A perspetiva da Cyber Academy
A pseudonimização é a técnica prevista no artigo 4.º, n.º 5, do GDPR que consiste em substituir identificadores diretos por tokens reversíveis, com a chave armazenada separadamente. Reduz o risco e gera boa vontade regulatória, mas os dados continuam a ser dados pessoais. A anonimização é a abordagem que escapa totalmente ao GDPR; a pseudonimização, não. Atenção à confusão entre os dois conceitos.
O que a pseudonimização realmente faz
A pseudonimização é uma técnica de proteção de dados, não um estado que o dado atinge. Você toma os campos que apontam diretamente para uma pessoa, o nome, o e-mail, o número nacional de identidade, e os substitui por um token: um identificador aleatório, uma referência codificada, um valor cifrado. A correspondência que reconverte o token na identidade real, a chave, é mantida separadamente e protegida com suas próprias medidas técnicas e organizativas. Quem trabalha com o conjunto de dados pseudonimizado pode analisá-lo, partilhá-lo ou testar sobre ele sem ver a quem pertencem os registos, enquanto a organização conserva a capacidade de reidentificar quando tem um motivo legítimo para tal.
O GDPR nomeia explicitamente esta técnica e trata-a como uma salvaguarda recomendada. Surge como uma forma de cumprir a proteção de dados desde a conceção e por defeito, como uma medida capaz de reduzir o risco residual de uma atividade de tratamento, e como um fator que as autoridades de controlo ponderam favoravelmente ao avaliar se você fez o suficiente. Recorrer a ela é um sinal de que levou a sério a segurança e a minimização. É a boa disposição para a qual aponta a definição breve, e é real, mas não muda a natureza jurídica do dado.
A pseudonimização não é anonimização
Esta é a confusão que mete as organizações em apuros. Como um registo pseudonimizado já não traz um nome visível, presume-se que saiu do âmbito do regulamento. Não saiu. A pseudonimização é reversível por conceção: a chave existe, portanto o dado pode ser religado a uma pessoa identificável, portanto continua a ser um dado pessoal e todas as obrigações continuam a aplicar-se. A anonimização é o acordo oposto. É irreversível, a ligação ao indivíduo é destruída de forma tão completa que a reidentificação já não é razoavelmente possível por qualquer meio que provavelmente seja utilizado, e só então o dado sai por inteiro do GDPR.
| Aspeto | Pseudonimização | Anonimização |
|---|---|---|
| Reversível | Sim, através da chave mantida separadamente | Não, a ligação é destruída |
| Continua a ser dado pessoal | Sim | Não |
| O GDPR aplica-se | Sim, na íntegra | Não |
| Finalidade típica | Reduzir o risco mantendo a utilidade e a reidentificação | Retirar o dado do âmbito, muitas vezes para publicação aberta |
O que os profissionais realmente fazem
Na prática, a pseudonimização é uma disciplina de engenharia e de governação mais do que um único interruptor. O propósito de separar a chave fica anulado se a mesma equipa, sistema ou cópia de segurança detiver tanto os tokens como a correspondência, pelo que os controlos em torno da chave importam tanto quanto a própria tokenização.
- Substituir os identificadores diretos por tokens, usando métodos como o hash com chave, a cifragem ou uma tabela de consulta de referências aleatórias.
- Armazenar a chave de reidentificação separadamente, sob um controlo de acesso mais rigoroso do que o conjunto de dados de trabalho, idealmente a cargo de uma equipa diferente.
- Precaver-se contra a reidentificação indireta, em que combinações raras dos campos restantes (um código postal, mais uma data de nascimento, mais um cargo) permitem isolar alguém mesmo sem nome.
- Documentar a técnica no registo de atividades de tratamento e na AIPD, e tratar o dado pseudonimizado como dado pessoal para efeitos de avaliação de violações, conservação e direitos dos titulares.
Bem feita, a pseudonimização permite que a análise, a investigação e os testes de software corram sobre dados realistas ao mesmo tempo que reduz o raio de impacto de uma violação, porque um atacante que obtém os tokens sem a chave detém muito menos. Feita com descuido, com a chave acessível ou os identificadores indiretos ignorados, oferece a aparência de proteção sem a substância, e a organização continua a carregar cada obrigação que julgava ter escapado.
Frequently asked questions
01A pseudonimização retira os meus dados do âmbito do GDPR?
Não. Os dados pseudonimizados são reversíveis porque a chave de reidentificação ainda existe, por isso continuam a ser dados pessoais e o GDPR aplica-se na íntegra. Só a anonimização irreversível retira os dados do âmbito do regulamento.
02Qual é a diferença entre pseudonimização e anonimização?
A pseudonimização é reversível e mantém o dado religável a uma pessoa através de uma chave mantida separadamente, por isso continua a ser dado pessoal. A anonimização é irreversível e destrói essa ligação de modo que a reidentificação já não seja razoavelmente possível, o que retira o dado do âmbito do GDPR.
03Por que vale a pena pseudonimizar se o dado continua a ser regulado?
Reduz o risco e apoia a proteção de dados desde a conceção. Limita quem pode ver as identidades reais, reduz o impacto de uma violação e conta como uma medida favorável de segurança e minimização quando uma autoridade de controlo avalia o seu tratamento.
04Onde devo armazenar a chave de reidentificação?
Separadamente do conjunto de dados pseudonimizado, sob controlos de acesso mais rigorosos e idealmente gerida por uma equipa ou sistema diferente. Se as mesmas pessoas ou cópias de segurança detiverem tanto os tokens como a chave, a separação que torna a pseudonimização significativa desapareceu.
05Os dados pseudonimizados podem ainda ser reidentificados por acidente?
Sim. Mesmo sem identificadores diretos, combinações raras dos atributos restantes, como código postal, data de nascimento e profissão, podem isolar um indivíduo. Precaver-se contra esta reidentificação indireta faz parte de fazer a pseudonimização como deve ser.