Diretrizes explicam quando e como aplicar a pseudonimização, explicando vantagens e requisitos técnicos e organizativos, em conformidade com o Regulamento Geral sobre a Proteção dos Dados.
O Comité Europeu para a Proteção de Dados (CEPD) publicou recentemente as Diretrizes 01/2025 sobre Pseudonimização, para clarificar a utilização da medida para efeitos de conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Explicam quando e como aplicar a pseudonimização, quais as suas vantagens e os requisitos técnicos e organizativos necessários para que seja eficaz.
Define-se “pseudonimização” como uma medida de salvaguarda, que consiste no tratamento de dados pessoais de forma que deixem de poder ser atribuídos diretamente a um titular de dados específico.
Quando estão em causa dados sensíveis, como os dados de saúde, a pseudonimização pode ser uma medida essencial para garantir que são tratados com o mais elevado grau de proteção, especialmente quando usados para fins de investigação científica ou para a avaliação da qualidade dos cuidados prestados.
Destacam-se alguns dos exemplos da aplicação das Diretrizes 01/2025 no âmbito da pseudonimização:
- Aplicações móveis de aconselhamento médico que utilizam a pseudonimização para proteger a identidade dos utilizadores durante o controlo de qualidade permitindo o cumprimento dos princípios da minimização e confidencialidade;
ii) Registos de implantes dentários que aplicam a pseudonimização para evitar erros e acessos indevidos, assegurando que os dados não são usados para fins incompatíveis proporcionando o cumprimento o princípio da minimização e limitação da finalidade
iii) Em projetos de investigação em saúde, a aplicação de pseudonimização permite o tratamento de dados por diferentes instituições, sem identificação dos participantes assegurando a utilização secundária para fins de investigação.
No contexto dos exemplos enumerados, a pseudonimização permite o equilíbrio entre a utilidade dos dados e a respetiva privacidade, respeitando os princípios da minimização, confidencialidade e limitação da finalidade.
Nos diferentes setores de atividade, a medida pode ajudar as organizações a cumprir algumas das suas obrigações ao abrigo do RGPD, nomeadamente no que diz respeito à segurança ou à proteção de dados desde a conceção (integrando medidas de privacidade desde o início do tratamento de dados) e por defeito (tratando os dados com o mais elevado nível de proteção da privacidade).
