Em um artigo anterior, discutimos como as evidências do mundo real (RWE) podem facilitar e acelerar grandes avanços na saúde e nas ciências da vida. Também aludimos ao desafio que reside em desbloquear o valor do RWD/RWE, preservando ao mesmo tempo a privacidade dos dados e cumprindo os regulamentos de segurança que controlam o uso e a análise de conjuntos de dados úteis e, muitas vezes, de missão crítica. Soluções alternativas orientadas por processos, como a desidentificação de dados combinada com tecnologias como a tokenização, funcionam até certo ponto, mas ainda precisam ser mais rápidas e mais extensas. Ao fazer parceria com a Duality Technologies, a Globant assumiu a liderança no suporte aos clientes com uma solução de RWE que agiliza o uso e maximiza o valor do RWD, independentemente de quem o detém ou onde ele reside. Através dessas parcerias inovadoras, a Globant cumpre sua missão de reinventar a indústria da saúde e das ciências da vida através de soluções tangíveis orientadas para a tecnologia.
Desafios – RWD/RWE e regulamentos de privacidade de dados
O grande obstáculo para o sucesso de qualquer estudo de RWE são os dados. Os estudos de RWE necessitam de grandes volumes de RWD diversos para análise, mas esse acesso e colaboração são prejudicados e até mesmo bloqueados por regulamentos de privacidade de dados e preocupações de segurança e governança. Além disso, utilizar conjuntos de dados díspares em todo o seu potencial significa ter utilidade total – vinculação de conjuntos de dados díspares, correspondência de esquemas, etc. – e alta eficiência para aumentar a velocidade com que os insights são gerados. Quando se trata dos meios tradicionais de satisfazer esses requisitos, há atritos que vão contra as necessidades das equipes que dependem do RWE para obter insights de missão crítica.
Muito tempo e esforço antes do início da análise
Isto é importante por duas razões: a primeira é um risco associado ao compartilhamento de dados de saúde, que são protegidos por regulamentos de privacidade. As entidades, como os prestadores de cuidados de saúde, que são os guardiões dos dados de saúde, devem cumprir os regulamentos de privacidade e segurança de dados. Para fazer isso, elas tradicionalmente desidentificam o RWD antes de permitir o acesso a ele. No entanto, o esforço envolvido e o risco de reidentificação podem influenciar a vontade dos prestadores de cuidados de saúde de participar na partilha de dados, especialmente se não tiverem a infraestrutura, os recursos e o conhecimento tecnológico para garantir a conformidade.
Em segundo lugar, os dados de saúde podem ser vastos, complexos e variados. Muitas vezes, são necessários esforços significativos de limpeza e harmonização de dados após a aquisição. Se os agregadores de dados não cuidarem dessa tarefa, a responsabilidade passa para as equipes de gestão de dados da organização patrocinadora. Elas devem preparar os dados para ferramentas analíticas utilizadas por vários departamentos. Em vez de se concentrarem apenas na análise, dedicam mais tempo à coordenação desses esforços, o que afeta o retorno do investimento (ROI). Além disso, os atrasos podem prolongar o tempo de colocação no mercado, perdendo vantagem competitiva e receitas significativas. Em última análise, são os pacientes que pagam o preço mais elevado por tais atrasos, com sofrimento ou mesmo morte que poderiam ter sido evitados.
Qualidade e utilidade de dados diminuídas
A remoção de informações identificáveis de um conjunto de dados reduz o contexto valioso dos dados e, portanto, a qualidade, limitando sua utilidade para investigação e geração de insights: reduzindo a granularidade dos dados, generalizando valores únicos, mascarando valores discrepantes ou reduzindo o potencial de ligação de dados. Ao tentar conectar dados de diferentes fontes, por exemplo, para identificar relações entre determinados tipos de câncer e marcadores genômicos específicos, a ausência de identificadores únicos torna este processo bastante desafiante. Embora a tokenização seja um método útil para vincular RWD desidentificados entre fontes de dados, ela tem limitações. Algumas desvantagens incluem o alto custo de configuração e manutenção de um sistema de tokenização, especialmente um que possa lidar com grandes quantidades de RWD, e um risco potencial de reidentificação se as chaves de tokenização forem comprometidas. Tudo isso tem impacto no tempo e esforço envolvidos e ainda pode não atender aos requisitos de privacidade mais rígidos encontrados no GDPR.
HIPAA
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma lei federal dos EUA com os objetivos principais de melhorar a portabilidade da cobertura de seguro de saúde, aumentar a privacidade e a segurança das informações de saúde dos pacientes e estabelecer padrões para o intercâmbio eletrônico de dados de saúde. As regras de privacidade da HIPAA exigem que as informações de saúde protegidas (PHI) sejam desidentificadas antes que possam ser compartilhadas para fins como pesquisa ou marketing. De acordo com a HIPAA, os dados anonimizados não são considerados informações de saúde protegidas (PHI) e, portanto, não estão sujeitos aos mesmos regulamentos de privacidade que as PHI. A desidentificação é o processo de remoção de identificadores pessoais, como nome, endereço e número de seguro social, do conjunto de dados. Ela é necessária quando as PHI são utilizadas para outros fins que não a prestação de serviços de saúde. Para serem verdadeiramente desidentificados, os dados não devem ser razoavelmente vinculáveis a um indivíduo e devem ser verificados através de determinação especializada. Muitas vezes, esse processo é uma negociação demorada entre todas as partes interessadas até que seja encontrado um equilíbrio entre os dados que podem ser compartilhados e a utilidade desses dados.
GDPR
O Regulamento Geral sobre a Proteção de Dados (GDPR) europeu é mais extenso e rigoroso do que a HIPAA. Abrange uma gama mais ampla de dados pessoais, enfatiza o consentimento informado e explícito dos titulares dos dados para o processamento de seus dados e pode ainda aplicar-se a dados anonimizados. No contexto do GDPR, os dados não são mais considerados dados pessoais e, portanto, não estão sujeitos aos mesmos requisitos do GDPR, apenas se os dados tiverem sido processados de modo que não possam mais ser vinculados a um indivíduo identificável. Portanto, podem ser necessários processos mais rigorosos do que a desidentificação tradicional – como a pseudonimização ou o anonimização – para permitir a partilha de dados de saúde ao abrigo do GDPR. Como se pode imaginar, o tempo, o custo e as limitações na desidentificação de dados são muito mais pronunciados com dados anonimizados.
A tecnologia recomendada pelos reguladores
Em junho de 2023, o Gabinete do Comissário de Informações (ICO) do Reino Unido publicou recomendações, juntamente com estudos de caso (inclusive um desenvolvido em parceria com a Duality Technologies) mostrando um caminho claro para a conformidade (GDPR do Reino Unido) e maior eficiência. Em seu Guia sobre Tecnologias de Aprimoramento da Privacidade (PET), o ICO mostra onde e como várias PETs satisfazem ou não os principais componentes dos requisitos de privacidade do GDPR. O guia explica como o uso de PETs pode permitir insights de conjuntos de dados sem comprometer a privacidade das pessoas cujos dados estão no conjunto de dados, e como PETs apropriados podem possibilitar o acesso a conjuntos de dados que, de outra forma, seriam muito sensíveis para ser compartilhados. Além disso, o Comissário de Informações do Reino Unido recomendou a consideração de PETs para organizações que compartilham grandes volumes de dados.
Como acessar o RWD hoje e no futuro
Dadas as rigorosas regulamentações de privacidade de dados, como HIPAA e GDPR, o acesso ao RWD e a geração de RWE é uma questão complexa.
Atualmente, o acesso e a utilização do RWD para investigação exigem frequentemente a obtenção do consentimento informado dos pacientes, a garantia de que os dados são anonimizados ou desidentificados para proteger a privacidade dos pacientes e, por vezes, submetidos a uma revisão por um conselho de revisão ética ou conselho de revisão institucional (IRB). Essas medidas são tomadas para garantir que os dados sejam utilizados de forma responsável e ética, e que a confidencialidade do paciente seja mantida.
Além disso, foram criadas estruturas de governança de dados para garantir o cumprimento dessas leis de privacidade. Essas estruturas descrevem quem pode acessar os dados, onde, com que finalidade e como os dados são protegidos. A utilização de ambientes de dados seguros, também conhecidos como enclaves de dados ou ambientes de pesquisa confiáveis (TRE), tornou-se uma abordagem atraente para a utilização de dados sensíveis no país. Os enclaves de dados permitem que os pesquisadores acessem e analisem dados em um ambiente seguro sem permitir que os dados saiam do enclave, mantendo assim a segurança e a privacidade dos dados.
Ao olharmos para o futuro, as tecnologias de aprimoramento de privacidade (PETs) permitirão e agilizarão ainda mais a utilização segura do RWD. As PETs são um segmento de tecnologia, e PETs específicas variam de acordo com os tipos de software e hardware e os tipos de casos de uso com os quais são compatíveis. Em alguns casos, combinar PETs é o caminho a seguir. Os principais tipos de PETs incluem criptografia totalmente homomórfica (FHE), computação multipartidária (MPC), aprendizagem federada (FL) e ambientes de execução confiáveis (TEE). Para obter mais informações, aqui estão alguns exemplos em que várias organizações de saúde consideraram o uso de PETs útil para acelerar e capacitar seu trabalho:
- Artigo PNAS 2020: Dana Farber Cancer Institute utilizes FHE to link genomic data with oncological datasets.
- Comunicado de imprensa da DARPA 2020: DARPA uses FL with FHE for COVID-19 research.
- Artigo ASCO 2023: Tel Aviv Medical Center utilizes FHE to unlock RWD across borders and accelerate breakthroughs in medical research.
- Artigo PNAS 2023: Dana Farber Cancer Institute, Tel Aviv Medical Center, and others combine FHE and MPC for work in Oncological research.
Introdução
O poder do RWD e do RWE deve ser exercido com um profundo respeito pela privacidade dos dados e por considerações éticas. Embora a tecnologia prometa novas metodologias para garantir a segurança e a privacidade dos dados, uma abordagem abrangente e compartilhada em relação a governança, ética e utilização responsável continua a ser fundamental. Esse equilíbrio entre inovação e responsabilidade garantirá que RWD/RWE continuem a iluminar os caminhos da descoberta e da prestação de cuidados de saúde nos próximos anos. Conforme a intersecção entre a P&D e a prestação de cuidados de saúde continua a evoluir, fica claro que o RWD e o RWE têm um papel fundamental a desempenhar, orientando o caminho para um futuro mais informado por dados nas ciências da vida.
A Globant fez parceria com a Duality Technologies, uma empresa que oferece tecnologias de aprimoramento de privacidade, para apoiar nossos clientes a liberar o valor do RWE de forma segura e compatível. Aproveitamos as tecnologias de aprimoramento de privacidade da Duality para desenvolver plataformas de RWE que permitem o compartilhamento e a colaboração de dados de saúde entre regiões geográficas, respeitando, ao mesmo tempo, as regulamentações locais de privacidade de dados.
Entre em contato para iniciar a sua jornada rumo ao compartilhamento de dados seguro e compatível e à pesquisa orientada por RWD.
