresto di un suo familiare.

Utilizzo di test del DNA commerciali per catturare un assassino
Nell’aprile 2018, l’FBI in California ha effettuato un arresto relativo ad un caso lasciato irrisolto per decenni: il Golden State Killer. La notizia ha suscitato clamore per l’arresto e per come è stato trovato il colpevole. Per trovare il Golden State Killer, gli investigatori hanno provato una nuova tecnica. Hanno preso precedenti prove forensi del DNA e le hanno confrontate  con una piattaforma commerciale del DNA, GEDMatch. Il sospetto non aveva caricato il proprio DNA… ma un parente dell’Oregon sì. In questo modo le autorità hanno avuto un nuovo indizio. Prendendo la corrispondenza del DNA dall’Oregon e mappando i parenti in un albero genealogico, hanno potuto circoscrivere il numero di sospetti, fino a restringerlo abbastanza da effettuare l’arresto.
Le forze dell’ordine che usano il DNA per risolvere i crimini non sono una novità. L’uso delle prove del DNA è accettato sin dal 1988,con il primo caso risolto attraverso con l’aiuto del test del DNA all’interno di un processo per omicidio. Tuttavia, le richieste di accesso della polizia ai database delle realtà commerciali che si occupano di test del DNA stanno sollevando preoccupazioni. In passato, le prove del DNA rappresentavano solo la chiusura del caso. Nel 1988, la polizia identificò un imputato come colpevole poichè il DNA della vittima corrispondeva a una macchia di sangue sulla sua maglietta. Con il Golden State Killer, gli investigatori non hanno usato il DNA per confermare le prove. Invece, è diventato un nuovo sistema di ricerca del colpevole.

Gli accessi delle forze dell’ordine in aumento
L’accesso al test del DNA da parte delle forze dell’ordine rappresenta una preoccupazione crescente. Quali limiti ai risultati del test del DNA dovrebbero avere la polizia e gli investigatori? Nel gennaio del 2019, l’indignazione pubblica è aumentata poichè FamilyTreeDNA ha permesso all’FBI di accedere al suo database. Scrivendo per il Miami Herald, Monique Madan di 23andMe risponde alle richieste legali caso per caso.
Ancestry DNA dà seguito a tutte le richieste legali legittime, comprese quelle derivanti da mandati o citazioni in giudizio. Queste richieste sono in aumento.
Nel novembre del 2019, i tribunali hanno permesso a un detective della Florida di accedere senza restrizioni ai server di GEDMatch per svolgere le sue indagini. Questo episodio ha creato un precedente preoccupante: se questo tipo di mandati diventano ottenibili, è probabile che altre agenzie richiedano ed ottengano autorizzazioni da parte del tribunale che permettano di scavalcare le politiche sulla privacy delle società di test del DNA. Parlando con Science News, Erin Murphy della New York University ha commentato che la possibilità di ottenere un mandato rappresenta un enorme punto di svolta. “È un segnale che nessuna informazione genetica può essere sicura“.
Altri invece sono più scettici. Parlando sempre con Science News, l’avvocato e bioeticista Kayte Spector-Bagdady ha suggerito che non sarà così semplice. A differenza delle aziende che fanno un’analisi della saliva, GEDMatch consente agli utenti di caricare nel suo database i propri dati grezzi, gratuitamente, da altri servizi. Il mandato non si applicherebbe alle aziende che effettuano analisi dirette agli utenti privati e, se venisse emesso un mandato per l’accesso da parte della polizia a un database come quello di 23andMe, la società avrebbe il diritto di presentare ricorso. Se le aziende ritengono che sia in gioco la privacy degli utenti, “hanno ancora il diritto di contestare i mandati in tribunale“.
Ciò presuppone, tuttavia, che la società richieda un mandato per consentire l’accesso. Si consideri però che prima del maggio del 2019, i profili di GEDMatch erano accessibili alle forze dell’ordine per impostazione predefinita, e proprio tale possibilità ha permesso alla polizia di utilizzare lo strumento per trovare il Golden State Killer. Una possibilità che potrebbe pesto estendersi e concretizzarsi: a dicembre 2019, GEDMatch è stato acquistato dalla società di test forensi Verogen. Poiché Verogen è specializzata nell’assistenza alla polizia, il futuro accesso alle forze dell’ordine è un dato di fatto.

Perché l’applicazione della legge sul DNA è un problema?
Con l’aumento dell’accesso delle forze dell’ordine ai database privati di DNA, gli scienziati e i difensori dei diritti civili sollevano diverse preoccupazioni. I ricercatori, ad esempio, temono che meno persone saranno disposte a condividere il loro DNA per la ricerca sulla salute per paura di finire in un database della polizia. Ci sono differenze significative tra i dati genetici nelle mani dei medici e quelli nelle mani dell’apparato giudiziario. La dottoressa Caitlin Curtis dell’Università del Queensland in Australia pone la domanda:
“Può essere accettabile ricevere un punteggio di rischio genetico per la salute da un medico, ma vogliamo che le forze dell’ordine prevedano la salute mentale dei sospetti o che tali informazioni siano prese in considerazione in tribunale?”
Altri, tra cui Russel, chiedono se la consegna del DNA alla polizia violi il Quarto Emendamento, che vieta “perquisizioni e sequestri irragionevoli”. Esaminando i casi passati di uso da parte della polizia delle prove del DNA, diventa chiaro che il metodo non è infallibile. Matthew Sheer, scrivendo per The Atlantic, ha dimostrato una serie di modi in cui il DNA può sbagliare. Commentando l’articolo di Sheer, Erin Murph della New York University lo dice chiaramente: “solo perché stiamo andando avanti non significa che non vengano ancora commessi errori“.

Dna sul dark web: anche gli hacker vogliono le informazioni del DNA
Anche se un’azienda pianifica la migliore politica sulla privacy, sarà in grado di sostenerla? La polizia non è l’unica a volere il tuo DNA: è un obiettivo prezioso per gli hacker. Le violazioni dei dati sono una problema comune per la cyber security, e già interessa anche le banche dati del DNA. Nel 2018 il sito di test del DNA MyHeritage ha subito un furto di 92 milioni di nomi utenti e password. Da allora la società ha aggiunto l’autenticazione a due fattori per gli accessi onde aumentare la sicurezza, ma il furto da loro subito non è stato l’unico di tal genere. Un anno dopo, nel novembre del 2019, gli aggressori hanno ottenuto una miniera di dati da Veritas Genetics. Per coloro il cui DNA è ora nel dark web, le opzioni sono limitate.
Perché gli hacker dovrebbero volere il tuo DNA? Matt Jancer con Men’s Journal ha illustrato la realtà del crimine informatico. Gli hacker possono chiedere per il DNA trafugato un riscatto, minacciando di rivelare condizioni mediche o segreti di famiglia alle persone sbagliate. Sono dati preziosi e qualsiasi deposito di dati sensibili è a rischio. Peggio ancora, c’è un’enorme differenza tra un elenco rubato di password e un database di sequenze di DNA. Per cominciare, il tuo DNA non può essere ripristinato o cambiato: una volta diffuso nel dark web, è pubblico per sempre.

La punta dell’iceberg
La triste realtà è che stiamo solo iniziando a capire cosa si può fare con il nostro DNA. Già, le paure tecnologiche stanno diventando reali. Adrian Potoroaca di echspot ha rivelato che in Cina gli scienziati stanno combinando il DNA con il software di disegno per generare modelli approssimativi del volto di una persona. La tecnica, chiamata fenotipizzazione del DNA, consente agli scienziati di identificare visivamente gli individui senza fotografie. Più agghiacciante è ciò per cui vengono utilizzati i dati. Secondo Mark Munsterhjelm, dell’Università di Windsor, Ontario, “la tecnologia viene utilizzata per la caccia alle persone“.
Altre pratiche sinistre non sono difficili da immaginare. Ad esempio, il DNA rubato potrebbe essere applicato per hackerare i sistemi di sicurezza biometrica? Non sembra essere troppo inverosimile, con ricercatori come Tsutomu Matsumoto che utilizzano la stampa 3D. Quando si tratta di test del DNA commerciali, i clienti devono capire che il divertimento comporta dei rischi. Una volta analizzato il tuo DNA, può essere utilizzato per molto di più che trovare parenti persi. David Gewirtz con ZNet lo dice meglio: ” Il tuo DNA è, fondamentalmente, il codice sorgente di … tu. “

Victoria McIntosh
(traduzione Centro Studi Araldici)
.

Articoli correlati: Degli Uberti incontra il Rotary Viverone

Esempio di albero genealogico
24 Marzo 2022
Giovanni Moneta

Cerca negli articoli

Questo servizio è offerto dal Centro Studi Araldici.
Questo servizio è offerto dal Centro Studi Araldici.
Come funziona la ricerca?

Siti Collegati

  • Banner del sito di Stemmario Italiano.
  • Banner del sito del Centro Studi Araldici.
  • Banner del sito del Araldica On Line.
  • Banner del sito Creare Stemmi
  • Banner del sito Araldica TV