Lo tirate fuori dalla cassetta delle lettere. È stampato con colori allegri e amichevoli. Tampone. Sputo. Pungersi il dito. Rispedirlo. Presto imparerete qualcosa di nuovo su di voi: i vostri ormoni, la fertilità, il rischio di cancro, la predisposizione all'Alzheimer, il metabolismo, le intolleranze alimentari o persino l'intero genoma. Questo è il richiamo dei test del DNA e della salute fai-da-te ("diretti al consumatore"). A tarda notte, dal telefono, potete ordinare quasi qualsiasi test da fare a casa, siate senza assicurazione, curiosi o semplicemente ansiosi di scoprire quali segreti nasconde il vostro corpo.

Prima di ordinarne uno io, ho fatto un po' di ricerche su Google. All'inizio cercavo risposte semplici: il test era stato revisionato dalla FDA? L'azienda era coperta dall'HIPAA? Un medico avrebbe spiegato i risultati? Più leggevo, meno semplice diventava. Il linguaggio della FDA era raro, e quando appariva, di solito era legato a un test, un referto o un kit di raccolta specifici – non necessariamente all'intera azienda o servizio. Alcune aziende dicevano di essere conformi all'HIPAA; altre no. Quasi tutte citavano laboratori certificati CLIA o accreditati CAP, ma quelli sono solo standard di qualità dei laboratori. Anche la consulenza e l'assistenza post-test variavano ampiamente. Questo mi ha spinto ad approfondire le clausole: le mie informazioni potevano essere condivise con le forze dell'ordine, o usate per pubblicità o ricerca?

La risposta era nelle policy che la maggior parte delle persone non legge mai. Ma io l'ho fatto, per 10 aziende: Everlywell, LetsGetChecked, Labcorp OnDemand, Nebula Genomics / DNA Complete, Nucleus, SiPhox, myLAB Box, CircleDNA, SelfDecode e 23andMe. Ho contattato ogni azienda menzionata per un commento. Ho anche parlato con 12 esperti di bioetica, genetica, HIPAA e diritto sanitario, regolamentazione FDA, privacy dei consumatori e cybersecurity, anche se ne ho citati solo sei.

Il mio primo rischio? Non è la lancetta, il tampone o la provetta che uso per raccogliere il mio campione biologico. Inizia prima, quando ordino il test e presumo probabilmente che, poiché l'azienda gestisce dati relativi alla salute, le mie informazioni siano protette come qualsiasi altra cartella clinica. Negli Stati Uniti, l'HIPAA, l'Health Insurance Portability and Accountability Act del 1996, protegge le informazioni sanitarie personali, o PHI, quando sono create, mantenute o trasmesse da entità coperte e dai loro associati commerciali. Non è una legge sulla privacy valida per tutti.

Anya Prince, professoressa di diritto alla University of Iowa College of Law, studia la privacy sanitaria e genetica. Prince ha detto a ZDNET che la domanda principale è se un'azienda è coperta dall'HIPAA. "I laboratori DTC potrebbero non essere considerati entità coperte," ha detto Prince. "Le informazioni sanitarie che hanno... sarebbero regolate dalla policy sulla privacy dell'azienda piuttosto che considerate PHI." Quando ho guardato le popolari aziende DTC fai-da-te, sono rimasto sorpreso di trovare diversi usi del linguaggio HIPAA e alcune lacune. Everlywell ha detto di essere "impegnata a salvaguardare le vostre informazioni sanitarie personalmente identificabili" ai sensi dell'HIPAA. Labcorp ha detto di essere "obbligata per legge a mantenere la privacy delle informazioni sanitarie" ai sensi dell'HIPAA. Nucleus mi ha detto di essere "conforme all'HIPAA." SiPhox ha detto di avere "sicurezza di grado HIPAA," e myLAB Box ha detto che le informazioni e i campioni legati ai suoi kit sono "coperti" dall'HIPAA. Per le altre, non sono riuscito a trovare una pagina pubblica attuale che confermasse che l'azienda è conforme all'HIPAA o coperta dall'HIPAA.

Julian Gage, fondatore di Engage Compliance e responsabile esterno della protezione dei dati per aziende di test genetici e sanitari DTC, ha detto a ZDNET che le affermazioni "di grado HIPAA" e "conforme all'HIPAA" sono linguaggio di marketing, "non protezione." "La crittografia di grado HIPAA è una dichiarazione su un'impostazione di sicurezza," ha detto Gage. "Non dice nulla sul fatto che l'HIPAA si applichi effettivamente a voi o su cosa l'azienda possa fare con i vostri risultati." Per esempio, ha spiegato che quando un'azienda DTC instrada un ordine attraverso un medico o una rete di telemedicina, quel clinico o rete può essere un'entità coperta dall'HIPAA, e la fetta di dati che crea e conserva può ricadere sotto l'HIPAA. Ma ciò non porta necessariamente l'azienda di test, o il