Anonimizar vs Pseudonimizar: €20 M em Jogo
O artigo 83 do RGPD fixa coimas máximas em 20 milhões de euros ou 4 % do volume de negócios mundial anual. Uma única questão jurídica determina esse risco: o regulamento aplica-se ao seu conjunto de dados?
A anonimização remove o âmbito de aplicação. A pseudonimização, não. Essa diferença é significativa.
As Duas Definições em Termos Simples
O considerando 26 estabelece o limiar para a anonimização. Uma pessoa deve ser «não identificada ou não identificável». O teste é amplo. Abrange todos os meios «razoavelmente suscetíveis de serem utilizados». Isso inclui o responsável pelo tratamento, qualquer subcontratante e qualquer terceiro.
O artigo 4.º, n.º 5, define a pseudonimização. Os dados são pseudonimizados quando uma chave pode revertê-los. Retire a chave e os dados permanecem. Essas informações adicionais devem ser conservadas separadamente. Não é anonimização.
Os dados pseudonimizados continuam a ser dados pessoais. O regulamento aplica-se na íntegra. Não existe isenção do âmbito de aplicação. Ponto final.
O Custo de uma Classificação Errada
Tratar um conjunto de dados pseudonimizados como anónimos cria cinco problemas em simultâneo:
- Entradas do ROPA incorretas ao abrigo do artigo 30.º
- Sem procedimento de direitos dos titulares para acesso, apagamento ou portabilidade
- Sem calendário de retenção — não existe nenhum gatilho de eliminação
- Sem garantias de transferência para atividades transfronteiriças
- Sem via de apagamento para pedidos de direito ao apagamento
Cada lacuna é uma infração autónoma. As cinco podem coexistir num único fluxo de trabalho.
O Sinal de Aplicação de 2025
Em 2025, o EDPB realizou uma ação de supervisão coordenada. O relatório identificou uma falha recorrente: «técnicas de anonimização ineficientes utilizadas como alternativa à eliminação». As autoridades de proteção de dados auditam agora a qualidade da anonimização — não apenas se existe uma etapa de anonimização.
Um conjunto de dados tokenizado com uma tabela de correspondências está pseudonimizado. Não é anónimo. Tem uma chave. A chave pode revertê-lo. Designá-lo como anónimo é exatamente a falha que o relatório de 2025 identifica.
Escolher o Método Correto
Anonimização real — fora do âmbito. Utilize a supressão definitiva. Os dados pessoais desaparecem sem ligação de retorno. Também pode aplicar hash a valores de alta entropia sem caminho de pré-imagem. Documente a base. Nenhuma obrigação legal recai sobre o resultado.
Pseudonimização — dentro do âmbito. Utilize substituição, mascaramento ou encriptação. O regulamento aplica-se na íntegra. A pseudonimização reduz os danos em caso de violação. Não reduz as obrigações legais.
Reversibilidade controlada — investigação ou auditoria. Utilize encriptação com chaves detidas pelo cliente. A custódia de chaves deve cumprir as Orientações 05/2022 do EDPB sobre separação de chaves. Registe o domínio na AIPD.
Um Caso Real
Uma empresa vende registos de clientes «anonimizados» a investigadores. Aplica o método de supressão definitiva. Os dados pessoais desapareceram. Sem tabela de tokens. Sem pré-imagem de hash. A reidentificação não tem caminho possível.
O DPO documenta isto na AIPD. Método utilizado. Tipos de identificadores abrangidos. Por que não pode ser desfeito. Nível de risco residual. O resultado fica fora do âmbito. Os direitos dos titulares, os prazos de retenção e as regras de transferência não se aplicam às cópias de investigação.
O método corresponde à afirmação. Esse é o processo correto. Resiste a uma auditoria.
Por que Documentar a Base é Essencial
Uma empresa não pode simplesmente afirmar a anonimização. A afirmação deve ser sustentada por um registo. A AIPD deve demonstrar quatro pontos. Quais identificadores foram abrangidos. Qual método foi utilizado. Por que a reidentificação não tem caminho. Qual é o nível de risco residual.
Sem esse registo, uma auditoria trata o conjunto de dados como dentro do âmbito. Aplica-se o conjunto completo de obrigações. A entrada do ROPA deve existir. As garantias de transferência devem existir. A via de apagamento deve existir. Nenhuma obrigação desaparece sem prova.
Para saber como os direitos de apagamento interagem com dados anonimizados, consulte Direito ao apagamento do RGPD e orientações do EDPB 2025. Para as regras de transferência ao partilhar registos transfronteiriços, consulte Conformidade de transferências e a coima do TikTok.