Pseudonimização.

A pseudonimização é a técnica prevista no artigo 4.º, n.º 5, do GDPR que consiste em substituir identificadores diretos por tokens reversíveis, com a chave armazenada separadamente. Reduz o risco e gera boa vontade regulatória, mas os dados continuam a ser dados pessoais. A anonimização é a abordagem que escapa totalmente ao GDPR; a pseudonimização, não. Atenção à confusão entre os dois conceitos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

A perspetiva da Cyber Academy

A pseudonimização é a técnica prevista no artigo 4.º, n.º 5, do GDPR que consiste em substituir identificadores diretos por tokens reversíveis, com a chave armazenada separadamente. Reduz o risco e gera boa vontade regulatória, mas os dados continuam a ser dados pessoais. A anonimização é a abordagem que escapa totalmente ao GDPR; a pseudonimização, não. Atenção à confusão entre os dois conceitos.

O que a pseudonimização realmente faz

A pseudonimização é uma técnica de proteção de dados, não um estado que o dado atinge. Você toma os campos que apontam diretamente para uma pessoa, o nome, o e-mail, o número nacional de identidade, e os substitui por um token: um identificador aleatório, uma referência codificada, um valor cifrado. A correspondência que reconverte o token na identidade real, a chave, é mantida separadamente e protegida com suas próprias medidas técnicas e organizativas. Quem trabalha com o conjunto de dados pseudonimizado pode analisá-lo, partilhá-lo ou testar sobre ele sem ver a quem pertencem os registos, enquanto a organização conserva a capacidade de reidentificar quando tem um motivo legítimo para tal.

O GDPR nomeia explicitamente esta técnica e trata-a como uma salvaguarda recomendada. Surge como uma forma de cumprir a proteção de dados desde a conceção e por defeito, como uma medida capaz de reduzir o risco residual de uma atividade de tratamento, e como um fator que as autoridades de controlo ponderam favoravelmente ao avaliar se você fez o suficiente. Recorrer a ela é um sinal de que levou a sério a segurança e a minimização. É a boa disposição para a qual aponta a definição breve, e é real, mas não muda a natureza jurídica do dado.

A pseudonimização não é anonimização

Esta é a confusão que mete as organizações em apuros. Como um registo pseudonimizado já não traz um nome visível, presume-se que saiu do âmbito do regulamento. Não saiu. A pseudonimização é reversível por conceção: a chave existe, portanto o dado pode ser religado a uma pessoa identificável, portanto continua a ser um dado pessoal e todas as obrigações continuam a aplicar-se. A anonimização é o acordo oposto. É irreversível, a ligação ao indivíduo é destruída de forma tão completa que a reidentificação já não é razoavelmente possível por qualquer meio que provavelmente seja utilizado, e só então o dado sai por inteiro do GDPR.

Pseudonimização versus anonimização
AspetoPseudonimizaçãoAnonimização
ReversívelSim, através da chave mantida separadamenteNão, a ligação é destruída
Continua a ser dado pessoalSimNão
O GDPR aplica-seSim, na íntegraNão
Finalidade típicaReduzir o risco mantendo a utilidade e a reidentificaçãoRetirar o dado do âmbito, muitas vezes para publicação aberta

O que os profissionais realmente fazem

Na prática, a pseudonimização é uma disciplina de engenharia e de governação mais do que um único interruptor. O propósito de separar a chave fica anulado se a mesma equipa, sistema ou cópia de segurança detiver tanto os tokens como a correspondência, pelo que os controlos em torno da chave importam tanto quanto a própria tokenização.

  • Substituir os identificadores diretos por tokens, usando métodos como o hash com chave, a cifragem ou uma tabela de consulta de referências aleatórias.
  • Armazenar a chave de reidentificação separadamente, sob um controlo de acesso mais rigoroso do que o conjunto de dados de trabalho, idealmente a cargo de uma equipa diferente.
  • Precaver-se contra a reidentificação indireta, em que combinações raras dos campos restantes (um código postal, mais uma data de nascimento, mais um cargo) permitem isolar alguém mesmo sem nome.
  • Documentar a técnica no registo de atividades de tratamento e na AIPD, e tratar o dado pseudonimizado como dado pessoal para efeitos de avaliação de violações, conservação e direitos dos titulares.

Bem feita, a pseudonimização permite que a análise, a investigação e os testes de software corram sobre dados realistas ao mesmo tempo que reduz o raio de impacto de uma violação, porque um atacante que obtém os tokens sem a chave detém muito menos. Feita com descuido, com a chave acessível ou os identificadores indiretos ignorados, oferece a aparência de proteção sem a substância, e a organização continua a carregar cada obrigação que julgava ter escapado.

Frequently asked questions

01A pseudonimização retira os meus dados do âmbito do GDPR?

Não. Os dados pseudonimizados são reversíveis porque a chave de reidentificação ainda existe, por isso continuam a ser dados pessoais e o GDPR aplica-se na íntegra. Só a anonimização irreversível retira os dados do âmbito do regulamento.

02Qual é a diferença entre pseudonimização e anonimização?

A pseudonimização é reversível e mantém o dado religável a uma pessoa através de uma chave mantida separadamente, por isso continua a ser dado pessoal. A anonimização é irreversível e destrói essa ligação de modo que a reidentificação já não seja razoavelmente possível, o que retira o dado do âmbito do GDPR.

03Por que vale a pena pseudonimizar se o dado continua a ser regulado?

Reduz o risco e apoia a proteção de dados desde a conceção. Limita quem pode ver as identidades reais, reduz o impacto de uma violação e conta como uma medida favorável de segurança e minimização quando uma autoridade de controlo avalia o seu tratamento.

04Onde devo armazenar a chave de reidentificação?

Separadamente do conjunto de dados pseudonimizado, sob controlos de acesso mais rigorosos e idealmente gerida por uma equipa ou sistema diferente. Se as mesmas pessoas ou cópias de segurança detiverem tanto os tokens como a chave, a separação que torna a pseudonimização significativa desapareceu.

05Os dados pseudonimizados podem ainda ser reidentificados por acidente?

Sim. Mesmo sem identificadores diretos, combinações raras dos atributos restantes, como código postal, data de nascimento e profissão, podem isolar um indivíduo. Precaver-se contra esta reidentificação indireta faz parte de fazer a pseudonimização como deve ser.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.