A Ação de Execução de 2025 do EDPB
A Ação do Quadro de Execução Coordenada (CEF) do Conselho Europeu de Proteção de Dados (EDPB) de 2025 teve como alvo o Artigo 17 do GDPR — o direito ao apagamento. Trinta e duas Autoridades de Proteção de Dados em toda a UE e EEE investigaram simultaneamente como as organizações respondem a pedidos de direito ao apagamento. A abordagem coordenada foi projetada para identificar falhas sistêmicas em vez de casos isolados.
As descobertas identificaram sete desafios recorrentes de conformidade nas organizações investigadas:
- Procedimentos internos mal documentados para o processamento de pedidos de apagamento
- Rejeição excessivamente ampla de pedidos legítimos (usando exceções permitidas de forma muito ampla)
- Cargas indevidas impostas aos indivíduos ao enviarem pedidos de apagamento
- Incapacidade de localizar todos os dados pessoais em sistemas ao processar um pedido de apagamento
- Atrasos excessivos no processamento de pedidos além da janela de resposta de 30 dias do GDPR
- Comunicação insuficiente aos titulares de dados sobre o resultado de seus pedidos
- Técnicas de anonimização ineficientes usadas como alternativa ao apagamento — especificamente sinalizadas como organizações que usam "anonimização" tecnicamente defeituosa que deixa os dados reidentificáveis
Nove APDs iniciaram investigações formais com base nas descobertas do CEF. O sétimo desafio recorrente — anonimização ineficiente — é diretamente relevante para organizações que usam a anonimização como sua principal estratégia de minimização de dados.
A Alternativa de Anonimização ao Apagamento
O direito ao apagamento do GDPR não exige a exclusão em todos os casos. O considerando 65 observa que o apagamento pode ser realizado por meio da anonimização onde a exclusão não é tecnicamente viável (por exemplo, em fitas de backup ou sistemas de análise integrados onde a exclusão de registros individuais exigiria a reconstrução do sistema).
As descobertas do CEF do EDPB indicam que essa alternativa está sendo abusada: as organizações estão reivindicando "anonimização" para a transformação de dados que deixa os dados tecnicamente reidentificáveis — usando a palavra para evitar o ônus operacional da exclusão real em vez de alcançar o resultado de proteção de dados que a anonimização deve fornecer.
A distinção que o EDPB está fazendo: a verdadeira anonimização — onde a ligação entre os dados e o indivíduo não pode ser restabelecida por quaisquer meios disponíveis ao controlador de dados ou a qualquer terceiro — remove os dados do escopo do GDPR e satisfaz o pedido de apagamento. A pseudonimização — onde a reidentificação é possível com a chave apropriada — não satisfaz o pedido de apagamento; os dados pessoais do titular ainda existem e devem ser excluídos ou a chave deve ser destruída.
Estratégia Prática de Conformidade
Para organizações que usam a anonimização como alternativa ao apagamento em sistemas de análise:
A arquitetura correta separa a ingestão de dados (dados pessoais brutos) da análise de dados (derivados anonimizados). Os dados pessoais na camada de ingestão estão sujeitos a pedidos de apagamento — quando um titular de dados exerce os direitos do Artigo 17, os dados pessoais na camada de ingestão são excluídos. Os derivados anonimizados na camada de análise — se a anonimização foi abrangente e irreversível — não precisam ser modificados porque não são mais dados pessoais.
Essa arquitetura exige que a anonimização na fronteira entre ingestão e análise seja tecnicamente sólida: irreversível (não tokenização), abrangente (todas as categorias de identificadores abordadas) e documentada (a organização pode demonstrar a uma APD que o método de anonimização atende aos padrões do EDPB). A empresa de varejo que anonimiza o histórico de compras dos clientes antes do processamento analítico, substituindo nomes e detalhes de contato por tokens sob criptografia reversível, pseudonimizou (não anonimizou) os dados — o conjunto de dados analíticos ainda contém dados pessoais que estão sujeitos a pedidos de apagamento.
Fontes: