Il tuo DNA è un asset finanziario

Oggi è sabato. Mentre leggi queste righe il tuo smartwatch sta misurando la frequenza cardiaca, la qualità del sonno della notte scorsa, i passi che hai fatto per arrivare al bar dove stai bevendo il caffè. L'app della farmacia conserva lo storico delle tue prescrizioni. Il braccialetto fitness sa quanto ti sei mosso questa settimana e, se hai un modello recente, conosce la variabilità del battito cardiaco: un indicatore che la letteratura medica correla con longevità e rischio cardiovascolare.

Questi dati, fino a ieri, esistevano in silos separati. Il medico di base vedeva una cosa, il cardiologo un'altra, la farmacia una terza. Frammentazione inefficiente, certo, ma anche una forma di protezione accidentale: nessuno aveva il quadro completo.

Dal 26 marzo 2025 questo è cambiato. Il Regolamento europeo 2025/327, noto come European Health Data Space, è entrato in vigore. Entro gennaio 2026 tutti i sistemi sanitari europei devono certificare l'interoperabilità. Significa che i tuoi dati sanitari elettronici, dalle cartelle cliniche alle prescrizioni, dalle immagini diagnostiche ai risultati di laboratorio, potranno fluire attraverso un'infrastruttura comune. Il paziente potrà accedere alla propria storia clinica ovunque in Europa. I ricercatori potranno richiedere accesso a dataset aggregati per studi scientifici. Le aziende farmaceutiche potranno usare questi dati per sviluppare nuovi farmaci e addestrare algoritmi di intelligenza artificiale.

La narrazione ufficiale è impeccabile: migliore assistenza sanitaria, ricerca più veloce, medicina personalizzata, undici miliardi di euro di risparmi nel prossimo decennio. E tecnicamente è tutto vero.

Ma c'è un pattern che chi ha vissuto altre transizioni tecnologiche riconosce immediatamente.

Il Regolamento contiene divieti espliciti. L'articolo vieta l'uso dei dati sanitari per marketing, per profilazione del rischio assicurativo, per decisioni creditizie, per escludere persone dall'accesso a polizze. Sulla carta, le protezioni esistono. Chiunque legga il testo può verificarlo.

La domanda clinica non è se i divieti esistono. La domanda è quanto reggono nel tempo quando l'infrastruttura è stata costruita e il mercato ha imparato a valorizzarla.

Qui entra in gioco la memoria storica. Il credit score americano nacque negli anni Cinquanta con uno scopo preciso: permettere alle banche di valutare l'affidabilità dei richiedenti prestito. Oggi quel numero influenza l'affitto di un appartamento, la stipula di un'assicurazione auto, la possibilità di essere assunti in certi settori. Nessuno aveva pianificato questa espansione. Il meccanismo è semplice: quando esiste un dato predittivo e un mercato che può trarne vantaggio, la pressione per usarlo diventa strutturale. Le policy si adattano, le eccezioni si moltiplicano, i confini si spostano.

I dati di localizzazione del telefono erano protetti da policy stringenti. Oggi vengono venduti attraverso catene di intermediari così lunghe che risalire alla fonte è quasi impossibile. I dati dei social network dovevano restare privati secondo i termini di servizio. Poi sono arrivati Cambridge Analytica e decine di altri casi meno noti. Non per complotto: per logica economica.

Il mercato globale dei big data sanitari vale oggi circa 130 miliardi di dollari. Le proiezioni per il 2035 oscillano tra 145 e 645 miliardi a seconda delle stime. La crescita annua del volume di dati sanitari supera il 36 per cento, più veloce di qualsiasi altro settore incluso quello finanziario. Questi numeri non sono teoria: sono capitale che cerca rendimento.

Mentre l'Europa costruisce la sua infrastruttura protetta, negli Stati Uniti il futuro è già presente. John Hancock, uno dei maggiori assicuratori vita americani, dal 2018 vende solo polizze che includono il monitoraggio tramite dispositivi indossabili. I clienti che raggiungono obiettivi di attività fisica ricevono sconti sui premi. UnitedHealthcare offre programmi analoghi. Cigna premia chi completa sfide di fitness tracciate da smartwatch.

La retorica è quella dell'incentivo positivo: ti aiutiamo a stare meglio, ti premiamo se ti muovi. Ma il meccanismo sottostante è una riclassificazione del rischio basata su dati comportamentali continui. Chi si muove poco, dorme male, ha una frequenza cardiaca a riposo elevata, non viola nessuna norma. Semplicemente paga di più. O, nella logica assicurativa, paga il prezzo corretto per il suo profilo di rischio. La differenza tra le due formulazioni è solo semantica.

La ricerca medica conferma che frequenza cardiaca a riposo, variabilità del battito, qualità del sonno e livello di attività fisica sono predittori di mortalità e morbilità. Non perfetti, ma statisticamente significativi. Abbastanza significativi perché Munich Re, uno dei maggiori riassicuratori globali, abbia pubblicato paper tecnici su come integrare questi dati nei modelli attuariali. Abbastanza significativi perché le compagnie stiano investendo in infrastrutture per raccoglierli e processarli.

Torniamo all'Europa e al suo Regolamento con i divieti espliciti. Chi difende questi divieti? Le autorità di protezione dati, strutturalmente sottofinanziate. Le associazioni di pazienti, con potere negoziale limitato. I politici, finché il tema è saliente nell'opinione pubblica.

Chi ha incentivo a erodere questi divieti? Un'industria farmaceutica che può accelerare lo sviluppo di farmaci con accesso a dati reali. Un settore assicurativo che può raffinare i modelli di rischio. Un ecosistema di startup che costruisce il proprio valore sull'analisi di dati sanitari. Un mercato da centinaia di miliardi che cresce a due cifre ogni anno.

Non serve ipotizzare complotti. Basta osservare gli incentivi e chiedersi quale configurazione sia più stabile nel lungo periodo.

L'EHDS prevede che i cittadini possano esercitare l'opt-out, ritirare il consenso all'uso secondario dei propri dati. Il meccanismo esiste, è documentato, è reversibile. Ma chi ha studiato i tassi di opt-out nei sistemi dove è richiesta un'azione attiva sa che la stragrande maggioranza delle persone non la compie mai. Il default è inclusione. L'architettura determina il comportamento più di quanto faccia la policy.

C'è poi la questione della pseudonimizzazione. I dati per uso secondario vengono privati degli identificatori diretti: nome, codice fiscale, indirizzo. Ma la letteratura sulla re-identificazione dimostra che dataset sufficientemente ricchi permettono di ricostruire l'identità incrociando variabili apparentemente anonime. Un profilo sanitario dettagliato, combinato con dati geografici e temporali, può essere ricondotto a un individuo specifico con probabilità sorprendentemente alte. Non sempre, non facilmente, ma abbastanza spesso da costituire un rischio sistemico.

Gli esperti intervistati nelle ricerche preparatorie all'EHDS sollevano preoccupazioni precise. Temono che i dati vengano usati in modo sproporzionato per profitto privato piuttosto che beneficio pubblico. Temono che i pazienti "paghino due volte: prima con i loro dati per le grandi aziende, poi di nuovo per farmaci costosi". Temono che gli ospedali inizino a considerare i dati dei pazienti come asset da monetizzare. Queste non sono speculazioni di teorici del complotto: sono le parole di professionisti del settore raccolte in studi accademici peer-reviewed.

La medicina predittiva, quella che promette di identificare malattie prima che si manifestino, si basa sulla stessa infrastruttura. In teoria serve a curare meglio. In pratica crea una categoria di persone che non sono malate ma sono classificate come probabilmente malate. Cosa significa per l'accesso al credito, all'impiego, all'assicurazione essere probabilmente malato? La norma dice che non dovrebbe significare nulla. Il mercato dice che un dato predittivo trova sempre il modo di essere usato.

C'è chi sostiene che l'Europa sia diversa, che il GDPR abbia creato una cultura della protezione dati unica al mondo, che i divieti dell'EHDS reggeranno. È possibile. Ma vale la pena notare che lo stesso GDPR viene aggirato quotidianamente attraverso dark pattern, consensi sepolti in pagine di termini e condizioni, trasferimenti extra-UE di dubbia legalità. Le norme esistono. L'enforcement è un'altra questione.

La transizione digitale della sanità è inevitabile e per molti aspetti desiderabile. Portare la propria storia clinica in vacanza e farla leggere a un medico straniero è oggettivamente utile. Permettere ai ricercatori di accedere a dataset ampi per studiare malattie rare è oggettivamente prezioso. Il problema non è la digitalizzazione in sé.

Il problema è che stiamo costruendo un'infrastruttura permanente sulla base di protezioni temporanee. Le infrastrutture sopravvivono ai governi, alle maggioranze politiche, ai regolamenti. I divieti di oggi possono essere le eccezioni di domani e le prassi consolidate di dopodomani.

Quando si discute di dati sanitari il dibattito si concentra quasi sempre sulla privacy come valore astratto. Ma la privacy non è l'unico tema. Il tema è chi controlla il potere predittivo che emerge dall'aggregazione di questi dati e come quel potere viene usato per allocare risorse: credito, assicurazione, accesso alle cure.

Il tuo corpo produce dati ventiquattro ore al giorno. Ogni battito, ogni passo, ogni notte di sonno disturbato. Fino a ieri questi dati erano rumore di fondo biologico. Da oggi sono un asset in un mercato che vale centinaia di miliardi e cresce più velocemente di qualsiasi altro.

La domanda fredda, quella che merita una risposta prima di delegare tutto alla fiducia nel sistema, è semplice: chi sta costruendo l'infrastruttura per leggere quel rumore e trasformarlo in decisioni che ti riguardano? E quella infrastruttura, una volta costruita, risponderà alle policy di oggi o a quelle di chi, domani, avrà il potere di riscriverle?