Privacy, gestione dei dati genetici nell’era digitale: il caso del fallimento di “23andMe”

Nel marzo 2025 la società statunitense 23andMe, pioniera dei test genetici diretti al consumatore, ha presentato istanza di fallimento, avviando una procedura di Chapter 11 e sollevando interrogativi cruciali sul destino dei dati genetici di circa 15 milioni di utenti. La preoccupazione principale riguarda la possibilità che queste informazioni, altamente sensibili, possano essere cedute a terzi durante la ristrutturazione aziendale.

La situazione è ulteriormente complicata dal fatto che, nel 2023, 23andMe aveva subito una violazione dei dati che aveva esposto le informazioni genetiche di circa 7 milioni di utenti. Un precedente che ha alimentato le preoccupazioni sulla sicurezza e la gestione dei dati da parte dell’azienda.

In risposta alla procedura concorsuale e alle potenziali implicazioni sulla privacy, diversi procuratori generali statunitensi, tra cui quelli della California e della Virginia, hanno esortato i cittadini a eliminare i propri dati genetici dai database di 23andMe, sottolineando l’importanza di proteggere le informazioni genetiche, considerate tra le più sensibili.

Secondo dati di Similarweb, il giorno dell’annuncio della bancarotta, il sito di 23andMe ha registrato un aumento del 526% delle visite, con centinaia di migliaia di utenti che hanno cercato informazioni su come cancellare i propri dati.

---

La vicenda di 23andMe mette in luce le lacune nella regolamentazione della privacy genetica negli Stati Uniti. A differenza dell’Europa, dove il GDPR offre una protezione più robusta, negli USA non esiste una legge federale specifica che tuteli i dati genetici dei consumatori. La Genetic Information Nondiscrimination Act (GINA) del 2008 vieta la discriminazione basata su informazioni genetiche in ambito lavorativo e assicurativo, ma non regola la vendita o il trasferimento di tali dati.

In ambito fallimentare, il Bankruptcy Code prevede che la vendita di informazioni personali identificate (PII) sia conforme alla privacy policy in vigore al momento della dichiarazione di fallimento, o che venga nominato un ombudsman per la privacy dei consumatori per garantire la protezione degli interessi degli utenti. Nel caso di 23andMe, è stato nominato un supervisore per monitorare la gestione dei dati durante il processo di ristrutturazione.

Sebbene il caso si collochi geograficamente negli Stati Uniti, le sue implicazioni si estendono anche all’Europa e all’Italia. Come si diceva, il GDPR impone rigorose norme sulla protezione dei dati personali, inclusi quelli genetici, e richiede il consenso esplicito per il trattamento e la condivisione di tali informazioni. Tuttavia, la globalizzazione dei servizi e la natura transfrontaliera dei dati digitali rendono vulnerabili anche gli utenti europei.

Il fallimento di 23andMe rappresenta dunque molto più di un semplice allarme temporaneo: è uno spartiacque nel dibattito contemporaneo sulla gestione dei dati genetici nell’era digitale. Mostra come, in assenza di presidi normativi solidi e di una cultura della protezione del dato, anche le informazioni più sensibili — come quelle che raccontano la nostra biologia profonda, le nostre origini, le nostre predisposizioni mediche — possano essere esposte, sfruttate commercialmente o persino trasferite in modo opaco durante crisi aziendali o operazioni straordinarie.

Per le aziende europee che trattano dati genetici (ma non solo) di utenti statunitensi si impone dunque una particolare attenzione nella redazione delle privacy policy, prevedendo clausole specifiche per la gestione dei dati in situazioni straordinarie, come fusioni, acquisizioni o fallimenti. Inoltre, è fondamentale garantire la trasparenza e la possibilità per gli utenti di esercitare i propri diritti, come la cancellazione dei dati e la revoca del consenso.

La lezione è chiara: serve una regolamentazione più stringente e lungimirante, capace di anticipare gli sviluppi di un mercato in rapidissima evoluzione. Le lacune normative devono essere colmate attraverso strumenti che riconoscano esplicitamente la natura unica e non replicabile del dato genetico, e che ne regolamentino la divulgazione, la conservazione e — soprattutto — la titolarità.

Chi è, davvero, il proprietario di un dato genetico una volta che viene condiviso con un operatore privato?

Quali limiti deve avere la sua utilizzabilità a fini di ricerca o profitto?

E in quali condizioni il consenso può dirsi effettivamente informato?

Concludendo, la protezione delle informazioni genetiche non è più solo una questione di privacy nel senso classico del termine: è un terreno dove si intersecano etica, sicurezza, diritto all’identità e fiducia nella scienza. In un mondo sempre più data-driven, in cui il corpo umano diventa un database vivente, il rischio è che ciò che ci rende unici venga trattato come merce, senza piena consapevolezza o controllo da parte dei cittadini.

Affrontare queste domande oggi significa salvaguardare il rapporto tra tecnologia e democrazia domani.

_______

*Federica Rigato, Counsel Studio Legale Tarter Krinsky & Drogin – New York

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più