anonym.legal

By · Last updated 2026-05-04

Voltar ao BlogGDPR & Conformidade

Direito ao Apagamento do GDPR em 2025...

O Quadro de Execução Coordenada de 2025 do EDPB investigou a conformidade com o direito ao apagamento em 32 APDs.

May 4, 20269 min de leitura
GDPR right to erasureEDPB coordinated enforcement 2025Article 17 compliancedata minimizationanonymization vs deletion

Direito ao Apagamento RGPD: Conclusões EDPB 2025

Atualizado para 2026

Ação de Fiscalização EDPB 2025

O Comité Europeu para a Proteção de Dados realizou uma ação importante em 2025. Centrou-se no artigo 17.º do RGPD — o direito ao apagamento. Trinta e duas APD da UE e do EEE participaram. Todas agiram ao mesmo tempo. O objetivo era detetar falhas sistémicas, não casos isolados.

Esta ação é o Quadro de Controlo Coordenado, ou CEF. Nove APD abriram desde então investigações formais com base nos seus resultados.

Sete Falhas Recorrentes

O relatório CEF identificou sete problemas nas organizações investigadas:

  1. Procedimentos internos fracos para tratar pedidos de apagamento
  2. Rejeição excessiva de pedidos válidos
  3. Encargo indevido imposto às pessoas que submetem pedidos
  4. Incapacidade de localizar todos os registos pessoais entre sistemas
  5. Atrasos superiores ao prazo de 30 dias do RGPD
  6. Comunicação deficiente às pessoas sobre o resultado dos seus pedidos
  7. Anonimização deficiente utilizada em vez da eliminação. As organizações alegavam "anonimização" mas deixavam os registos rastreáveis.

O sétimo ponto é o mais complexo. Afeta qualquer organização que utilize este método para reduzir os registos pessoais conservados.

Anonimização vs. Eliminação

O direito ao apagamento do RGPD não exige sempre uma eliminação total. O considerando 65 permite esta abordagem quando a eliminação não é viável. As cópias de segurança e os sistemas de análise são exemplos comuns.

O CEF mostra que esta opção está a ser utilizada de forma inadequada. As organizações classificam um processo como "anonimização" para evitar a eliminação real. Mas o processo deixa os registos rastreáveis.

O CEPD traça uma linha clara.

A verdadeira anonimização significa que o vínculo entre os registos e uma pessoa não pode ser reconstruído. Nem o responsável pelo tratamento nem terceiros o podem restabelecer. Esses registos ficam fora do âmbito do RGPD. O pedido fica satisfeito.

A pseudonimização é diferente. A reidentificação continua possível com a chave correta. Os registos pessoais ainda existem. O pedido não fica satisfeito. Os registos devem ser eliminados ou a chave destruída.

Uma Abordagem de Duas Camadas

As organizações que utilizam este método em análise precisam de duas camadas.

Camada 1 — Ingestão: Os registos pessoais brutos chegam aqui. Estes registos estão sujeitos a pedidos de eliminação. Quando uma pessoa invoca os seus direitos ao abrigo do artigo 17.º, os registos desta camada são eliminados.

Camada 2 — Análise: Apenas as saídas anonimizadas chegam a esta camada. Se o processo foi completo e irreversível, estas saídas deixam de ser pessoais. Não se alteram quando chega um pedido de eliminação.

Esta estrutura só funciona se a etapa de mascaramento passar três testes.

Primeiro: irreversível. Tokens reversíveis e substituições cifradas não são válidos.

Segundo: completo. Todos os tipos de identificadores devem ser tratados. Apenas os nomes não são suficientes.

Terceiro: documentado. A organização deve conseguir mostrar a uma APD como o método funciona.

Um retalhista que substitui os nomes de clientes por tokens cifrados fez pseudonimização — não eliminação real. A camada de análise ainda contém registos pessoais. Os pedidos de eliminação continuam a aplicar-se.

O nosso guia de conformidade com o RGPD abrange a base legal de cada abordagem. A nossa visão geral de conformidade de segurança lista os controlos necessários. Para orientação passo a passo, consulte o nosso guia de auditoria de anonimização RGPD.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.