O CEPD publicou as Orientações 1/2024 sobre Pseudonimização, destacando a sua importância para cumprir o RGPD ao reduzir riscos, legitimar transferências de dados e reforçar princípios como a minimização e confidencialidade. As orientações explicam métodos técnicos, como encriptação e tabelas de pseudónimos, e incluem cenários práticos de aplicação. Apesar de os dados pseudonimizados continuarem pessoais, os titulares mantêm os seus direitos.
O Comité Europeu para a Proteção de Dados (CEPD) publicou, este mês, as Orientações 1/2024 sobre Pseudonimização, oferecendo esclarecimentos importantes sobre a questão.
Em linha com a definição que, pela primeira vez, foi introduzida na legislação da UE pelo Regulamento Geral sobre a Proteção de Dados (RGPD), quando há pseudonimização, o tratamento dos dados pessoais pode ser feito de forma dissociada da identificação dos titulares a quem os dados respeitam. Por isso, a aplicação da pseudonimização aos dados pessoais constitui uma forma capaz de «reduzir os riscos para os titulares de dados em questão e ajudar os responsáveis pelo tratamento e os seus subcontratantes a cumprir as suas obrigações de proteção de dados», embora nunca destinada a excluir eventuais outras medidas de proteção de dados (ver considerando 28 do RGPD).
Na pseudonimização, os identificadores naturais dos dados pessoais que permitem a identificação do titular a quem esses dados respeitam – como, por exemplo, o nome do titular –, são removidos e substituídos por identificadores artificiais – por exemplo, um código – e a “chave do código” que constitui uma informação suplementar que permite inverter a pseudonimização e voltar a ligar os dados pessoais à identidade do titular. As informações suplementares devem, por isso mesmo, ser objeto de medidas técnicas ou organizacionais apropriadas e mantidas separadamente.
Nas orientações agora em consulta pública, o CEPD destaca e explica como a pseudonimização pode ser uma medida relevante para ajudar a cumprir as obrigações decorrentes, em especial para os responsáveis pelo tratamento, das normas do RGPD e implementar princípios fundamentais de proteção de dados, como a minimização, a confidencialidade e a proteção de dados desde a conceção (privacy by design).
Adicionalmente, pode servir como medida suplementar para legitimar transferências de dados para países terceiros nos termos dos artigos 44.º e 46.º do RGPD, contribuindo para assegurar o nível de proteção apropriado ao nível de risco.
A pseudonimização dos dados pode permitir que os responsáveis pelo tratamento baseiem o tratamento de dados em interesses legítimos (artigo 6.º, n.º 1, alínea f), do RGPD), evitando a necessidade de recorrer ao consentimento dos titulares como base de licitude, por exemplo.
O CEPD reforça – como é sabido – que, embora pseudonimizados, os dados continuam a ser considerados dados pessoais, uma vez que podem ser atribuídos a uma pessoa singular identificada ou identificável, com recurso a informações suplementares, relembrando por isso que os titulares podem exercer os direitos que lhes são conferidos, enquanto titulares de dados perante os responsáveis pelo tratamento respetivo como sejam, por exemplo, o direito de acesso aos dados ou o direito ao seu apagamento (desde que reunidos os requisitos de que dependa o direito em causa).
Há pseudonimização tanto no caso em que as informações suplementares estão ou se mantêm na esfera do responsável pelo tratamento como naquelas em que estejam fora da sua esfera e sejam detidas por outra entidade. Por isso, pode acontecer que o responsável pelo tratamento perante o qual o titular exerça algum dos seus direitos, não consiga identificar os titulares – por não ter acesso às informações suplementares necessárias para reverter a pseudonimização. Nesse caso, o responsável pelo tratamento deve facultar, ao titular dos dados, informação sobre como pode aceder aos pseudónimos.
As orientações do CEPD aprofundam a estrutura da pseudonimização e descrevem os dois métodos comummente usados para a sua implementação:
- Algoritmos de encriptação; e
-
Tabelas que associam os identificadores dos titulares aos pseudónimos.
O CEPD sugere ainda medidas técnicas a adotar para garantir a eficácia do processo e evitar a reversão não autorizada da pseudonimização.
Estas medidas respeitam, entre outros:
-
À escolha de um design adequado;
Ao tratamento adequado de quasi-identifiers;
À preservação do domínio de pseudonimização; e
Ao controlo do fluxo dos dados.
De assinalar que nos parágrafos 130 e seguintes destas Orientações, o CEDP apresenta um resumo particularmente útil dos passos a seguir pelos responsáveis pelo tratamento que recorrem à pseudonimização.
São também fornecidos vários cenários concretos de aplicação da pseudonimização e ilustrados os benefícios da sua adoção.
Embora não vinculativas, estas Orientações refletem a posição comum das autoridades nacionais de proteção de dados e da Autoridade Europeia para a Proteção de Dados, que integram o CEDP. Assim, prevê-se que sejam aplicadas de forma consistente por essas Autoridades.
Na Morais Leitão, acompanharemos o resultado da consulta pública aberta até dia 28 de fevereiro de 2025 e os termos finais das Orientações a emitir.
