Problema cercetării longitudinale
Cercetarea clinică longitudinală funcționează pe o tensiune fundamentală: identitățile participanților trebuie protejate pe toată perioada studiului pentru a satisface cerințele IRB și a menține încrederea participanților, dar aceiași participanți pot avea nevoie să fie contactați pentru urmărire clinică dacă cercetarea relevă descoperiri neașteptate.
Un centru de cercetare oncologică care efectuează un studiu de biomarker pe 5.000 de pacienți descoperă în mijlocul studiului că 47 de participanți prezintă markeri care sugerează risc crescut pentru o variantă agresivă de cancer care nu a fost identificată inițial ca punct final al studiului. Comitetul de etică revizuiește descoperirea și aprobă recontactarea conform doctrinei duty-to-warn — beneficiul medical potențial justifică identificarea și contactarea participanților afectați.
Dacă de-identificarea inițială a fost permanentă — dacă identitățile pacienților au fost înlocuite cu coduri aleatorii fără o tabelă de mapare reținută de custodul datelor — echipa de cercetare nu poate identifica care pacienți reali corespund celor 47 de participanți afectați. Descoperirea din cercetare nu poate fi pusă în practică. Pacienții care pot avea nevoie de atenție clinică urgentă nu o pot primi. Cadrul etic al studiului, care echilibra protecția confidențialității împotriva potențialului pentru descoperiri clinic acționabile, a eșuat în cel mai important caz de utilizare.
GDPR și cerința de separare a cheilor
Ghidurile EDPB 05/2022 privind pseudonimizarea recunosc această tensiune și oferă un cadru pentru rezolvarea acesteia. Pseudonimizarea este recunoscută ca o măsură de protecție a datelor care păstrează capacitatea de re-identificare atunci când este necesar.
Cerința este separarea cheilor: cheia de decriptare trebuie păstrată separată de datele pseudonimizate, sub controale tehnice și organizaționale care previn accesul neautorizat. O echipă de cercetare nu poate accesa simultan atât setul de date anonimizat, cât și cheia de decriptare — controalele trebuie să asigure că re-identificarea necesită un proces autorizat, nu pur și simplu posesia setului de date.
Sondajul IAPP din 2024 a constatat că doar 23% din instrumentele de anonimizare oferă reversibilitate adevărată — capacitatea de a produce un set de date pseudonimizat cu o capacitate de decriptare reținută care satisface cerința de separare a cheilor a EDPB. Majoritatea instrumentelor oferă înlocuire permanentă sau mascaj, care previn re-identificarea autorizată pe care scenariul duty-to-warn o necesită.
Arhitectura criptării reversibile
Arhitectura cercetării clinice care satisface atât cerințele de confidențialitate IRB, cât și nevoile de re-identificare duty-to-warn:
Setul de date de cercetare este procesat folosind criptare reversibilă cu AES-256-GCM, generând jetoane criptate deterministe din identificatorii pacienților. Identificatorul fiecărui pacient este reprezentat în mod consistent în toate documentele studiului, menținând integritatea referențială în timp ce protejează identitatea. Cheia de decriptare este deținută de un custor de date desemnat, păstrat separat de setul de date anonimizat, sub controale de acces care necesită autorizare documentată pentru orice operație de decriptare.
Echipa de cercetare lucrează exclusiv cu setul de date anonimizat — nu se acordă acces la cheia de decriptare pentru analiza de rutină. Când cei 47 de participanți afectați sunt identificați în analiza statistică, aprobarea comitetului de etică declanșează procesul autorizat de re-identificare. Custodul datelor aplică cheia de decriptare la cele 47 de înregistrări specifice. Echipa de cercetare primește identitățile reale ale pacienților pentru acei 47 de participanți doar. Identitățile celorlalți 4.953 de participanți rămân protejate.
Surse: