Dati genetici: il problema della sicurezza

di Andrea Gelpi* - 17.04.08

La preoccupazione dei ricercatori è emersa con chiarezza fin dalla relazione di apertura, tenuta dal chairman Leonardo Santi, presidente del Comitato nazionale per la biosicurezza, le biotecnologie e le scienze della vita.
Ricordo ancora lo stupore di alcuni relatori, nel 2004, nel corso della prima edizione della Conferenza, quando fu chiesto loro quali fossero le misure di sicurezza adottate per questo tipo di banche dati. La risposta fu che le banche dati con finalità di ricerca erano di fatto pubblicamente accessibili, proprio per favorire lo scambio di informazioni e permettere il progredire della ricerca.
Oggi la situazione appare radicalmente cambiata e gli operatori stessi sono preoccupati degli aspetti di sicurezza delle banche che contengono dati relativi al DNA delle persone.

Come ha sottolineato nel suo intervento l'avvocato Andrea Monti, le problematiche della sicurezza delle banche di dati genetici assomigliano a quelle, ben note, della conservazione dei dati sulle telecomunicazione, di cui si sta discutendo da tempo senza trovare il bandolo della matassa. C'è però una importante differenza: i dati delle TLC contengono informazioni su qualche cosa che i singoli hanno fatto (siti internet visitati, telefonate fatte, ecc.). Le banche dati di DNA invece contengono dati su quello che gli individui sono e la differenza è notevole.

Altri dati sono meno critici, ad esempio quelli biometrici, in quanto permettono di sapere se un individuo era in un posto in un certo momento, ma nulla dicono, per quello che la scienza sa oggi, su chi siamo realmente. Queste informazioni sono racchiuse nel DNA, che è come il "codice sorgente" di ciascuno di noi.

Andrea Cocito ha dichiarato, e altri relatori hanno confermato, che da tali banche dati è possibile risalire alla paternità degli individui censiti. Ma non quella presente negli uffici dell'anagrafe, bensì quella che madre natura gestisce: pare che le differenze siano vicine al 20%, il che significherebbe che un individuo su 5 non è figlio di chi risulta dall'anagrafe, per usare le parole dello stesso Cocito. Al di là della correttezza di questo dato, è evidente che l'utilizzo di tali informazioni potrebbe avere una ricaduta sociale enorme. Basti pensare ad un individuo che, dall'analisi del DNA contenuto in una banca dati, scopre di essere figlio di un personaggio famoso.

All'accesso a tali banche dati hanno interesse molte realtà differenti, oltre alle forze dell'ordine e agli istituiti di ricerca. Basti pensare alle assicurazioni, che potrebbero trarre informazioni per loro preziose. Credo che ad oggi solo la fantasia possa porre dei limiti sull'utilizzo futuro delle informazioni contenute nel DNA e non prendo nemmeno in considerazione il problema delle manipolazioni del DNA, che ci porterebbe lontano.

I relatori hanno parlato di come queste banche dati sono organizzate e di quali problemi soffrano.
L'impressione che ne ho avuto è che il problema non è solo tecnologico, ma soprattutto organizzativo e legale. In altre parole, non si può invocare la tecnica per proteggere le banche dati da accessi per finalità non previste in sede di progetto, o per evitare fughe e furti di dati o altro, ma sembra anche evidente che la sola tutela giuridica non è sufficiente.

I problemi sono gli stessi delle banche dati già conosciute dagli informatici e di cui si discute da tempo:
- essere sicuri che i dati immessi facciano riferimento alla persona a cui appartengono e non ad un terzo;
- come verificare eventuali errori nei dati immessi;
- stabilire chi ha accesso ai dati e per quali finalità;
- quali finalità si possono considerare lecite e quali no;
- che cosa succede se dei dati vanno persi o distrutti;
- per quanto tempo si devono conservare questi dati.

Vediamo un esempio presentato alla conferenza.
Stephen Firth ha parlato del National DNA Database (NDNAD) inglese, usato dalle forze dell'ordine. Il database, costituito nel 1995, contiene informazioni su quasi 5 milioni di individui, compresi bambini di età inferiore ai 10 anni. Durante la presentazione sono emerse tutte le problematiche sopra elencate. Nel database c'è un due per cento di campioni di individui di cui non si conosce il sesso (un errore nei dati immessi all'origine?); alcuni dati sono stati trafugati, forse per spionaggio; altri sono andati perduti. Ma, soprattutto, i dati vengono cancellati solo dopo cento anni.
Un altro dato che colpisce è che in meno di dieci anni le forze dell'ordine inglesi hanno raccolto campioni di DNA di oltre il 5% della popolazione e non tutti i campioni sono stati raccolti con il consenso o comunque informando gli interessati.

Un altro dato inquietante è che questa banca dati è gestita interamente tramite software a codice chiuso, quindi in mano alle sole aziende che lo hanno sviluppato. In altre parole, solo chi ha sviluppato il codice sa (forse) se esso è sicuro: nessuno, all'esterno di queste aziende, può verificare se ci sono falle o altri problemi.

In conclusione, l'impressione è che gli operatori si stanno preoccupando di vari aspetti, sia tecnici sia organizzativi, mentre il legislatore sta a guardare. Resta però un dubbio di fondo, che l'esperienza nel settore dei dati informatici porta ad essere quasi una certezza: non sarà possibile tutelare del tutto queste banche dati da utilizzi non previsti. Allora che cosa conviene fare?
 

* Ingegnere, consulente in sicurezza informatica - security @ gelpi.it