Il Problema della Ricerca Longitudinale
La ricerca clinica longitudinale opera su una tensione fondamentale: le identità dei partecipanti devono essere protette durante tutto il periodo dello studio per soddisfare i requisiti dell'IRB e mantenere la fiducia dei partecipanti, ma gli stessi partecipanti potrebbero dover essere contattati per un follow-up clinico se la ricerca rivela risultati inaspettati.
Un centro di ricerca oncologica che conduce uno studio sui biomarcatori con 5.000 pazienti scopre a metà studio che 47 partecipanti mostrano marcatori che suggeriscono un rischio elevato per una variante di cancro aggressivo non originariamente identificata come obiettivo dello studio. Il comitato etico esamina il risultato e approva il ri-contatto sotto il dovere di avvertire — il potenziale beneficio medico giustifica l'identificazione e il contatto dei partecipanti interessati.
Se la de-identificazione originale era permanente — se le identità dei pazienti erano state sostituite con codici casuali senza una tabella di mappatura mantenuta dal custode dei dati — il team di ricerca non può identificare quali pazienti reali corrispondono ai 47 partecipanti interessati. Il risultato della ricerca non può essere attuato. I pazienti che potrebbero necessitare di attenzione clinica urgente non possono riceverla. Il quadro etico dello studio, che bilanciava la protezione della privacy contro il potenziale di risultati clinicamente azionabili, ha fallito nel suo caso d'uso più importante.
GDPR e il Requisito di Separazione Chiave
Le Linee Guida EDPB 05/2022 sulla pseudonimizzazione riconoscono questa tensione e forniscono un quadro per risolverla. La pseudonimizzazione è riconosciuta come una misura di protezione dei dati che preserva la capacità di re-identificare quando necessario.
Il requisito è la separazione chiave: la chiave di decrittazione deve essere mantenuta separata dai dati pseudonimizzati, sotto controlli tecnici e organizzativi che impediscono l'accesso non autorizzato. Un team di ricerca non può accedere contemporaneamente sia al dataset anonimizzato che alla chiave di decrittazione — i controlli devono garantire che la re-identificazione richieda un processo autorizzato, non semplicemente il possesso del dataset.
L'indagine IAPP del 2024 ha rilevato che solo il 23% degli strumenti di anonimizzazione offre una vera reversibilità — la capacità di produrre un dataset pseudonimizzato con una capacità di decrittazione mantenuta che soddisfa il requisito di separazione chiave dell'EDPB. La maggior parte degli strumenti offre sostituzione permanente o mascheramento, che impediscono la re-identificazione autorizzata richiesta dallo scenario del dovere di avvertire.
L'Architettura di Crittografia Reversibile
L'architettura di ricerca clinica che soddisfa sia i requisiti di privacy dell'IRB che le esigenze di re-identificazione del dovere di avvertire:
Il dataset di ricerca è elaborato utilizzando crittografia reversibile con AES-256-GCM, generando token crittografati deterministici dagli identificatori dei pazienti. L'identificatore di ciascun paziente è rappresentato in modo coerente in tutti i documenti dello studio, mantenendo l'integrità referenziale mentre protegge l'identità. La chiave di decrittazione è detenuta da un custode dei dati designato, mantenuta separatamente dal dataset anonimizzato, sotto controlli di accesso che richiedono autorizzazione documentata per qualsiasi operazione di decrittazione.
Il team di ricerca lavora interamente con il dataset anonimizzato — non viene fornito accesso alla chiave di decrittazione per analisi di routine. Quando i 47 partecipanti interessati vengono identificati nell'analisi statistica, l'approvazione del comitato etico attiva il processo di re-identificazione autorizzato. Il custode dei dati applica la chiave di decrittazione ai 47 record specifici. Il team di ricerca riceve le identità reali dei pazienti per quei 47 partecipanti solo. Le identità dei restanti 4.953 partecipanti rimangono protette.
Fonti: