O Tribunal de Justiça da União Europeia decidiu que dados pseudonimizados nem sempre devem ser considerados dados pessoais ao abrigo do Regulamento Geral de Proteção de Dados (RGPD). Saiba mais sobre esta decisão.
A decisão do Tribunal de Justiça da União Europeia (TJUE), no processo C-413/23 P, de 4 de setembro de 2025, refere que a aplicação do Regulamento Geral de Proteção de Dados (RGPD) pressupõe, em princípio, um exame sobre o carácter identificado ou identificável do titular dos dados pela informação em causa.
O conceito de pseudonimização está definido no RGPD (n.º 5 do art. 4.º), sendo uma medida técnica e organizativa. Os dados pessoais deixam de ser atribuídos a um titular de dados específico, a menos que se recorra a informações suplementares.
Decorre desta posição do TJUE que a pseudonimização pode, conforme as circunstâncias do caso concreto, impedir efetivamente outras pessoas, que não o responsável pelo tratamento, de identificar o titular dos dados, de tal forma que, para outras pessoas, o titular não seja ou possa ser identificado, não se tratando, por isso, de dados pessoais. E, assim, ficam excluídos da aplicação do direito da União Europeia em matéria de dados pessoais.
Não obstante, salienta-se que o responsável pelo tratamento, que proceda à recolha e pseudonimização dos dados, mantém-se vinculado ao dever de informar os titulares acerca do tratamento efetuado e da eventual comunicação desses dados a terceiros, ainda que o destinatário não disponha de meios para proceder à sua reidentificação.
Este Acórdão do Tribunal de Justiça pode acelerar o desenvolvimento de tecnologias na Europa, com destaque para o treino de modelos de Inteligência Artificial (IA), enquanto garante a proteção dos direitos dos titulares dos dados.
Consulte: Acórdão do Tribunal de Justiça, de 4 de setembro de 2025, do Processo C-413/23 P.
