O Esclarecimento de Janeiro de 2025 do EDPB
As Diretrizes 01/2025 do Conselho Europeu de Proteção de Dados sobre Pseudonimização, publicadas em janeiro de 2025, introduziram vários esclarecimentos com implicações significativas de conformidade para organizações que utilizam ferramentas de anonimização de dados.
O esclarecimento mais consequente: as diretrizes introduzem o conceito de "domínio de pseudonimização" — o conjunto de partes para as quais os dados pseudonimizados permanecem vinculáveis a indivíduos reais. Dados pseudonimizados são dados pessoais sob o GDPR para qualquer parte dentro do domínio de pseudonimização (partes que possuem a chave de pseudonimização ou que podem derivá-la). As diretrizes afirmam explicitamente que dados pseudonimizados não alteram seu status de dados pessoais — eles permanecem sujeitos a todas as obrigações do GDPR — mesmo que pareçam não identificáveis para partes fora do domínio.
Esse esclarecimento afeta organizações que acreditavam que "tokenização" ou "pseudonimização com chaves" havia removido seus dados do escopo do GDPR. Sob as diretrizes de janeiro de 2025, isso não ocorreu. A organização que possui a chave de pseudonimização continua sendo um controlador de dados sob o GDPR para os dados pseudonimizados.
A Lacuna de Marketing das Ferramentas
Muitas ferramentas comercializadas como "ferramentas de anonimização" na verdade produzem dados pseudonimizados. A distinção:
Verdadeira anonimização (irreversível): A transformação não pode ser revertida por nenhuma parte, usando qualquer meio disponível agora ou no futuro. A verdadeira anonimização remove os dados completamente do escopo do GDPR.
Pseudonimização (reversível): A transformação pode ser revertida usando uma chave, uma tabela de consulta ou informações adicionais mantidas separadamente. A pseudonimização não remove os dados do escopo do GDPR — eles permanecem dados pessoais para partes que possuem ou podem derivar a chave.
Sistemas baseados em tokens (substituindo PII por tokens consistentes e mantendo uma tabela de mapeamento), sistemas baseados em criptografia (substituindo PII por valores criptografados e mantendo uma chave de descriptografia) e criptografia que preserva o formato produzem todos dados pseudonimizados. Os dados permanecem dados pessoais sob as diretrizes de janeiro de 2025 do EDPB.
A hash (aplicando uma função hash unidirecional aos valores de PII) está mais próxima da anonimização — se a função hash for criptograficamente segura e nenhuma consulta de pré-imagem for viável — mas as diretrizes do EDPB observam que a hash de dados de baixa entropia (strings curtas como nomes ou identificadores comuns) é vulnerável a ataques de tabela arco-íris e pode não constituir verdadeira anonimização.
Estratégia de Conformidade Sob as Novas Diretrizes
Os DPOs precisam reavaliar sua estratégia de classificação de dados à luz das diretrizes de janeiro de 2025 do EDPB:
Para dados classificados como "anonimizados" (fora do escopo do GDPR): reavaliar se a transformação é realmente irreversível. Se qualquer parte puder revertê-la — incluindo o próprio controlador de dados — ela é pseudonimizada e o GDPR ainda se aplica.
Para dados que devem permanecer fora do escopo do GDPR (para análises, arquivamento ou pesquisa): usar métodos de anonimização irreversíveis — redação (remoção permanente), mascaramento com valores não recuperáveis ou hash criptográfico de dados de alta entropia. Documentar o método e a base para a determinação de anonimização.
Para dados que se beneficiam de reversibilidade controlada (pesquisa com requisitos de recontato, trilhas de auditoria, obrigações de descoberta): classificar explicitamente como dados pessoais pseudonimizados, manter todas as obrigações do GDPR, documentar os arranjos de custódia da chave de pseudonimização de acordo com os requisitos de separação de chaves do EDPB.
A estrutura explícita de cinco métodos — Substituir, Redigir, Mascarar, Hash, Criptografar — mapeia diretamente para essa classificação: Substituir, Mascarar e Criptografar produzem dados pseudonimizados (o GDPR ainda se aplica). Redigir e Hash (de dados de alta entropia) se aproximam da verdadeira anonimização (sujeita a análise de completude e entropia).
Fontes: