Protocolo IRB de recontacto: guía de cifrado reversible
Los IRB ahora piden más que un plan de anonimización. También necesitan un protocolo de recontacto. Debe demostrar dos cosas. Primero, que terceros no autorizados no pueden acceder a los nombres reales de los pacientes. Segundo, que su equipo puede hacerlo — cuando la aprobación ética lo autorice.
Esta doble norma viene de la experiencia real. Estudios largos han producido hallazgos urgentes en mitad del ensayo. Pero los registros estaban bloqueados. No había camino de vuelta. Eso afectó la atención al paciente. Los reguladores lo notaron.
Vea cómo lo apoyamos en nuestra descripción de cumplimiento y prácticas de seguridad.
Por qué los IRB necesitan una puerta de doble sentido
Las multas del RGPD subieron un 56 % en 2024 (DLA Piper Annual Report 2025). El artículo 89 del RGPD responde a esa tendencia. Exige seudonimización — no eliminación total — para los datos de investigación. La norma reconoce que la investigación a veces necesita un camino de vuelta al registro real.
Un artículo de NEJM AI de 2024 estudió la anonimización basada en LLM. Encontró un problema central. Las notas clínicas anonimizadas siguen vinculadas a la identidad del paciente a través de los mismos patrones clínicos que las hacen útiles. El artículo recomienda: seudonimización con un plan de custodia de claves documentado. Eso mantiene abierto el camino de recontacto.
Su IRB necesita ver ambos lados de esa puerta. ¿Quién puede re-identificar? ¿Bajo qué condiciones? ¿Quién tiene la clave? ¿Qué queda registrado?
Cómo funciona el sistema
AES-256-GCM funciona en modo determinista. Cada ID de paciente siempre produce el mismo token. «Patient_001» da la misma salida cada vez. Ese token aparece en la línea base, a los 3 meses y en el análisis final. El equipo sigue a cada paciente solo con el token. Ningún nombre real entra en los archivos de trabajo.
La separación de claves cumple el requisito del EDPB. El equipo de investigación tiene los datos cifrados. Un custodio de datos tiene la clave en un sistema separado. Ninguna parte puede re-identificar sola. El equipo no puede descifrar. El custodio no puede vincular claves con pacientes sin los datos.
Cuando se aprueba un recontacto, el custodio aplica la clave a los registros designados. Cada paso queda registrado: qué registros, cuándo, quién dio la aprobación. Ese registro es su prueba de cumplimiento del artículo 89 del RGPD.
Un ejemplo concreto
Un centro de oncología gestiona una cohorte de 5.000 pacientes en tres países. Cada sitio trabaja solo con tokens. El delegado de protección de datos del centro coordinador tiene la clave.
A mitad del estudio, un análisis señala a 47 pacientes con riesgo elevado. El comité de ética aprueba el recontacto. El delegado descifra esos 47 registros. El equipo clínico contacta a esos 47 pacientes. Los otros 4.953 permanecen protegidos en los tres sitios.
La clave no se mueve. Los datos siguen cifrados. Solo esos 47 registros se vinculan alguna vez a nombres reales.
Para más información sobre seudonimización vs. anonimización total, consulte nuestra guía de anonimización reversible.