O problema da reidentificação: responsabilização quando saídas de AI preservadoras de privacidade expõem a pessoa que deveriam proteger

A arquitetura preservadora de privacidade para agentes de AI assenta numa hipótese simples: as saídas podem tornar-se seguras removendo ou agregando a informação que identifica indivíduos. A hipótese funciona para registos pontuais e consultas estatísticas amplas. Funciona mal para o tipo de saída que torna útil um agente de cuidados. Em cuidados no mundo físico, a especificidade que torna uma recomendação acionável é muitas vezes a mesma especificidade que torna a reidentificação viável.

Considere-se um agente de AI que acompanha uma pessoa idosa num ambiente residencial. Ele produz continuamente padrões de atividade, alertas de desvio, sinalizações de medicação, alterações de rotina e recomendações de cuidado. Cada saída pode viajar sem nome, ligação direta ao processo ou informação clínica em claro. Mas a saída não é independente da pessoa que descreve. É derivada dela, continuamente, ao longo do tempo. Derivação com especificidade suficiente, combinada com a estrutura temporal que os cuidados exigem, é identificação.

Um padrão de marcha anómalo às 06:47, combinado com uma medicação falhada às 08:12 e menor atividade durante dois dias, não é dado anónimo. É uma impressão comportamental que, numa instituição com quarenta residentes conhecidos pela equipa, aponta para uma só pessoa. Quando chega a uma plataforma, painel familiar ou camada analítica, a reidentificação já ocorreu pela operação normal do sistema.

Três características tornam isto mais difícil do que parece na engenharia de privacidade. A primeira é a especificidade mínima: uma recomendação que não consegue dizer quem, quando, que sinais e que intervenção não é utilizável. A segunda é a agregação temporal: uma semana de observações sequenciais é assinatura comportamental; um mês aproxima-se de um identificador único. A terceira é a lacuna de responsabilização a jusante: cada nó pode estar conforme, mas ninguém responde pelo risco que emerge quando saídas de vários nós são combinadas.

A resposta estrutural exige tratar a entropia de reidentificação como restrição de implantação, não como controlo posterior; estender a fronteira de responsabilização às inferências a jusante; e executar inferência em ambientes de execução confiável atestados por hardware, emitindo apenas o mínimo necessário para a ação autorizada.

O problema da reidentificação não é falha de anonimização. É consequência de implantar agentes de AI em domínios onde a inferência individualizada é o produto. O padrão que protege as pessoas não é apenas conformidade; é saída mínima, separação estrutural e responsabilização pelas inferências que o operador tornou possíveis.