Clarificarea EDPB din Ianuarie 2025
Orientarile Consiliului European pentru Protectia Datelor 01/2025 privind Pseudonimizarea, publicate in ianuarie 2025, au introdus mai multe clarificari cu implicatii semnificative de conformitate.
Cea mai importanta clarificare: orientarile introduc conceptul de 'domeniu de pseudonimizare' — setul de parti pentru care datele pseudonimizate raman corelabile la persoane reale. Datele pseudonimizate sunt date personale conform GDPR pentru orice parte din domeniul de pseudonimizare.
Distinctia Practica: Pseudonimizare vs. Anonimizare
Pseudonimizare (GDPR se aplica inca):
- Inlocuirea numelor cu ID-uri aleatorii, dar organizatia pastreaza tabela de mapare
- Stergerea campurilor de identificare directa pastrand cvasiidentificatori (varsta + cod postal + profesie)
- Tokenizarea cu un token care poate fi legat inapoi prin baza de date a organizatiei
- Hashing reversibil sau cu salt cunoscut
Anonimizare adevarata (GDPR nu se mai aplica):
- Re-identificarea este imposibila prin orice mijloace rezonabile
- Nicio tabela de mapare nu exista nicaieri
- Testele k-anonimitate/l-diversitate trec cu praguri documentate
- Evaluare independenta a riscului de re-identificare a trecut
Implicatiile Practice ale Orientarilor 01/2025
Auditati instrumentele de anonimizare actuale: Verifica instrumentul tau daca produce anonimizare adevarata sau pseudonimizare? Daca organizatia retine orice cheie de mapare, este pseudonimizare.
Revizuiti baza legala pentru procesarea de date pseudonimizate: Daca te bazezi pe anonimizare pentru a scapa de cerintele GDPR, dar de fapt produci pseudonimizare, trebuie sa identifici o baza legala GDPR valida.
Actualizati ROPA: Inregistrarile activitatilor de procesare (Articolul 30) trebuie actualizate pentru a reflecta corect daca procesarea produce date anonimizate sau pseudonimizate.
Surse: Orientarile EDPB 01/2025 privind Pseudonimizarea; Recitalul 26 GDPR; Cadrul de Aplicare Coordonata EDPB 2025