Semantic Risk Scoring of Aggregated Metrics: An AI-Driven Approach for Healthcare Data Governance

Este artigo propõe um framework de IA modular que utiliza análise semântica e sintética de consultas SQL para atribuir pontuações de risco a métricas agregadas em instituições de saúde, permitindo a governança de dados proativa e a prevenção de violações de privacidade antes da execução das consultas.

O essencial

Imagine que um grande hospital é como uma cidade gigante cheia de segredos. De um lado, temos os médicos e pesquisadores (que conhecem cada detalhe da saúde dos pacientes). Do outro, temos as equipes de administração e captação de recursos (que precisam saber se o hospital está funcionando bem, mas não podem ver os nomes ou doenças dos pacientes).

O problema é: como essas equipes podem conversar e tomar decisões juntas sem que os segredos dos pacientes vazem?

Aqui entra a ideia brilhante deste artigo: um "Guarda-Costas Inteligente" para dados.

1. O Problema: O "Vazamento" Invisível

Normalmente, para compartilhar informações, as equipes usam resumos (métricas). Em vez de dizer "O Sr. Silva tem diabetes", elas dizem "A média de espera no pronto-socorro é de 20 minutos". Isso parece seguro, certo?

Mas, às vezes, um resumo pode ser perigoso. Imagine que você diz: "A média de idade dos pacientes no bairro X é 45 anos". Se o bairro X tem apenas uma pessoa, você acabou de revelar a idade dessa pessoa! Ou, se você separar os dados por "Gênero" e "Código de Doença" em um grupo muito pequeno, alguém pode adivinhar quem é quem.

Isso é como tentar esconder uma agulha num palheiro, mas o palheiro é tão pequeno que a agulha ainda aparece.

2. A Solução: O "Detetive de Código" (IA)

O autor propõe um sistema de Inteligência Artificial que atua como um detetive de segurança que revisa as perguntas antes mesmo de elas serem feitas.

Quando um analista escreve uma pergunta para o banco de dados (usando uma linguagem chamada SQL), o sistema faz três coisas mágicas:

• O Tradutor (Parser): Ele pega a pergunta complexa e a desmonta em peças, como um mecânico que abre o motor de um carro para ver como as engrenagens se encaixam. Ele vê quais colunas estão sendo usadas (ex: CEP, gênero, data de nascimento).
• O Intuitivo (CodeBERT): Esta é a parte "inteligente". A IA não só lê as palavras, ela entende a intenção. É como se ela lesse entre as linhas. Ela sabe que perguntar por "CEP" é arriscado, mas também sabe que perguntar por "Rua + Número" pode ser tão perigoso quanto, mesmo que as palavras sejam diferentes. Ela transforma a pergunta em uma "impressão digital" numérica.
• O Juiz (XGBoost): A IA combina a estrutura da pergunta com a "impressão digital" e entrega tudo para um juiz treinado. Esse juiz decide: "Isso é seguro?" ou "Isso é perigoso?". Ele dá uma nota de risco de 0 a 1.

3. O Resultado: O "Semáforo" de Segurança

Se a pergunta for segura (nota baixa), o sistema dá um Verde e deixa passar.
Se a pergunta for perigosa (nota alta, acima de 0,85), o sistema dá um Vermelho e bloqueia a pergunta.

Mas o melhor de tudo é que ele não apenas bloqueia; ele explica o porquê em linguagem simples.

• Exemplo de bloqueio: "Atenção! Você agrupou os dados por Gênero e Código de Doença. Isso pode revelar a identidade de poucos pacientes. Por favor, simplifique a pergunta."

Por que isso é revolucionário?

Antes, as regras eram como um portão de ferro: se você usasse a palavra "CEP", era bloqueado, mesmo que fosse seguro. Se você usasse "Rua", passava, mesmo que fosse perigoso. Era tudo preto no branco.

Este novo sistema é como um guarda de trânsito inteligente. Ele olha para o contexto. Ele sabe que às vezes é seguro usar o CEP, e às vezes não é. Ele permite que as equipes de diferentes departamentos (médicos, financeiros, captação de recursos) colaborem sem medo de violar a privacidade dos pacientes.

Em resumo:

Este artigo apresenta uma ferramenta que usa Inteligência Artificial para garantir que, quando hospitais compartilham estatísticas, eles não estejam, sem querer, entregando os segredos dos pacientes. É como ter um filtro de segurança mágico que deixa passar apenas o que é útil, bloqueando o que é perigoso, tudo antes que qualquer dado seja realmente acessado. Isso torna o hospital mais seguro, mais eficiente e muito mais ético.

Resumo técnico

Resumo Técnico: Pontuação de Risco Semântico de Métricas Agregadas

1. Problema Identificado

As grandes instituições de saúde operam múltiplas equipes de Inteligência de Negócios (BI) segmentadas por domínio (ex: desempenho clínico, captação de recursos, operações, conformidade). Devido a restrições rigorosas de privacidade (como HIPAA, FERPA e diretrizes de IRB), essas equipes enfrentam desafios significativos ao compartilhar dados no nível do paciente para fins analíticos.

Para mitigar isso, propõe-se o uso de tabelas de métricas agregadas (resumos pré-computados e conformes à privacidade, como "Tempo médio de espera por departamento"). No entanto, mesmo métricas agregadas podem levar a riscos de privacidade inadvertidos se construídas sem salvaguardas rigorosas. Agregações de grupos pequenos ou o uso de identificadores quasi (como CEP, gênero ou código de diagnóstico) podem permitir a reidentificação de indivíduos ou inferência de atributos sensíveis. As abordagens tradicionais de validação baseadas em regras estáticas (listas negras) são rígidas, carecem de contexto e não se generalizam bem para definições de métricas em evolução.

2. Metodologia Proposta

O artigo apresenta um framework modular baseado em IA que avalia definições de métricas baseadas em SQL para detectar potenciais exposições excessivas antes da execução da consulta (validação estática). O sistema opera em cinco estágios principais:

1. Parser SQL (AST): O sistema analisa a consulta SQL e a converte em uma Árvore de Sintaxe Abstrata (AST). Isso permite decompor a estrutura da consulta, identificando tabelas, junções (JOINs) e cláusulas de agrupamento (GROUP BY).
2. Representação Semântica (CodeBERT): Utiliza o modelo pré-treinado CodeBERT para converter a consulta SQL em um "fingerprint" numérico (embedding). Isso captura a intenção semântica e a lógica subjacente, permitindo que o sistema reconheça consultas funcionalmente semelhantes mesmo com sintaxes diferentes (ex: agrupar por "CEP" vs. "Cidade + Rua").
3. Extrator de Características Sintáticas: Extrai manualmente características de risco conhecidas, como:
   • Número de colunas usadas no GROUP BY.
   • Número de junções de tabelas.
   • Presença de colunas sensíveis (gênero, data de nascimento, CEP, código de diagnóstico).
4. Classificador de Risco (XGBoost): Os embeddings semânticos e as características sintáticas são fundidos e alimentados em um classificador XGBoost. O modelo, treinado em consultas SQL rotuladas como "seguras" ou "riscas", atribui uma pontuação de probabilidade de risco (de 0 a 1).
5. Motor de Explicação: Se a pontuação de risco ultrapassar um limiar configurável (ex: > 0,85), a consulta é bloqueada e o sistema gera uma explicação legível por humanos (ex: "A métrica agrupa por gênero e código médico, o que pode vazar segmentos sensíveis de saúde").

3. Contribuições Principais

• Detecção Estática e Explicável: Diferente de sistemas que monitoram o acesso aos dados em tempo de execução, esta abordagem realiza a proteção antes da execução da consulta, permitindo uma governança proativa.
• Abordagem Híbrida (Semântica + Sintática): Combina a compreensão de linguagem natural (via CodeBERT) com regras estruturais explícitas, superando as limitações de sistemas baseados apenas em regras fixas ou apenas em modelos de caixa-preta.
• Escalabilidade e Conformidade: O sistema é modular, adaptável a diferentes políticas institucionais e alinhado com princípios de arquitetura de "Zero Trust" e modernização de dados.
• Explicabilidade (XAI): Fornece justificativas claras para bloqueios, facilitando a auditoria e a correção de consultas por analistas de dados e equipes de conformidade.

4. Resultados Experimentais

O framework foi avaliado utilizando um conjunto de dados sintético que replica a estrutura e os padrões estatísticos de dados hospitalares reais (incluindo campos sensíveis como DOB, CEP, Gênero e Código de Diagnóstico).

• Cenários de Teste:
  • Consulta de Alto Risco (Bloqueada): Agrupamento por Gênero e Código de Diagnóstico (Score: 0,93). O sistema identificou corretamente o risco de vazamento de segmentos de saúde sensíveis.
  • Consulta de Risco Médio (Bloqueada): Agrupamento apenas por CEP (Score: 0,87). Identificado como um quasi-identificador perigoso em grupos pequenos.
  • Consulta de Risco Moderado (Aprovada): Agrupamento apenas por Gênero (Score: 0,74). O sistema aprovou a consulta, reconhecendo que, embora sensível, o agrupamento isolado provavelmente não viola a privacidade em grandes conjuntos de dados, algo que um sistema de regras rígidas teria bloqueado indiscriminadamente.
• Comparação: O modelo demonstrou superioridade sobre sistemas baseados em regras tradicionais, oferecendo pontuações de risco contínuas e contextualizadas, em vez de resultados binários rígidos.

5. Significado e Impacto

Este trabalho estabelece um novo paradigma para a governança de dados em saúde, permitindo que equipes de BI colaborem e compartilhem insights sem acessar dados brutos de pacientes.

• Segurança Proativa: Previne a violação de privacidade no momento da definição da métrica, não após o vazamento.
• Equilíbrio entre Utilidade e Privacidade: Permite o uso de dados agregados para tomada de decisão (ex: taxas de readmissão, eficiência operacional) mantendo a conformidade com HIPAA e IRB.
• Futuro da Governança: O sistema serve como base para controles de privacidade inteligentes e explicáveis, promovendo uma cultura de "IA ética" na geração de métricas e infraestrutura de dados colaborativa.

Limitações Notadas: O sistema atual depende de correspondência de palavras-chave para identificar campos sensíveis (o que pode falhar em nomenclaturas não padronizadas) e realiza análise estática sem executar a consulta, o que impede a avaliação precisa do tamanho real dos grupos (cardinalidade) no momento da análise. Futuras iterações devem incorporar heurísticas baseadas em metadados e suporte a construções SQL mais complexas.