Dados médicos sensíveis do Biobank do Reino Unido, um importante projecto de investigação médica que detém registos de 500.000 voluntários britânicos, foram repetidamente expostos online devido a práticas de segurança inadequadas. Uma investigação do Guardian revela que pesquisadores aprovados para acessar esses dados publicaram inadvertidamente arquivos contendo informações detalhadas de pacientes em plataformas públicas como o GitHub.
Embora estes conjuntos de dados não possuam identificadores diretos, como nomes e endereços, o grande volume de registos expostos – incluindo diagnósticos hospitalares, datas de procedimentos e detalhes demográficos – levanta sérias preocupações de privacidade. O risco é amplificado pelos avanços na IA e na agregação de dados, que tornam a reidentificação cada vez mais simples.
A escala do problema
Entre julho e dezembro de 2025, o UK Biobank emitiu 80 avisos legais ao GitHub solicitando a remoção de dados vazados, mas partes significativas permanecem acessíveis. Somente um conjunto de dados continha diagnósticos de mais de 413 mil participantes, juntamente com datas de nascimento e sexo. O Guardian testou o risco fornecendo informações pessoais mínimas a um cientista de dados, que comparou com sucesso o histórico médico de um voluntário com quase certeza usando apenas o mês/ano de nascimento e a data da cirurgia.
“Me deu arrepios na espinha só de abrir… Era muito detalhado e parecia uma grande invasão de privacidade só de olhar.” – Um especialista em dados revisando os arquivos vazados.
Resposta e críticas do Biobanco
O UK Biobank defende a sua segurança, afirmando que não foram fornecidos nomes ou endereços aos investigadores. O CEO, Prof Sir Rory Collins, afirma que nenhuma reidentificação ocorreu. No entanto, os especialistas argumentam que esta posição não é realista, dada a facilidade de referência cruzada de dados na era digital.
“Essas pessoas estão cientes de que a internet existe?” perguntou o professor Felix Ritchie, economista da Universidade do Oeste da Inglaterra. “A ideia de que eles podem confiar que seus voluntários nunca divulguem qualquer outra informação sobre si mesmos é algo totalmente irracional de se esperar.”
O Dr. Luc Rocher, do Oxford Internet Institute, salienta que mesmo dados parciais – como datas de nascimento e datas de lesões – podem ser suficientes para identificar indivíduos. Uma vez identificados, estes registos podem revelar informações profundamente sensíveis, incluindo diagnósticos psiquiátricos ou estado de VIH.
A tensão entre pesquisa e privacidade
As fugas resultam de uma política que permite aos investigadores descarregar dados diretamente nos seus sistemas até ao final de 2024, combinada com uma pressão crescente para publicar códigos de investigação. Alguns pesquisadores incluíram acidentalmente conjuntos de dados do Biobank nesses uploads. O Biobank introduziu formação adicional, mas admite que o problema persiste.
A situação realça um conflito inerente entre conduzir a investigação com grandes conjuntos de dados e proteger a privacidade individual. Apesar dos esforços do Biobank para remover dados vazados, as cópias permanecem arquivadas online, questionando se o controle total é possível. A escala destas fugas – centenas de incidentes – sugere falhas sistémicas e não erros isolados.
O incidente sublinha os desafios crescentes da segurança de dados na era da ciência aberta e da reidentificação impulsionada pela IA. Embora o trabalho do Biobank continue valioso, estas violações repetidas levantam dúvidas sobre se as suas actuais salvaguardas são suficientes para proteger os dados dos participantes.
