Pseudonimizarea: O nouă perspectivă în urma Deciziei CJUE EDPS vs. SRB

Article Pseudonimizarea și GDPR: Noua perspectivă după decizia CJUE EDPS vs. SRB

Decizia Curții de Justiție a Uniunii Europene (C-413/23 P – European Data Protection Supervisor vs. Single Resolution Board), pronunțată în luna septembrie 2025, reprezintă un moment definitoriu pentru interpretarea și aplicarea pseudonimizării în domeniul protecției datelor cu caracter personal.

În centrul cauzei a fost evaluarea modului în care comentariile transmise de creditori și acționari în procedura de rezoluție a Banco Popular Español, pseudonimizate și transferate către Deloitte, mai reprezintă sau nu date personale din perspectiva Regulamentului GDPR.

Ce s-a întâmplat în această cauză?

În contextul procedurii de rezoluție a Banco Popular Español, SRB a colectat opinii de la acționari și creditori afectați, printr-un formular electronic. Ulterior, SRB a transmis aceste opinii, într-o formă în care numele și identificatorii direcți au fost înlocuiți cu un cod alfanumeric (adică, datele au fost pseudonimizate), către Deloitte, care avea statutul de consultant extern.

Controversa a apărut când EDPS (Autoritatea UE de protecție a datelor) a considerat că acele date pseudonimizate trebuie tratate ca date cu caracter personal chiar și de către Deloitte, criticând SRB pentru lipsa informării corespunzătoare a persoanelor vizate. 

Tribunalul UE a anulat inițial decizia EDPS, subliniind că Deloitte nu avea acces la cheia de reidentificare și, astfel, nu putea identifica persoanele vizate.

Cazul a ajuns la CJUE, care a stabilit că statutul juridic al acestor date depinde de perspectiva și mijloacele reale ale destinatarului: dacă reidentificarea nu este posibilă pentru destinatar prin mijloace rezonabile, datele pot ieși de sub incidența Regulamentului GDPR. Totuși, operatorul care deține cheia de reidentificare (SRB) rămâne responsabil sub Regulament și are obligații de informare.

Ce este pseudonimizarea?

Conform Regulamentului GDPR, pseudonimizarea este procesul prin care datele cu caracter personal sunt prelucrate astfel încât să nu mai poată fi atribuite unei persoane vizate fără utilizarea de informații suplimentare, aceste informații suplimentare fiind păstrate separat și protejate prin măsuri tehnice și organizatorice adecvate.

Conform GDPR și orientărilor emise de către EDPB, pseudonimizarea presupune înlocuirea datelor de identificare directă (nume, CNP, adrese de e-mail, numere de telefon) cu un cod sau alt identificator neutru, păstrând separat cheia de reidentificare prin măsuri tehnice și organizaționale stricte.

Câteva exemple concrete ar fi:

  • În cercetarea medicală, codificarea datelor pacienților astfel încât doar un departament autorizat poate face legătura între cod și identitatea reală a pacientului.
  • Pentru evaluările de resurse umane, datele despre performanța angajaților pot fi partajate cu consultanți externi pseudonimizate. În astfel de cazuri, consultanții nu pot reface identitatea reală fără acces la baza de date a angajatorului.
  • În marketing, segmentele de clienți pot fi analizate pseudonimizat, iar numai platforma care păstrează identitatea clientului poate reidentifica persoanele vizate.

Diferența față de anonimizare este crucială: datele anonimizate nu mai pot fi niciodată atribuite unei persoane, în timp ce pseudonimizarea permite reidentificarea, dar numai cu “cheia” păstrată de operator.

Clarificările aduse de Curtea de Justiție a Uniunii Europene

CJEU subliniază în această hotărâre faptul că datele pseudonimizate nu sunt automat considerate date cu caracter personal pentru orice destinatar, iar statutul lor juridic depinde de posibilitatea concretă de reidentificare. 

Astfel, dacă destinatarul unui set de date nu deține cheia sau mijloacele reale de reidentificare, datele respective pot fi considerate nepersonale din perspectiva GDPR, cu condiția existenței unor garanții tehnice și contractuale care să împiedice identificarea persoanelor vizate.

Așadar, doar pentru cei care pot reidentifica persoanele din dataset (dețin cheia sau mijloacele concrete pentru reidentificare), datele respective rămân personale și sub incidența GDPR. 

Pentru destinatarii terți precum Deloitte, care nu au acces la mijloacele de reidentificare, acele date pot fi considerate nepersonale, cu condiția să existe garanții reale că reidentificarea nu se poate realiza.

Implicații pentru marketing și AI

Decizia are efecte semnificative pentru domenii precum marketingul și dezvoltarea inteligenței artificiale. Operatorii care păstrează mijloacele de reidentificare trebuie să trateze seturile de date pseudonimizate ca fiind date personale (rămânând astfel obligați să respecte Regulamentul GDPR și principiile de bază ale conformității cu acesta: informare, consimțământ, contracte). 

În schimb, terții care primesc date pseudonimizate fără acces la mijloace de reidentificare beneficiază, în anumite condiții, de o flexibilitate sporită și pot utiliza aceste date fără restricțiile GDPR, cu condiția să dovedească imposibilitatea reidentificării.

Recomandări și responsabilități pentru companii

  • Furnizorii de date rămân responsabili conform Regulamentului GDPR dacă dețin cheia de reidentificare;
  • Destinatarii datelor pot opera uneori fără restricții, dar numai cu dovezi clare pentru faptul că reidentificarea nu e posibilă;
  • Documentați riguros procesul de pseudonimizare și cine deține cheia de reidentificare;  
  • Stabiliți, prin intermediul unor clauze inserate în contracte interdicții clare privind reidentificarea datelor;  
  • Evaluați periodic riscul de reidentificare și actualizați politicile interne;
  • Măsurile tehnice și contractuale de protecție trebuie să fie detaliate și implementate în mod riguros pentru a preveni reidentificarea neautorizată.

Concluzie

Decizia CJEU impune o abordare pragmatică privind statutul datelor pseudonimizate. 

Pseudonimizarea devine o soluție utilă și flexibilă, însă nu poate substitui responsabilitatea, transparența și evaluarea continuă a riscurilor în procesarea datelor cu caracter personal. 

Companiile trebuie să evalueze contextul fiecărui transfer sau procesare, să aplice măsuri adecvate și să ofere protecție reală persoanelor vizate, în conformitate cu spiritul și obligațiile impuse de Regulamentul GDPR.

 

 

 

Ștefan Antonia Teodora

Consultant în protecția datelor cu caracter personal

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Despre cei 5 piloni DORA și implicațiile asupra companiilor care lucrează cu instituții financiare

Securitatea cibernetică în era inteligenței artificiale generative

Securitatea cibernetică în era inteligenței artificiale generative

Când dreptul de access devine abuz: ghid practic pentru companii

Când dreptul de access devine abuz: ghid practic pentru companii

Profilarea în GDPR

Profilarea în GDPR

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI