A Exigência do Protocolo de Reidentificação do IRB
Os IRBs agora comumente exigem que os pesquisadores documentem seu protocolo de reidentificação — não apenas seu método de desidentificação. A documentação deve provar duas coisas simultaneamente: que o conjunto de dados desidentificado não pode ser reidentificado por partes não autorizadas e que a reidentificação autorizada é possível sob condições definidas.
Esse requisito duplo reflete as lições da pesquisa longitudinal onde descobertas clinicamente acionáveis surgiram no meio do estudo, mas a anonimização permanente impediu a ação sobre elas. As ações de aplicação do GDPR aumentaram 56% em 2024 (Relatório Anual DLA Piper 2025), e a isenção de pesquisa da UE sob o Artigo 89 exige especificamente a pseudonimização em vez da anonimização permanente para dados de pesquisa — reconhecendo que a pesquisa requer reversibilidade sob condições controladas.
Um artigo de 2024 da NEJM AI sobre desidentificação baseada em LLM sinaliza explicitamente esse desafio: "notas clínicas desidentificadas permanecem estatisticamente ligadas à identidade através das correlações que confirmam sua utilidade clínica." A recomendação do artigo: pseudonimização com custódia de chave documentada em vez de anonimização permanente, especificamente para preservar a capacidade de recontato que a pesquisa longitudinal requer.
A Arquitetura de Reidentificação Controlada
A criptografia determinística AES-256-GCM gera tokens consistentes: o mesmo identificador de paciente sempre é criptografado para o mesmo token usando a mesma chave. "Paciente_001" na avaliação inicial é criptografado para "[ENC:f8a2c...]" — o mesmo token aparece no acompanhamento de 3 meses, no acompanhamento de 12 meses e na análise final. A equipe de pesquisa pode rastrear os dados longitudinais do paciente usando o token criptografado como um identificador estável, sem nunca acessar a verdadeira identidade.
O arranjo de custódia de chave satisfaz o requisito de separação de chave do EDPB: a equipe de pesquisa detém o conjunto de dados criptografado. O custódio de dados designado mantém a chave de descriptografia em um sistema de gerenciamento de chaves separado. Nenhuma das partes pode reidentificar os participantes sem a outra — a equipe de pesquisa não pode descriptografar sem a chave, e o custódio da chave não pode identificar quais registros pertencem a quais participantes sem os dados.
Quando a reidentificação é autorizada (aprovação do comitê de ética, constatação de dever de aviso, requisito regulatório), o custódio da chave aplica a chave aos registros identificados específicos. Cada evento de descriptografia é registrado: quais registros, quando, por quem, sob qual autorização. O log de auditoria demonstra conformidade com os requisitos do Artigo 89 do GDPR para salvaguardas documentadas.
Implementação Prática
Para um centro de pesquisa oncológica europeu com uma coorte de 5.000 pacientes: o conjunto de dados de pesquisa é anonimizado usando criptografia reversível antes da distribuição para instituições colaboradoras em três países. A equipe de pesquisa de cada instituição pode analisar dados longitudinais usando tokens de pacientes criptografados. A chave é mantida pelo oficial de proteção de dados da instituição coordenadora.
Quando uma análise de biomarcadores no meio do estudo identifica 47 participantes com marcadores de risco elevados, a aprovação do comitê de ética aciona um pedido formal de reidentificação. O oficial de proteção de dados descriptografa os 47 registros específicos. A equipe clínica da instituição coordenadora contata os 47 pacientes reais. As identidades dos outros 4.953 participantes permanecem protegidas em todas as três instituições colaboradoras.
Fontes: