Em 4 de setembro de 2025, o Tribunal de Justiça da União Europeia (TJUE) proferiu o Acórdão no processo C-413/23 P (EDPS/AEPD vs. Single Resolution Board — SRB), clarificando dois pontos com enorme impacto prático: (i) quando dados pseudonimizados são (ou não) “dados pessoais” para diferentes intervenientes; e (ii) de que ponto de vista e em que momento se avalia a identificabilidade para efeitos do dever de informação sobre destinatários.
A decisão nasce no contexto do Regulamento (UE) 2018/1725 (aplicável às instituições da União), mas o próprio TJUE sublinha a interpretação homogénea com o RGPD, dado o paralelismo das definições e princípios. Ou seja, as conclusões projetam-se também no setor privado, em particular no artigo 13.º, n.º 1, alínea e), do RGPD (informação sobre destinatários).
O essencial do Acórdão
1) “Dados pessoais” é um conceito relativo ao contexto — dados pseudonimizados não são sempre pessoais para todos.
O TJUE rejeita a ideia de que dados pseudonimizados sejam automaticamente considerados dados pessoais “em todos os casos e para qualquer pessoa”. O teste continua a ser o da identificabilidade com “meios razoavelmente suscetíveis” de serem utilizados, considerando custos, tempo, tecnologia disponível e desenvolvimentos previsíveis. Se, para um determinado destinatário, o risco de reidentificação for insignificante, os dados podem não ser pessoais na sua esfera.
Em termos práticos: se o destinatário não controla a chave ou código, não pode levantar as medidas de pseudonimização, nem consegue reidentificar por cruzamento com outras bases. Nessa situação, os dados podem estar fora do âmbito de “dados pessoais”… mas apenas para esse destinatário e naquelas circunstâncias.
2) Atenção às cadeias de partilha.
Se os dados pseudonimizados forem disponibilizados a terceiros que tenham meios razoáveis para reidentificar (por exemplo, combinando com conjuntos de dados que detenham), então tornam-se pessoais tanto para esses terceiros como, indiretamente, para o remetente. Esta leitura alinha-se com os precedentes Breyer, IAB Europe e Gesamtverband Autoteile-Handel.
3) O dever de informação sobre destinatários avalia-se do ponto de vista do responsável e no momento da recolha.
Para efeitos do artigo 15.º, n.º 1, alínea d), do Regulamento 2018/1725 (equivalente ao artigo 13.º, n.º 1, alínea e), do RGPD), o TJUE fixa duas referências:
- Momento: a avaliação faz-se no momento da recolha;
- Perspetiva: conta a do responsável pelo tratamento.
No caso, o SRB tinha informação que permitia identificar os autores dos comentários (logo, tratava dados pessoais) e tinha de informar os titulares sobre a transmissão à Deloitte — antes da transferência. O Tribunal censura expressamente a leitura que centrava a análise na perspetiva do destinatário (Deloitte).
4) Efeito processual: o TJUE revoga o acórdão do Tribunal Geral e remete o processo para nova apreciação quanto a um segundo fundamento.
O que isto significa para a conformidade com o RGPD
Embora o acórdão diga respeito ao Regulamento 2018/1725, o TJUE afirma a sua equivalência interpretativa com o RGPD — pelo que vale, por analogia, para responsáveis pelo tratamento e subcontratantes no setor privado (artigos 4.º e 13.º do RGPD).
- Identificabilidade “relativa” e a sua avaliação
- Teste dos “meios razoavelmente suscetíveis”: faça uma avaliação objetiva (custos, tempo, tecnologia, dados acessíveis ao destinatário). Documente a razão pela qual o risco é, ou não, insignificante.
- Pseudonimização ≠ anonimização: pode tornar dados não pessoais para certos destinatários, mas pode deixar de o ser se houver combinações prováveis com outros conjuntos (do destinatário ou de terceiros subsequentes).
- Cadeia de transferências: avalie o destinatário imediato e os subsequentes. Se um terceiro puder reidentificar, os dados serão pessoais também para si (responsável que originou a partilha).
- Dever de informação sobre destinatários (artigo 13.º, n.º 1, alínea e), RGPD)
- “Quem” e “quando”: informe desde a recolha e a partir da sua perspetiva (responsável pelo tratamento). Se sabe que vai transferir (ou é razoavelmente previsível que venha a transferir), inclua o destinatário ou categorias antes da partilha.
- Pseudonimização não dispensa transparência: mesmo que o destinatário não possa reidentificar, continua a existir a obrigação de informar (porque, para si, os dados são pessoais).
- Atualizações: se o destinatário só for conhecido mais tarde, atualize o aviso antes da transferência efetiva.
Um guia prático para equipas de Privacidade, Jurídico e Dados
- Mapeie os fluxos de pseudonimizados por destinatário (e re-destinatários).
Para cada partilha, pergunte: que meios teria o destinatário para reidentificar? Com que dados poderia cruzar? Qual o esforço? Registe a análise (risco “insignificante” ou não). - Reforce controlos técnicos e organizativos do lado do destinatário.
Minimize a “probabilidade razoável” de reidentificação: proibições contratuais de matching, segregação lógica, limites de finalidade, monitorização de consultas e contratos que impeçam levantar medidas de pseudonimização. - Transparência by design.
- Na recolha, inclua categorias de destinatários ou destinatários específicos previsíveis (e atualize antes de qualquer nova partilha).
- Em projetos sujeitos a DPIA, teste cenários de reidentificação e tempo/custo com base na tecnologia disponível no mercado (não apenas a sua).
- Políticas internas sobre “dados não pessoais (para o destinatário)”.
Esclareça que a conclusão “não pessoal para o destinatário X” não liberta o responsável das suas obrigações (incluindo a de informação) enquanto mantiver meios de reidentificação. - Gestão de transferências em cascata.
Qualquer transferência subsequente deve repetir o teste. Se um terceiro “mais à frente” puder reidentificar, a sua organização continua exposta como responsável que colocou os dados em circulação.
Perguntas frequentes (FAQ)
Q1. Posso tratar dados pseudonimizados como “anónimos” e dispensar o RGPD?
Depende do destinatário e do contexto. Se, para esse destinatário, a reidentificação for irrealista (meios não razoáveis), podem não ser pessoais na sua esfera. Mas, para si (que reteve a chave), continuam pessoais; deveres de informação e demais obrigações mantêm-se.
Q2. Se os dados não forem pessoais para o destinatário, ainda tenho de informar os titulares sobre a partilha?
Sim. O TJUE foi claro: a avaliação, para este dever, faz-se no momento da recolha e do ponto de vista do responsável.
Q3. Basta dizer “podemos partilhar com prestadores”?
Se um destinatário está previsto ou previsível, nomeie-o ou detalhe a categoria com suficiente especificidade. Atualize a informação antes da primeira transferência.
Três pontos essenciais a reter
- Identificabilidade é relacional: pseudonimizados não são um “passe livre” — tudo depende dos meios razoáveis disponíveis a cada destinatário, no momento.
- Transparência é responsabilidade de quem recolhe: deve informar os titulares sobre destinatários antes de transferir, mesmo que estes não consigam reidentificar.
- Considere a cadeia de transferências: uma partilha aparentemente inofensiva hoje pode tornar-se pessoal amanhã se um terceiro tiver meios para matching. Estruture contratos, governação e avaliações para evitar esse risco.
Fontes principais
- Acórdão (edição provisória) — PT: C-413/23 P, 4.9.2025 (AEPD/EDPS vs. SRB) — conceito de “dados pessoais”, pseudonimização e dever de informação.
- Acórdão (EN): passagens sobre o momento e a perspetiva da avaliação do dever de informação (¶¶111, 115) e dispositivo (revogação e reenvio).
- Página de resultados CURIA (ECLI:EU:C:2025:645).
