Dane genetyczne i technologie pozwalające na ich przetwarzanie otwierają nowe możliwości w diagnostyce i terapii medycznej – dlatego wiele firm i instytucji zachęca nas do dzielenia się nimi. Warto jednak w tym kontekście przemyśleć ryzyko.
Ostatnie lata to bardzo dynamiczny rozwój technologii genetycznych, które pozwalają na zwiększenie możliwości medycyny, zarówno w zakresie diagnostyki, jak i terapii. Wartość danych genetycznych rozumieją zatem zarówno firmy sektora prywatnego, jak i instytucje państwowe, które razem zachęcają nas do dzielenia się tego rodzaju informacjami – obiecując ulepszenie opieki medycznej zarówno na poziomie społecznym, jak i indywidualnym.
Firmy takie, jak 23andMe – chyba najbardziej znane szerszym kręgom czytelników przedsiębiorstwo z segmentu technologii genetycznych – oferują konsumentom dostęp do szczegółowych informacji o ich genomie, umożliwiających zarówno poznanie swoich predyspozycji zdrowotnych, jak i np. zbadanie pochodzenia etnicznego.
Historia tej spółki jest jednak doskonałym przykładem tego, że obietnice nowych technologii rzadko wolne są od ryzyka – a w tym kontekście, ryzyko to może mieć bardzo długofalowe konsekwencje.
23andMe. Krótka historia utraty zaufania
W październiku 2023 r. w firmie 23andMe doszło do poważnego incydentu bezpieczeństwa danych. Sprawcy uzyskali dostęp do informacji dotyczących ok. 6,9 mln użytkowników usług tej spółki. Skradziono dane takie, jak imiona i nazwiska, adresy i informacje genetyczne, które następnie trafiły do sprzedaży w internecie.
Firma stwierdziła wówczas, że naruszenie bezpieczeństwa było wynikiem ataku typu credential stuffing, a winą za to… obarczyła konsumentów, twierdząc, że stosowali niedostatecznie silne hasła. Podała też, iż nie było bezpośredniego włamania do jej systemów.
W kontekście tego incydentu, szczególnie niepokojący był fakt, iż atak ukierunkowany był na osoby pochodzenia chińskiego i aszkenazyjskiego.
Krótko po tym incydencie zaczęły się trudności finansowe spółki. W listopadzie 2024 r. 23andMe ogłosiło redukcję zatrudnienia o 40 proc., co oznacza zwolnienie ponad 200 pracowników. Firma zdecydowała też zamknąć swój dział terapeutyczny, koncentrujący się na badaniach nad nowotworami. Dlaczego? Bo trzeba było obniżyć koszty operacyjne.
Restrukturyzacja miała przynieść oszczędności w wymiarze ponad 35 mln dolarów rocznie, mimo, że wygenerowała też ogromne koszty – szacowane na 12 mln dolarów – związane z wypłaceniem odpraw i świadczeniami wynikającymi z zakończenia umów.
Wcześniej, we wrześniu tego roku, wszyscy niezależni członkowie zarządu 23andMe zrezygnowali ze swoich stanowisk w ramach protestu przeciwko planom dyrektor generalnej firmy – Anne Wojcicki. Ogłosiła ona bowiem, że firmę do tej pory notowaną na giełdzie chce przekształcić w podmiot całkowicie prywatny.
Wojcicki zaproponowała wykupienie wszystkich akcji nie będących w jej posiadaniu w cenie 0,4 dolara za sztukę. Niezależni członkowie zarządu sprzeciwili się temu, wskazując, że nie ma dla w tym planie miejsca na premię dla akcjonariuszy, nie ma też znaczących postępów w działalności firmy.
Wszystkie te perturbacje, z których najważniejsza była naprawdę kiepska komunikacja 23andMe po incydencie bezpieczeństwa, wpłynęły na utratę zaufania konsumentów do firmy.
Obecnie wiele osób obawia się o bezpieczeństwo swoich danych genetycznych, które przekazane zostały spółce 23andMe w wyniku skorzystania z jej usług – a jest to perspektywa szczególnie istotna w kontekście potencjalnej sprzedaży firmy lub jej aktywów stronom trzecim.
23andMe zapewnia, że dane klientów może w każdej chwili usunąć na ich życzenie, nie oznacza to jednak, iż dotyczy to absolutnie wszystkich informacji – niektóre dane mogą być przechowywane dalej z powodów uzasadnionych prawnie.
Co czeka firmę? Nie wiadomo – wszystko zależy od skuteczności podjętych w spółce działań naprawczych i odbudowy reputacji na rynku, a o to może być bardzo ciężko.
Dane genetyczne to dane szczególnie wrażliwe
Dane genetyczne są wyjątkowo wrażliwe i osobiste. Zawierają informacje nie tylko o indywidualnych cechach każego z nas, ale także o naszych potencjalnych chorobach, które mogą wystąpić w przyszłości. Mogą też dostarczać informacji o członkach naszych rodzin – a zatem, chroniąc dane genetyczne jednej osoby, chronimy znacznie więcej niż ją samą.
Danych genetycznych, w przeciwieństwie do innych informacji na nasz temat, nie można zmienić ani ukryć – również dlatego ich ochrona podlega ścisłym regulacjom, choć to nie wystarcza – bo wyborów konsumenckich, w tym, powierzenia danych różnym podmiotom, dokonujemy przecież samodzielnie i indywidualnie.
W Unii Europejskiej, dane genetyczne chroni RODO – Ogólne Rozporządzenie o Ochronie Danych, które klasyfikuje je jako dane osobowe szczególnej kategorii, wymagające dodatkowej ochrony. Przetwarzanie danych genetycznych wymaga wyraźnej zgody osoby, której dotyczą – i musi być ograniczone do określonych i jasno wskazanych celów.
W przypadku Stanów Zjednoczonych, nie istnieje federalne prawo regulujące ochron danych genetycznych. Jest jednak ustawa znana jako GINA (Genetic Information Nondiscrimination Act), która zabrania ich wykorzystania do dyskryminacji w zatrudnieniu i ubezpieczeniach.
Działalność firmy 23andMe już wcześniej, przed wystąpieniem opisanego incydentu, budziła wątpliwości. Przedsiębiorstwo to zdobyło popularność głównie dzięki usłudze raportów o pochodzeniu etnicznym, którego odkrywanie stało się w ostatnich latach pewną modą. Pytania o to, jak 23andMe podchodzi do danych swoich klientów, dotyczyły zaś przede wszystkim przekazywania ich stronom trzecim oraz potencjalnego wykorzystywania informacji w celach komercyjnych lub badawczych.
Jak groźne może być ujawnienie naszych danych genetycznych?
Wyciek danych genetycznych, to szczególne ryzyko, które niesie z sobą szereg konsekwencji – m.in. dla prywatności. Ujawnienie informacji na temat naszych predyspozycji do pewnych chorób może przełożyć się np. na stygmatyzację tak konkretnej osoby, jak i w określonych przypadkach całej jej rodziny w środowisku zawodowym lub w grupie rówieśniczej (np. w szkole).
Ubezpieczyciele, a także potencjalni pracodawcy, jak i np. sektor bankowy mogą wykorzystywać nasze dane genetyczne do odmowy świadczenia nam usług, oferowania niekorzystnych warunków lub np. odmowy zatrudnienia, co jest niezgodne z prawem – ale nie da się tego w praktyce udowodnić.
Dane genetyczne mogą też być komercjalizowane bez naszej wiedzy i zgody – np. w wyniku ich odsprzedania firmom z sektora farmacji czy biotechnologii, a ostatecznie – służyć jako narzędzie do dyskryminowania mniejszości np. w przypadku ich wykorzystania przez polityków.
Dlatego szczególnie warto sprawdzać, z jakich usług firm oferujących testy genetyczne korzystamy – interesując się bezpieczeństwem technicznym, a także czytając dokumenty zawierające np. politykę prywatności świadczonych usług. Musi ona jasno komunikować nam, jakie dane są zbierane, jak są przechowywane, wykorzystywane i komu udostępniane, a także gwarantować nam możliwość kontrolowania informacji na nasz temat posiadanych przez daną firmę.
