Listagens de dados do UK Biobank na China ampliam dúvidas sobre segurança da pesquisa

Um banco de dados de pesquisa emblemático enfrenta outra prova de confiança

Os registros de saúde confidenciais de meio milhão de voluntários britânicos foram anunciados para venda no Alibaba por meio de três listagens separadas, segundo uma declaração do ministro britânico de tecnologia, Ian Murray, à Câmara dos Comuns. Os dados estavam ligados ao UK Biobank, um dos recursos biomédicos de pesquisa mais importantes do mundo e um pilar da ciência britânica.

As listagens foram removidas depois que o governo britânico trabalhou com o Alibaba e com o governo chinês, e Murray disse ao Parlamento que não se acredita que qualquer venda tenha sido realizada. Mas o episódio intensificou as preocupações sobre a segurança dos dados mantidos pelo UK Biobank, que contém algumas das informações de pesquisa mais sensíveis reunidas em qualquer lugar do país.

O projeto armazena dados de saúde de 500 mil voluntários, incluindo sequências genômicas, exames cerebrais, amostras de sangue e registros diagnósticos. O acesso é concedido a cientistas de universidades e empresas privadas em todo o mundo por meio de um processo de solicitação. Esse valor científico é precisamente o que torna a exposição mais recente tão relevante: quanto mais rico e mais amplamente usado o conjunto de dados se torna, maior é a necessidade de confiança de que ele está sendo protegido adequadamente.

O que foi exposto e o que disseram os responsáveis

Murray disse que a instituição de caridade UK Biobank informou ao governo na segunda-feira, 20 de abril, que seus dados haviam sido anunciados para venda por vários vendedores nas plataformas de e-commerce do Alibaba na China. Segundo seu relato, pelo menos um dos três conjuntos de dados parecia conter informações de participação de todos os 500 mil voluntários.

O ministro descreveu as informações como “desidentificadas”, ou seja, identificadores pessoais óbvios foram removidos. Mas desidentificado não significa inofensivo. O valor do UK Biobank está na profundidade e na riqueza de suas informações de saúde vinculadas. Mesmo sem identificadores diretos, esses dados ainda podem gerar grandes preocupações éticas e de segurança se forem tratados fora dos canais autorizados.

O UK Biobank encaminhou o caso à Information Commissioner’s Office. Esse encaminhamento sinaliza o reconhecimento oficial de que o assunto vai além da moderação rotineira de plataformas ou da revenda não autorizada. Agora trata-se de uma questão regulatória com implicações para governança, supervisão e confiança pública em sistemas de dados de saúde em larga escala.

Por que essa violação repercute além de um único banco de dados

O incidente ocorre em um momento particularmente sensível para a política de dados do Reino Unido. No mês passado, o Guardian informou que dados sensíveis do UK Biobank haviam sido expostos on-line dezenas de vezes, levantando dúvidas sobre se as salvaguardas em torno do recurso estavam permissivas demais. As listagens mais recentes, portanto, não aparecem no vácuo. Elas se encaixam em um padrão emergente de preocupação sobre como um dos ativos científicos mais celebrados da Grã-Bretanha está sendo protegido.

Isso importa porque o UK Biobank não é um banco de dados de nicho. Ele é rotineiramente descrito como uma joia da ciência do Reino Unido, e por boas razões. Pesquisadores o usam para estudar risco de doenças, genética, envelhecimento e saúde populacional em escala. Se participantes ou o público passarem a acreditar que a segurança dos dados não está sendo tratada com rigor, o dano não ficará restrito a uma única instituição. Ele pode afetar a confiança mais ampla no compartilhamento de dados biomédicos e na pesquisa digital em saúde.

Chi Onwurah, que preside o comitê de ciência, inovação e tecnologia da Câmara dos Comuns, chamou a violação de “incrivelmente séria” e a descreveu como outro golpe na confiança pública. Seu enquadramento captura o que está em jogo em sentido mais amplo. A infraestrutura de pesquisa depende não apenas de capacidade técnica, mas também de legitimidade social. Os participantes precisam acreditar que seus dados serão usados de forma responsável e protegidos com competência.

Política, governança de dados e fricção internacional

O fato de as listagens terem aparecido em uma plataforma chinesa acrescentou uma dimensão internacional a uma história já difícil. Murray agradeceu ao governo chinês por agir rapidamente para ajudar a remover as listagens. Onwurah, por outro lado, usou o momento para destacar a imagem desconfortável de a Grã-Bretanha depender de autoridades estrangeiras para ajudar a suprimir a exposição de dados de saúde britânicos.

A política do caso é reforçada pelo que o UK Biobank contém. Esses não são registros comuns de clientes. Eles incluem informações de saúde profundamente sensíveis, coletadas de voluntários que ingressaram em um projeto de pesquisa de longo prazo com a expectativa de que o acesso aos dados seria governado, e não comercializado.

A história também se cruza com mudanças recentes nos fluxos de dados para o projeto. Em fevereiro, o secretário de Saúde Wes Streeting emitiu uma diretriz legal permitindo que os dados codificados de GP de todos os voluntários fossem compartilhados com o UK Biobank pela primeira vez. Essa expansão aumenta o valor de pesquisa do banco, mas também eleva o custo de qualquer falha de governança. Quanto mais rico o conjunto de dados se torna, maior a necessidade de garantias de que controles, monitoramento e sistemas de resposta são adequados.

Os limites da tranquilização de “desidentificado”

Os responsáveis enfatizaram que os dados anunciados eram desidentificados, mas a confiança pública raramente depende apenas da terminologia. Em sistemas de dados modernos, a desidentificação é uma salvaguarda importante, não uma garantia absoluta. Conjuntos de dados ricos ainda podem trazer riscos indiretos, especialmente quando há informações de saúde vinculadas e quando a exposição não autorizada envolve toda uma coorte de participantes.

Essa é uma das razões pelas quais o incidente mais recente pode continuar repercutindo mesmo que nenhuma venda tenha ocorrido. O problema não é apenas saber se uma transação foi concluída. É o fato de terem existido listagens não autorizadas e de pelo menos uma delas parecer envolver dados ligados a todos os 500 mil participantes. Para um projeto baseado em participação voluntária, esse patamar já é alarmante por si só.

Um desafio de credibilidade para a infraestrutura científica britânica

O UK Biobank continua sendo um dos recursos mais poderosos da pesquisa em saúde populacional. Nada neste incidente muda isso. O que muda é o ônus sobre a instituição e o governo para demonstrar que a governança do banco de dados corresponde à sua importância científica.

A questão imediata pode ser a aplicação das regras pela plataforma e o acompanhamento regulatório. A questão de longo prazo é a confiança. Se o público vir preocupações repetidas de exposição em torno de um banco de dados tão proeminente, as garantias deixarão de ser persuasivas. O que passará a importar será a evidência visível de que práticas de segurança, controles de acesso, auditorias e responsabilização foram fortalecidos.

O Reino Unido vem posicionando há anos a pesquisa biomédica rica em dados como uma vantagem nacional estratégica. Para manter essa vantagem, terá de provar que ambição científica e stewardship de dados são tratadas como responsabilidades igualmente sérias.

Este artigo é baseado em reportagem do Guardian. Leia o artigo original.