A Distinção de 20 Milhões de Euros
O Artigo 83 do GDPR estabelece penalidades máximas de €20 milhões ou 4% da receita anual global, o que for maior, para as violações mais graves. A distinção entre anonimização e pseudonimização determina se o GDPR se aplica a um conjunto de dados e se a exposição máxima à multa se aplica.
O Considerando 26 do GDPR define o limite de anonimização: "Os princípios de proteção de dados, portanto, não devem se aplicar a informações anônimas, ou seja, informações que não se relacionam a uma pessoa natural identificada ou identificável ou a dados pessoais tornados anônimos de tal maneira que o titular dos dados não seja ou não possa mais ser identificado." A frase chave: "não ou não mais identificável" — por quaisquer meios razoavelmente prováveis de serem usados, pelo controlador de dados, qualquer processador ou qualquer terceiro.
O Artigo 4(5) do GDPR define pseudonimização: "o processamento de dados pessoais de tal maneira que os dados pessoais não possam mais ser atribuídos a um sujeito de dados específico sem o uso de informações adicionais, desde que tais informações adicionais sejam mantidas separadamente." Dados pseudonimizados não são explicitamente anônimos — eles "não podem mais ser atribuídos... sem o uso de informações adicionais." Dados pseudonimizados permanecem dados pessoais sob o GDPR.
A implicação prática: uma organização que acredita que seu conjunto de dados analíticos é "anonimizado" (fora do GDPR) quando na verdade é "pseudonimizado" (dentro do GDPR) tem entradas incorretas no Artigo 30 ROPA, procedimentos insuficientes de direitos dos titulares de dados, períodos de retenção inadequados, salvaguardas de transferência de dados ausentes para qualquer processamento analítico transfronteiriço, e nenhum mecanismo para responder a solicitações de direito ao apagamento. Cada uma dessas deficiências é uma violação independente do GDPR.
O Sinal de Aplicação do CEF
O Quadro de Aplicação Coordenada de 2025 do EDPB identificou especificamente "técnicas de anonimização ineficientes usadas como uma alternativa à exclusão" como uma falha recorrente de conformidade. Essa constatação sinaliza que as DPAs estão avaliando a qualidade da anonimização, não apenas a presença ou ausência de uma etapa de anonimização.
O Caso de Uso da Empresa de Análise de Dados Holandesa ilustra a abordagem correta: uma empresa que oferece conjuntos de dados de clientes "anonimizados" a pesquisadores de terceiros utiliza o método Redact (remoção permanente de PII sem mapeamento de token). O conjunto de dados resultante não tem caminho para reidentificação — sem chave, sem tabela de tokens, sem pré-imagem de hash — atendendo ao limite do Considerando 26 do GDPR. O DPO documenta essa determinação na DPIA: método utilizado, tipos de identificadores cobertos, base de irreversibilidade, avaliação de risco residual de reidentificação. O conjunto de dados está fora do escopo do GDPR. As obrigações do GDPR (incluindo direitos dos titulares de dados, limites de retenção e salvaguardas de transferência) não se aplicam às cópias de pesquisa de terceiros.
Seleção de Método pelo Objetivo de Conformidade
Fora do escopo do GDPR (verdadeira anonimização): Use Redact (remoção permanente) ou Hash (de valores de alta entropia, não adivinháveis). Documente a base de anonimização. Nenhuma obrigação do GDPR se aplica à saída.
Dentro do escopo do GDPR com risco reduzido (pseudonimização): Use Replace, Mask ou Encrypt. Todas as obrigações do GDPR continuam a se aplicar. A pseudonimização reduz o risco de dano de acesso não autorizado, mas não remove o escopo do GDPR.
Reversibilidade controlada (pesquisa, auditoria, descoberta): Use Encrypt com chaves mantidas pelo cliente. O GDPR se aplica. Os arranjos de custódia de chaves devem atender aos requisitos de separação de chaves das Diretrizes 05/2022 do EDPB. Documente o domínio da pseudonimização.
Fontes: