Fallimento di 23andMe: cosa succederà ai dati personali dei clienti?

I dati genetici di milioni di utenti sono a rischio: ecco cosa sappiamo sul fallimento di 23andMe e cosa puoi fare per proteggerti!

A marzo 2025 Anne Wojcicki, CEO e cofondatrice dell’azienda di genomica 23andMe si è dimessa e ha dichiarato bancarotta, a causa di una combinazione di problemi economici e di sicurezza.

La domanda sorge spontanea: cosa succederà ai dati personali degli utenti, e non solo a nome, cognome o età, ma proprio ai dati genetici archiviati dall’azienda?

Come succede in caso di fallimento, l’azienda ha messo in vendita i propri beni materiali e immateriali per recuperare denaro e pagare parte dei debiti; tra questi cosiddetti “asset” compare anche il materiale genetico accumulato negli archivi.

Dove finiranno questi dati? Cosa possono fare i clienti per proteggere la propria privacy e difendersi da scenari distopici di controllo e sfruttamento genetico? Ne parliamo in questo articolo sul fallimento di 23andMe e sul pericolo di condividere i nostri dati. Buona lettura!

A causa del fallimento e delle leggi americane sulla conservazione dei dati, i clienti hanno di fatto perso il controllo sui propri dati e sul proprio materiale genetico.

Cos’è 23andMe e perché è fallita

23andMe è stata un’azienda americana che realizzava test genetici con varie finalità: screening della predisposizione a malattie, farmacogenetica, tratti genetici, stima dell’origine etnica, mappatura delle migrazioni degli antenati e perfino corrispondenze con parenti genetici.

Tutti questi servizi erano disponibili tramite l’invio di un kit per il prelievo di un campione di saliva, sufficiente per raccogliere una certa quantità di DNA e analizzarlo con i sistemi proprietari dell’azienda.

23andMe ha avuto subito un grande successo, sia per i presunti vantaggi a livello farmacologico e salutare, sia per la curiosità che sempre più persone mostrano per il loro passato e la genealogia.

Purtroppo, però, 23andMe ha avuto alcuni problemi insormontabili:

• Modello di business non sostenibile: i clienti acquistavano il servizio ma non ripetevano (ovviamente).
• Problemi interni e divergenze a livello dirigenziale.
• Furto di dati di 7 milioni di persone.
• Class action per un valore di 30 milioni di dollari da parte dei clienti colpiti dal data breach.

La fuga di dati del 2023 è stata il problema più grave, non solo per la causa collettiva da decine di milioni di dollari, ma soprattutto per l’impatto devastante sulla reputazione dell’azienda, che ha scoperto la violazione con un ritardo di 5 mesi.

Una gestione non ottimale e le potenziali conseguenze dell’esposizione dei dati genetici hanno minato per sempre la fiducia dei potenziali clienti, per cui 23andMe è stata costretta a dichiarare bancarotta e mettere in vendita i propri beni.

Impatto sulla privacy

Cosa significano questo data breach e il fallimento di 23andMe per la privacy dei clienti? Innanzitutto, bisogna notare che i dati rubati comprendevano sia le informazioni sensibili fornite dagli utenti stessi, sia i risultati delle analisi realizzate da 23andMe, quindi tutte le informazioni genetiche, sanitarie e familiari ricavate.

Questi dati hanno un valore enorme, non solo per le persone che li posseggono, ma per eventuali altre aziende che potrebbero sfruttarli, ad esempio per scopi di marketing o analisi comportamentali.

Per quanto riguarda i dati ancora in possesso dell’azienda, si pongono due grossi interrogativi:

1. Cosa succederà ai dati immateriali?
2. Cosa ne sarà dei campioni fisici?

Teoricamente, tutti i clienti possono richiedere la cancellazione dei dati personali, ma alcuni di essi devono essere conservati per rispettare alcune leggi americane (ad esempio per consentire eventuali analisi e indagini in un secondo momento).

Si crea quindi un problema molto complesso: la persona che ha inviato il kit ha di fatto perso il controllo sui propri dati e sul proprio materiale genetico.

LEGGI ANCHE: Privacy dei dati: una guida per singoli utenti e famiglie

Cosa può fare l’utente italiano

Prima di addentrarci in speculazioni fantascientifiche, vediamo cosa puoi fare dopo il fallimento di 23andMe:

• Cancellare i dati personali. Per prima cosa, devi richiedere esplicitamente la cancellazione delle informazioni sensibili che l’azienda aveva salvato su di te.
• Distruzione dei campioni genetici. Anche questa richiesta deve essere fatta in modo esplicito e separato, perché non è una conseguenza logica della cancellazione dei dati personali.
• Se non ricevi una risposta chiara, esaustiva e convincente, ti consigliamo di rivolgerti al Garante per la protezione dei dati personali. Non è escluso che nei prossimi mesi vengano organizzate altre denunce collettive in paesi di altre giurisdizioni (come l’Unione europea).

Se avevi acquistato i servizi di 23andMe, ti consigliamo caldamente di fare subito queste cose, prima che i dati vengano rivenduti insieme agli asset dell’azienda.

Data breach nelle aziende biotech e sanitarie

Questo episodio ha messo in luce un fenomeno molto serio e poco regolamentato, ovvero il trattamento dei dati genetici e di eventuali fughe di dati in aziende di settori critici, come appunto la biogenetica o le cliniche mediche.

Il problema principale è che i dati genetici e medici possono esporre le vittime a molti tipi di attacchi, soprattutto in un futuro prossimo dominato dall’intelligenza artificiale e di cui ancora non possiamo prevedere tutti i possibili sviluppi.

Questo tipo di aziende fonda (o dovrebbe fondare) il proprio servizio su un rapporto di fiducia con il cliente, che cede i suoi dati più importanti, intimi e critici. Quando si verifica un incidente, va da sé che non basta una multa o una lettera di scuse da parte della CEO.

E soprattutto, servono normative molto più severe e dettagliate. Ad esempio, dopo il fallimento di 23andMe i suoi beni verranno messi all’asta; questo significa che un’altra azienda potrà acquistare i milioni di campioni genetici?

Cosa potrà fare con o senza il consenso degli interessati? Quali saranno i mezzi considerati sufficienti per raccogliere un eventuale secondo consenso da parte di queste persone? La lista di dubbi potrebbe andare avanti ancora per molto.

Gli ex clienti di 23andMe devono richiedere la cancellazione dei dati personali e l’eliminazione dei campioni genetici. In caso di dubbi, meglio rivolgersi al Garante della Protezione dei Dati Personali.

Ipotesi sui rischi per i dati genetici e la privacy

Il motivo per cui questi ambiti devono essere più regolamentati è che i dati genetici, medici e biologici possono esporre a scenari di attacco ancora inesplorati, come:

Accessi illeciti da terze parti

Innanzitutto, altre persone o compratori potrebbero accedere e utilizzare i dati senza il consenso esplicito delle persone.

Profilazione genetica

Alcune aziende potrebbero usare i dati per creare profili e segmenti di utenti, ad esempio per offrire coperture assicurative, servizi sanitari o prodotti biomedici su misura.

Furti di identità basati sul DNA

Il materiale genetico potrebbe essere usato in futuro per creare identità alternative o impersonare le vittime, ad esempio per superare sistemi di accesso biometrico e controlli dell’identità.

Uso in ambito militare o giudiziario

Il DNA rubato potrebbe essere usato sia per analisi non rispettose della privacy personale e dei principi etici sociali sia per indagini giudiziarie secondo iter che attualmente non sono considerati legali.

Gestione dei dati genetici e della privacy

Questi sono solo alcuni esempi di cosa potrebbe succedere in futuro a una persona che ha perso il controllo sui propri dati personali e genetici. Forse vi sembreranno esagerati, ma i criminali informatici (e a volte anche i governi) non esitano a utilizzare qualsiasi tecnica e tecnologia disponibile per raggiungere i propri obiettivi.

Per questo è così importante riflettere prima di condividere i nostri dati: dove finiranno? Chi li userà, come, perché e per quanto tempo? E cosa potrebbe succedere in caso di incidente informatico? Chi pagherà le conseguenze?

Sono tutte domande a cui non esiste una risposta univoca, ma a cui bisogna pensare prima di contrattare un servizio online, soprattutto se tocca ambiti molto personali della nostra vita, come quello sanitario, medico o addirittura genetico.

In questo articolo abbiamo parlato del fallimento di 23andMe, di cosa potrebbe succedere ai dati genetici dei clienti e del terribile data breach subito dall’azienda, che ha interessato 7 milioni di persone.

Abbiamo visto cosa devi fare per proteggere i tuoi dati genetici e la tua privacy se avevi acquistato i servizi di 23andMe, e abbiamo concluso con una riflessione sul futuro dei dati personali nei settori medico-biologici.

E tu, affideresti il tuo DNA a un’azienda privata? Scrivilo nei commenti e partecipa al dibattito. La tua opinione conta!

CONTINUA A LEGGERE: Cos’è Vitruvian 1, il primo modello di AI made in Italy

Buona navigazione e buona protezione dei tuoi dati genetici!