O Problema da Pesquisa Longitudinal
A pesquisa clínica longitudinal opera em uma tensão fundamental: as identidades dos participantes devem ser protegidas ao longo do período do estudo para satisfazer os requisitos do IRB e manter a confiança dos participantes, mas os mesmos participantes podem precisar ser contatados para acompanhamento clínico se a pesquisa revelar descobertas inesperadas.
Um centro de pesquisa oncológica que realiza um estudo de biomarcadores com 5.000 pacientes descobre, no meio do estudo, que 47 participantes apresentam marcadores sugerindo risco elevado para uma variante agressiva de câncer não identificada originalmente como um ponto final do estudo. O comitê de ética revisa a descoberta e aprova o recontato sob a doutrina do dever de advertir — o potencial benefício médico justifica a identificação e o contato com os participantes afetados.
Se a desidentificação original foi permanente — se as identidades dos pacientes foram substituídas por códigos aleatórios sem uma tabela de mapeamento retida pelo custódio dos dados — a equipe de pesquisa não pode identificar quais pacientes reais correspondem aos 47 participantes afetados. A descoberta da pesquisa não pode ser acionada. Pacientes que podem precisar de atenção clínica urgente não podem recebê-la. A estrutura ética do estudo, que equilibrava a proteção da privacidade contra o potencial de descobertas clinicamente acionáveis, falhou em seu caso de uso mais importante.
GDPR e o Requisito de Separação Chave
As Diretrizes do EDPB 05/2022 sobre pseudonimização reconhecem essa tensão e fornecem uma estrutura para resolvê-la. A pseudonimização é reconhecida como uma medida de proteção de dados que preserva a capacidade de reidentificação quando necessário.
O requisito é a separação chave: a chave de descriptografia deve ser mantida separada dos dados pseudonimizados, sob controles técnicos e organizacionais que impeçam o acesso não autorizado. Uma equipe de pesquisa não pode acessar simultaneamente o conjunto de dados anonimizado e a chave de descriptografia — os controles devem garantir que a reidentificação exija um processo autorizado, não apenas a posse do conjunto de dados.
A pesquisa da IAPP de 2024 descobriu que apenas 23% das ferramentas de anonimização oferecem verdadeira reversibilidade — a capacidade de produzir um conjunto de dados pseudonimizados com uma capacidade de descriptografia retida que satisfaça o requisito de separação chave do EDPB. A maioria das ferramentas oferece substituição permanente ou mascaramento, que impedem a reidentificação autorizada que o cenário do dever de advertir requer.
A Arquitetura de Criptografia Reversível
A arquitetura de pesquisa clínica que satisfaz tanto os requisitos de privacidade do IRB quanto as necessidades de reidentificação do dever de advertir:
O conjunto de dados de pesquisa é processado usando criptografia reversível com AES-256-GCM, gerando tokens criptografados determinísticos a partir de identificadores de pacientes. O identificador de cada paciente é consistentemente representado em todos os documentos do estudo, mantendo a integridade referencial enquanto protege a identidade. A chave de descriptografia é mantida por um custódio de dados designado, mantida separadamente do conjunto de dados anonimizado, sob controles de acesso que exigem autorização documentada para qualquer operação de descriptografia.
A equipe de pesquisa trabalha inteiramente com o conjunto de dados anonimizado — nenhum acesso à chave de descriptografia é fornecido para análise rotineira. Quando os 47 participantes afetados são identificados na análise estatística, a aprovação do comitê de ética aciona o processo de reidentificação autorizado. O custódio de dados aplica a chave de descriptografia aos 47 registros específicos. A equipe de pesquisa recebe as identidades reais dos pacientes apenas para aqueles 47 participantes. As identidades dos 4.953 participantes restantes permanecem protegidas.
Fontes: