Os dados pessoais pseudonimizados são dados pessoais? Pontos-chave após o acórdão do Tribunal de Justiça da UE no caso EDPS contra SRB

Neste processo foram partes a Autoridade Europeia para a Proteção de Dados (AEPD ou EDPS, na sigla em inglês) e o Conselho Único de Resolução (CUR ou SRB, na sigla em inglês). O litígio decorre da resolução do Banco Popular (que ocorreu através de decisões do SRB (Conselho Único de Resolução) e do FROB em Espanha de 7 de junho de 2017) e do procedimento de "direito de audiência" iniciado pelo SRB em 2018 para avaliar a possível compensação para acionistas e credores, em que foram recolhidos dados e comentários através de um registo e um formulário online. Os comentários sobre a "avaliação 3" (1.104 no total) foram transmitidos a 17 de junho de 2019 pelo SRB à Deloitte através de um servidor virtual seguro. Após várias reclamações, a AEPD determinou, em 2020, que o SRB não tinha informado os titulares dos dados de que a Deloitte poderia ser destinatária dos seus dados na declaração de confidencialidade do processo. Esta decisão (posteriormente revista) foi contestada pelo SRB, levando à decisão do TJUE (Tribunal de Justiça da União Europeia) de 4 de setembro de 2025.

A questão mais significativa discutida neste caso, e que gerou um debate intenso e interessante entre os profissionais do setor, é se os dados pseudónimos ou pseudonimizados são inerentemente dados pessoais por defeito (uma vez que não são total e irrevogavelmente anonimizados), ou se podem ser considerados dados "não pessoais" para alguém que não consegue, sem um esforço desproporcional, ligar esses dados a uma pessoa singular.

Poder-se-ia pensar que algo tão básico não deveria estar em debate neste momento, mas a redação da legislação deu origem a diferentes perspetivas sobre o que deve, ou não, ser considerado um dado pessoal. Assim, surgiram duas visões diferentes sobre este conceito:

• A doutrina absoluta: que considera como dado pessoal qualquer informação que, direta ou indiretamente, possa ser associada a uma pessoa singular, por mais remota ou improvável que seja essa ligação.
• A doutrina subjetiva: que considera que os dados são pessoais apenas para quem tem meios razoáveis de os associar a um indivíduo.

Desta forma, é claro que uma aplicação estrita da teoria absoluta leva à conclusão de que os dados são pessoais ou não pessoais em si mesmos, independentemente de quem os tenha em seu poder. Por exemplo, um código pseudonimizado seria um dado pessoal para um indivíduo, mesmo que este não o conseguisse associar a uma pessoa singular, desde que, algures, o responsável pelo tratamento tivesse a "chave" ou tabela de correspondência que permitisse essa reidentificação.

Esta interpretação "monolítica" do conceito de dados pessoais, embora procure proteger particularmente os direitos dos titulares dos dados, origina encargos regulamentares que, por vezes, são insuportáveis para os responsáveis pelo tratamento de dados. Contudo, esta tem sido a interpretação adotada pela maioria das autoridades de controlo da proteção de dados e, consequentemente, pelos operadores, uma vez que implica um menor risco de incumprimento das normas regulamentares para os responsáveis pelo tratamento.

No entanto, mais recentemente, esta conceção tem sido rebatida em acórdãos do TJUE, como nos casos Breyer e Scania. Nestas decisões, o Tribunal opta pela interpretação subjetiva, afirmando, em síntese, que um endereço IP dinâmico (no caso da Breyer) ou um número de identificação do veículo (VIN) (no caso da Scania) constituem dados pessoais apenas na medida em que uma entidade possa associar essa informação a uma pessoa singular.

Embora se pudesse esperar que, com o suporte das referidas decisões do TJUE, a posição subjetiva estivesse plenamente estabelecida e aceite, reduzindo assim a importância da decisão que nos ocupa, não é esse o caso. Algumas autoridades, como o Conselho Europeu de Proteção de Dados, nas suas recentes Diretrizes 1/2025 sobre o conceito de pseudonimização — atualmente disponíveis apenas na sua versão preliminar para consulta pública — continuam a adotar uma abordagem decididamente restritiva, inclinando-se mais para a interpretação absoluta do que para a subjetiva.

É por isso que a decisão do TJUE aqui discutida é tão significativa, pois não só reafirma a interpretação subjetiva da lei, como também declara, pela primeira vez com absoluta clareza, que os dados pessoais pseudonimizados (neste caso, um código alfanumérico relativo a uma pessoa) tratados por um responsável “A” podem ser dados pessoais para “A”, mas não para um destinatário “B”, se este último não puder (razoavelmente) fazer uma ligação ou reidentificação dos dados.

Isto não só reafirma a interpretação subjetiva da lei, como também tem importantes implicações práticas, detalhadas a seguir.

Implicações práticas

Uma vez que, para o responsável pelo tratamento de dados “A”, os dados pseudonimizados serão, em qualquer caso, considerados dados pessoais (uma vez que tem a capacidade de reidentificar o titular dos dados a partir do código alfanumérico), “A” deve cumprir integralmente as normas aplicáveis. Isto implica que, entre outras obrigações, deve: 

• dispor de uma base legal (Art.º 6.º do RGPD) para tratar esses dados pessoais, incluindo, quando aplicável, uma base legal suficiente para a sua transferência para um terceiro; e
• informar o titular dos dados sobre o tratamento, em conformidade com os Arts. 13.º ou 14.º do RGPD, conforme o caso, incluindo informação sobre as transferências para os destinatários que receberão os seus dados pessoais. O TJUE aborda esta questão na decisão acima referida, embora, dadas as especificidades do caso, exista alguma margem para interpretação quanto ao tipo de informação que deve ser prestada aos titulares dos dados sobre os destinatários que não poderão associar os dados pseudonimizados aos titulares.

Relativamente ao cessionário “B”, este poderia ser considerado responsável pelo tratamento dos dados para todos os efeitos, caso consiga razoavelmente reidentificar o titular dos dados. Contudo, se o cessionário “B” não for considerado um responsável pelo tratamento ao abrigo da doutrina subjetiva (uma vez que não está a tratar dados pessoais, na sua perspetiva), surgem questões complexas, tais como:

Quais são os direitos do titular dos dados em relação ao destinatário dos dados?

A decisão de referência indica que o titular dos dados pode exercer os seus direitos de proteção de dados tanto contra o cedente como contra o cessionário. Para este último, contudo, poderá ser materialmente impossível responder a pedidos de acesso ou de eliminação de dados, por exemplo, uma vez que a informação não seria considerada pessoal para os seus fins.

Que informação deve então o cedente fornecer aos titulares dos dados relativamente aos cessionários que não conseguem identificar o titular dos dados?

Com o objetivo de simplificar os requisitos de informação para os responsáveis pelo tratamento e evitar confusão entre os titulares dos dados e os destinatários que não os conseguem identificar, pode considerar-se a possibilidade de os cedentes: (i) informarem apenas sobre as categorias de cessionários para os quais a informação recebida não será considerada dados pessoais (sem identificar cada cessionário individualmente); ou (ii) informarem de que determinados destinatários não os poderão identificar com a informação recebida, antecipando assim os problemas identificados. Como se referiu acima, a decisão do TJUE deixa alguma margem para interpretação sobre este ponto (à luz, por exemplo, das bases legais aplicáveis em cada caso).

Isto aplica-se aos subcontratantes para o tratamento?

No caso das relações de subcontratante do tratamento, surgem dúvidas significativas quanto à aplicabilidade desta doutrina nos casos em que o "subcontratante" opera seguindo as instruções do responsável pelo tratamento, mas trata dados pseudonimizados que não constituem dados pessoais para o subcontratante. Neste caso, a prudência sugere que a teoria subjetiva não se aplicaria na sua totalidade, uma vez que, como o subcontratante opera em nome do responsável pelo tratamento, seria difícil argumentar que está a tratar dados “não pessoais” (ao seguir as instruções do responsável, as possibilidades de reidentificação não devem ser consideradas remotas em caso algum). Contudo, este é um caso que justifica um estudo mais aprofundado, uma vez que as implicações práticas da aceitação da plena aplicabilidade da doutrina subjetiva nesta instância seriam substanciais (considere-se a facilidade que traria para a contratação com terceiros).

Conclusões

O acórdão do TJUE no caso EDPS v SRB representa não só uma reafirmação da doutrina subjetiva já conhecida, como também um marco importante para os profissionais da área, uma vez que fornece informação altamente relevante sobre a implementação desta doutrina. Em particular: 

• Esclarece que os dados pseudonimizados podem ou não ser considerados dados pessoais, dependendo de quem os trata e das possibilidades reais de identificação de pessoas singulares. A decisão fornece também orientações sobre as obrigações dos cedentes e cessionários de dados pseudonimizados, que devem ser estudadas em detalhe para a sua correta implementação.
• Abre um novo território para os profissionais de proteção de dados explorarem, devendo estes considerar as suas conclusões ao estruturar os marcos de conformidade para os responsáveis pelo tratamento e os subcontratantes. Por exemplo, as suas implicações em relação à utilização de informação pseudonimizada para o treino de modelos de IA podem ser de grande interesse para quem detém grandes volumes de dados pessoais, uma vez que podem facilitar a sua comercialização.
• Esta decisão exige uma nova perspetiva não só em relação às novas transferências ou subcontratações a regularizar, mas também uma reformulação das estruturas existentes, que podem ser afetadas por esta interpretação das normas.