Γράφει o Τάσος Αραμπατζής

Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.

Η Περίπτωση της 23andMe

Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.

Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως “credential stuffing”, όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.

Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.

Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .

Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.

«23andMe» και στην Ελλάδα;

Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος “First Steps”, το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.

Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.

Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.

Οι Κίνδυνοι της Ιδιωτικοποίησης

Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.

Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.

Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.

Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.

Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.

ΑΠΔΠΧ Προστασία Προσωπικών Δεδομένων Στρατηγικές Νομικές Δράσεις γενετικά δεδομένα ενημέρωση ευαισθητοποίηση κυβερνοασφάλεια λογοδοσία