Protocolo IRB de recontato: guia de criptografia reversível
Os IRBs agora pedem mais do que um plano de anonimização. Eles também precisam de um protocolo de recontato. Você deve provar duas coisas. Primeiro, que terceiros não autorizados não podem acessar os nomes reais dos pacientes. Segundo, que sua equipe pode — quando a aprovação do comitê de ética autorizar.
Essa dupla exigência vem da experiência real. Estudos longos produziram achados urgentes no meio do ensaio. Mas os registros estavam bloqueados. Não havia caminho de volta. Isso prejudicou o cuidado dos pacientes. Os reguladores perceberam.
Veja como apoiamos isso em nossa visão geral de conformidade e práticas de segurança.
Por que os IRBs precisam de uma porta de dois sentidos
As multas do RGPD subiram 56% em 2024 (DLA Piper Annual Report 2025). O Artigo 89 do RGPD responde a essa tendência. Ele exige pseudonimização — não remoção permanente — para dados de pesquisa. A norma reconhece que a pesquisa às vezes precisa de um caminho de volta ao registro real.
Um artigo do NEJM AI de 2024 estudou a anonimização baseada em LLM. Encontrou um problema central. Notas clínicas anonimizadas continuam vinculadas à identidade do paciente pelos mesmos padrões clínicos que as tornam úteis. O artigo recomenda: pseudonimização com um plano de custódia de chaves documentado. Isso mantém o caminho de recontato aberto.
Seu IRB precisa ver os dois lados dessa porta. Quem pode re-identificar? Sob quais condições? Quem detém a chave? O que é registrado?
Como o sistema funciona
O AES-256-GCM roda em modo determinístico. Cada ID de paciente sempre gera o mesmo token. "Patient_001" produz a mesma saída toda vez. Esse token aparece na linha de base, aos 3 meses e na análise final. A equipe acompanha cada paciente apenas pelo token. Nenhum nome real entra nos arquivos de trabalho.
A separação de chaves atende ao requisito do EDPB. A equipe de pesquisa detém os dados criptografados. Um custodiante de dados detém a chave em um sistema separado. Nenhuma parte pode re-identificar sozinha. A equipe não consegue descriptografar. O custodiante não consegue vincular chaves a pacientes sem os dados.
Quando um recontato é aprovado, o custodiante aplica a chave aos registros designados. Cada etapa é registrada: quais registros, quando, quem deu a aprovação. Esse registro é sua prova de conformidade com o Artigo 89 do RGPD.
Um exemplo concreto
Um centro de oncologia gerencia uma coorte de 5.000 pacientes em três países. Cada site trabalha apenas com tokens. O encarregado de proteção de dados do centro coordenador detém a chave.
No meio do estudo, uma análise sinaliza 47 pacientes com risco elevado. O comitê de ética aprova o recontato. O encarregado descriptografa esses 47 registros. A equipe clínica contata esses 47 pacientes. Os outros 4.953 permanecem protegidos nos três sites.
A chave não se move. Os dados permanecem criptografados. Apenas esses 47 registros são alguma vez vinculados a nomes reais.
Para mais informações sobre pseudonimização vs. anonimização total, veja nosso guia de anonimização reversível.