Tradução espontânea do texto
Data De-Identification: Getting It Right
Peritos debatem os melhores
métodos para a proteção da privacidade do doente
Quando os dados do doente são
usados para fins secundários, tais como a investigação, estes devem ser
anonimizados. Mas é esse processo consistente e confiável na proteção da
privacidade dos doentes? Um advogado especializado em privacidade e um investigador
experiente explicam numa entrevista junto do Grupo de Trabalho sobre Segurança
da Informação nos Media que a anonimização é confiável se certos
métodos, tal como enunciado no Health Insurance Portability and
Accountability Act (HIPAA), forem realmente utilizados. Muitas vezes, dizem, os
dados anonimizados não cumprem a sua função eficazmente porque não seguem as
melhores práticas e padrões.
Dois métodos
Apenas podem ser usados dois
métodos de anonimização para seguir as regras de privacidade do HIPAA, explica
Scot Ganow, advogado escocês especializado em privacidade e segurança, do
escritório de advocacia Faruki Ireland & Cox P. L. L.
O "porto seguro"
exige a remoção de 18 identificadores da informação relativa ao doente,
incluindo nome, código postal, número de Segurança Social, data de nascimento.
O segundo método,
"determinação por perito", é um padrão mais flexível que permite que
os profissionais calibrem os dados anonimizados com base no contexto em que os
dados serão utilizados como finalidades secundárias, explica Khaled El Emam, cientista
sénior no Children's Hospital of Eastern Ontario Research Institute e
diretor do laboratório multidisciplinar de informação sobre saúde.
O método de determinação por
perito implica utilizar um especialista "com conhecimento adequado e a
experiência em princípios e métodos científicos e estatísticos globalmente
aceites para tratamento de informações não identificáveis individualmente",
de acordo com a orientação federal sobre o tema (ver De-Identification Guidance Offered).
Ganow afirma que os dados
anonimizados cumprem o disposto no HIPAA e são "defensáveis" se
qualquer um destes dois métodos aprovados for usado para anonimizar os dados do
doente.
Alguns advogados queixam-se de
que, mesmo em conformidade com o HIPAA, os métodos de anonimização de dados são
insuficientes, o que cria um risco de que os doentes possam se reidentificados,
especialmente se houver erros nos procedimentos (ver Sizing Up De-Identification Guidance).
Contudo, El Emam contrapõe que
os problemas de proteção da privacidade apenas acontecem quando as orientações
do HIPAA não são seguidas ou são aplicadas incorretamente. “Outro erro é
aplicar somente parte das regras. Neste caso, os dados não ficam protegidos”,
disse.
“Se se fizer um trabalho de
anonimização fraco, não baseados nas regras, então é fácil que alguém consiga
reverter o processo. Mas se se fizer o trabalho bem feito, torna-se muito
difícil reidentificar os dados”, contestou El Emam.
Uma das principais razões para
a anonimização de dados ser por vezes imperfeita é a escassez de pessoas aptas
a anonimizar de acordo com as boas práticas e as regras em vigor, disse El
Emam. “É necessário aumentar a quantidade de profissionais que saibam fazer
este trabalho”.
Não há infalíveis
Nenhum método de anonimização é
100% seguro. “Quando se aplicam os métodos de anonimização de acordo com o
HIPAA, o objetivo é ter um risco muito baixo de reidentificação e não afirmar
que temos uma completa anonimização”, afirmou Ganow. A anonimização “não está
num depósito. Tem de se pensar nela: A quem vou dar os dados? Qual a finalidade
do seu uso? Que acordos e que segurança temos? Não há soluções milagrosas.”
Na entrevista, Ganow e El Emam
debatem:
- A importância da anonimização
para gerir o risco e garantir a privacidade do doente;
- Como proteger a identidade de
doentes com doenças raras ou invulgares, como por exemplo Ébola.
- Como a escassez de pessoas aptas pode contribuir para
anonimizações fracas e a importância de programas de formação e de certificação
profissional.
