A pseudonimização e as diretrizes 01/2025 do EDPB

Imagine um cofre que guarda itens preciosos: os dados pessoais de um grupo de indivíduos. Para proteger esses itens, a chave que permite acessá-los é armazenada em outro local seguro, longe do alcance de quem não deveria ter acesso. Essa é a essência da pseudonimização: uma técnica que transforma dados identificáveis em códigos incompreensíveis, como embaralhar um quebra-cabeça e esconder as peças-chave que permitiriam montá-lo.

Em janeiro de 2025, o Comitê Europeu de Proteção de Dados (EDPB) publicou as Diretrizes 01/2025 sobre Pseudonimização, que fornecem orientações detalhadas sobre a aplicação da pseudonimização, destacando seus requisitos técnicos e legais. O conteúdo esteve em consulta pública até a última sexta-feira (28/2).

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

De acordo com o artigo 4(5) do General Data Protection Regulation (GDPR), a pseudonimização é definida como o processamento de dados pessoais de forma que não possam mais ser atribuídos a um titular específico sem o uso de informações adicionais. Tais informações devem ser mantidas separadamente e protegidas por medidas técnicas e organizacionais. Essa técnica visa reduzir riscos de identificação, minimizar o impacto de possíveis violações de dados e permitir o uso de informações para análise sem comprometer a privacidade dos titulares.

Um dos conceitos fundamentais abordados pelo EDPB é o “domínio de pseudonimização”, que define o contexto no qual a pseudonimização impede a atribuição dos dados a indivíduos e pode incluir departamentos específicos, entidades controladas ou terceiros autorizados. Em outras palavras, trata-se do conjunto de regras, sistemas e atores que determinam quem pode acessar os dados pseudonimizados, sob quais condições e com quais restrições.

As diretrizes do EDPB destacam duas técnicas principais de pseudonimização: transformações criptográficas, que utilizam funções criptográficas unidirecionais como hashes com chaves secretas, e tabelas de consulta (lookup tables), que atribuem pseudônimos a identificadores reais, com a tabela de referência armazenada separadamente.

No entanto, a pseudonimização não é infalível. Há riscos como a reidentificação por meio de quase-identificadores, ataques por correlação com fontes externas e violações de segurança que comprometeriam os segredos da pseudonimização.

Além das técnicas, as Diretrizes 01/2025 do EDPB abordam questões legais fundamentais. O EDPB esclarece que os dados pseudonimizados continuam sendo dados pessoais sempre que puderem ser vinculados a um indivíduo, direta ou indiretamente, por meio de informações adicionais, mesmo que estas estejam sob controle de terceiros.

Isso significa que, enquanto houver possibilidade razoável de reidentificação, os dados não podem ser considerados anonimizados e seguem protegidos pelo GDPR. Portanto, a pseudonimização mitiga riscos, mas não dispensa salvaguardas técnicas e organizacionais adicionais para garantir a proteção efetiva dos titulares.

As diretrizes também indicam que a pseudonimização pode fortalecer a base legal de interesse legítimo para o tratamento de dados, conforme o artigo 6(1)(f) do GDPR. Ao reduzir a possibilidade de identificação, a técnica minimiza os riscos, facilitando a justificativa de que o tratamento atende ao interesse legítimo do controlador sem comprometer indevidamente a privacidade dos titulares.

Mais ainda, a pseudonimização também pode promover a compatibilidade entre o propósito original da coleta de dados e usos secundários potenciais, conforme delineado no artigo 6(4) do GDPR. Isso possibilita que dados sejam reutilizados para novas finalidades, desde que alinhadas às expectativas dos titulares e sem comprometer sua privacidade.

Um exemplo presente nas diretrizes envolve uma empresa de comércio eletrônico, que utiliza o histórico de compras de seus clientes, originalmente armazenado para fins de acesso e gerenciamento das transações, para realizar análises de padrões de compra. Para garantir que essa nova finalidade seja compatível com a original e evitar a criação de perfis individuais, a empresa aplica a pseudonimização, removendo identificadores diretos e restringindo o acesso dos analistas a qualquer dado que possa ser revertido à identidade dos clientes.

Outro ponto abordado é o papel da pseudonimização nas transferências internacionais de dados. Quando informações são enviadas para países sem níveis adequados de proteção, a técnica pode servir como uma salvaguarda adicional, minimizando os riscos de acesso indevido. No entanto, para ser eficaz, as informações que permitem a reidentificação devem permanecer sob o controle do exportador e protegidas contra acessos não autorizados.

Ao final do documento, o EDPB fornece exemplos concretos de implementação da pseudonimização em diferentes cenários. Na área da saúde, a separação da identidade dos pacientes dos dados clínicos garante privacidade em pesquisas médicas. No setor de segurança da informação, a pseudonimização permite o compartilhamento de padrões de ataque cibernético sem expor dados pessoais sensíveis. Esses exemplos ilustram como a pseudonimização pode ser aplicada para equilibrar a necessidade de tratamento de dados pessoais com a proteção dos direitos dos titulares.

No Brasil, a pseudonimização está expressamente prevista na Lei Geral de Proteção de Dados (LGPD) nos artigos 13 e 13, §4º, no contexto de estudos de saúde pública conduzidos por órgãos de pesquisa. Além disso, a técnica é amplamente reconhecida como uma medida de segurança (art. 46) e um mecanismo para garantir o princípio da necessidade (art. 6, III), ao contribuir para a minimização do tratamento de dados pessoais.

A Autoridade Nacional de Proteção de Dados (ANPD) abriu consulta pública no início de 2024 a respeito de um guia relacionado à anonimização e pseudonimização, sinalizando avanços na padronização e incentivo ao uso dessas técnicas. Além disso, a Resolução 23/2024, que define a Agenda Regulatória da ANPD para 2025-2026, incluiu a pseudonimização entre os temas prioritários, prevendo a definição de padrões e técnicas para anonimização e pseudonimização, com o objetivo de fornecer orientações e esclarecimentos sobre o tema.

As diretrizes do EDPB não apenas destacam o papel central da pseudonimização na proteção de dados, como também oferecem subsídios valiosos para que organizações brasileiras acompanhem as evoluções regulatórias. A pseudonimização, quando planejada e aplicada de forma estratégica, não é apenas uma técnica, mas um pilar essencial para a preservação da privacidade e para a construção de uma cultura de proteção de dados na era digital.