Considerações Importantes sobre o Uso de Dados de Pacientes em Pesquisas Científicas para Treinamento de Sistemas de IA

Reutilização de Dados de Pacientes em Pesquisa Científica para Treinar Sistemas de IA – Importantes Considerações sobre o GDPR

A reutilização de dados de pacientes em pesquisas científicas para o treinamento de sistemas de Inteligência Artificial (IA) levanta questões críticas relacionadas ao Regulamento Geral sobre a Proteção de Dados (GDPR). Este estudo explora as implicações do GDPR quando dados pessoais são utilizados para treinar sistemas de IA, bem como as condições necessárias para garantir a conformidade.

Fase de Descoberta em Pesquisa Científica

Na fase de descoberta da pesquisa científica, os sistemas de IA podem ser utilizados para revisar patentes e identificar novos medicamentos potenciais para ensaios clínicos. Se uma organização desenvolve seu próprio sistema de IA internamente sem utilizar dados de pacientes, a Lei de IA não deve se aplicar, já que estaria sob a isenção de pesquisa. De forma semelhante, o GDPR não é relevante nesses casos, pois nenhum dado pessoal está sendo processado.

Entretanto, quando dados de pacientes são utilizados para treinar um sistema de IA, o GDPR se torna aplicável. Os dados dos pacientes podem ser obtidos de várias fontes, incluindo registros de saúde coletados por instituições, como o NHS, registros voluntários onde os pacientes consintem em compartilhar seus dados para pesquisa, ou dados obtidos de ensaios clínicos anteriores. Contudo, esses conjuntos de dados foram originalmente coletados para finalidades específicas, exigindo uma avaliação para determinar se podem ser reutilizados para treinar modelos de IA.

Avaliando a Compatibilidade para o Uso Secundário de Dados de Pacientes

O GDPR inclui um princípio de limitação de propósito, que exige que os dados pessoais sejam coletados para um propósito específico, explícito e legítimo, e não sejam processados de maneira incompatível com esse propósito. Se os dados forem reutilizados para um propósito diferente, uma avaliação de compatibilidade é necessária. Vários fatores influenciam essa avaliação:

• Vínculo entre os propósitos inicial e secundário: quanto mais próxima a conexão, mais provável é que seja considerada compatível.
• Contexto e expectativas razoáveis dos titulares dos dados: se os titulares foram informados no momento da coleta sobre possíveis usos secundários, a reutilização é mais provável de ser justificada.
• Natureza dos dados: quanto mais sensíveis os dados pessoais (como dados de saúde), mais restrito será o escopo de compatibilidade.
• Consequências para os titulares dos dados: tanto consequências positivas quanto negativas devem ser avaliadas.
• Existência de salvaguardas apropriadas: medidas como criptografia, pseudonimização, transparência e opções de exclusão devem ser consideradas.

O princípio de limitação de propósito visa manter o controle dos indivíduos sobre seus dados e prevenir a reutilização não autorizada. Se o uso secundário estiver alinhado com expectativas razoáveis, é mais provável que seja considerado compatível. Notavelmente, a pesquisa científica é geralmente considerada um uso secundário compatível, desde que salvaguardas apropriadas estejam em vigor.

Pesquisa Científica e Conformidade com o GDPR

O GDPR não define explicitamente ‘pesquisa científica’, mas o Recital 159 sugere uma interpretação ampla, abrangendo desenvolvimento tecnológico, pesquisa fundamental e aplicada, e estudos financiados publicamente ou privadamente. O Conselho Europeu de Proteção de Dados (EDPB) aconselha que a pesquisa científica deve aderir a padrões éticos e metodológicos estabelecidos. Tanto a fase de descoberta quanto a pesquisa clínica geralmente seguem métodos rigorosos ou protocolos, portanto, devem se qualificar como pesquisa científica.

Embora o EDPB tenha planejado emitir orientações em 2021 sobre a definição de pesquisa científica e sobre as salvaguardas apropriadas a serem adotadas, isso ainda não se concretizou. Dada essa incerteza, é aconselhável não assumir compatibilidade automática, mas realizar uma avaliação de compatibilidade minuciosa.

Resultados da Avaliação de Compatibilidade

Se o uso secundário for incompatível com a coleta inicial, os dados não podem ser reutilizados para o propósito secundário, a menos que tal processamento possa ser baseado no consentimento do titular dos dados ou em uma lei da União ou do Estado-Membro que proteja objetivos importantes de interesse público (por exemplo, saúde pública).

Se o uso secundário for compatível com a coleta inicial, pode-se confiar na base legal utilizada para a coleta inicial dos dados. Contudo, todos os outros princípios de proteção de dados ainda devem ser respeitados para o processamento adicional, incluindo fornecer informações aos titulares dos dados sobre o processamento adicional e sobre os direitos dos titulares, bem como realizar uma avaliação de impacto no processamento de dados, se necessário. A avaliação de compatibilidade e as medidas adotadas devem ser documentadas para atender ao princípio de responsabilidade.

Exceções sob o Artigo 9 do GDPR para Processamento de Dados de Saúde

Mesmo quando um uso secundário é considerado compatível, uma exceção adicional é necessária sob o Artigo 9 do GDPR para o processamento de dados de saúde. As possíveis exceções incluem:

• Consentimento explícito (art. 9(2)(a)).
• Razões de interesse público na área da saúde pública com base em lei da União ou do Estado-Membro (art. 9(2)(i)).
• Pesquisa científica com base em lei da União ou do Estado-Membro e adoção de salvaguardas apropriadas (art. 9(2)(j)).

Conclusão

A utilização de dados de pacientes para o desenvolvimento ou treinamento de sistemas de IA usados em pesquisa científica requer uma cuidadosa consideração regulatória. Quando dados de pacientes estão envolvidos, a conformidade com o GDPR se torna crucial, e as organizações devem avaliar a compatibilidade do uso secundário dos dados além dos outros princípios e obrigações do GDPR.