GG Thinks: The 2026 GDPR Shift: How Pseudonymization Could Recalibrate Data Use and Compliance Risk
.jpg)
Personal data regulation is a familiar constraint. Both EU and non-EU companies struggle to comply with the General Data Protection Regulation (GDPR), which applies whenever data can be linked to an identifiable individual. From internal governance procedures to privacy policies and data processing agreements, the path to compliance is cumbersome and complex, even when planned in advance.
One of the main techniques used to manage this risk is pseudonymization: replacing direct identifiers (such as names or identification numbers) with artificial codes or aliases, so that data remains usable for analysis, research, and innovation while access to individual identities is deliberately restricted and segregated.
Under the current version of GDPR, however, this distinction has limited legal effect. Pseudonymized data is still treated as personal data, on the basis that re-identification is theoretically possible. Independently of pseudonymization, protecting individuals’ rights through personal data privacy requires regulatory cost and operational risk in ways that many organizations experience as misaligned with how data is actually used.
A proposed legislative reform suggests that this allocation of risk may soon be adjusted. As part of the European Commission’s Digital Omnibus pack, pseudonymization is being repositioned from a security measure into a factor that may influence whether certain data processing activities fall within the scope of the GDPR at all.
A Regulatory Recalibration, Not a Deregulatory Break
The European Commission presents the Digital Omnibus pack as an effort to ensure that EU digital regulation remains compatible with innovation and economic growth, while preserving its core protective aims. The focus is not on deregulation, but on refinement: simplifying requirements where risk is limited, and clarifying the boundaries of existing regimes.
Within this context, the GDPR occupies a central position. Its risk-based logic has always depended on the link between data and identifiable individuals. Yet in practice, many data-driven activities rely on information that does not require — and often should not allow — identification. AI training, digital services, and HR third-party services are some examples of activities that traditionally rely on pseudonymized data and still must comply with all GDPR obligations.
The Digital Omnibus proposal acknowledges this structural tension.
Pseudonymization as a Boundary Between Data and Identity
Pseudonymization is a data processing technique that replaces direct identifiers (such as names or identification numbers) with artificial codes or aliases. The data remains usable for analysis, research, and innovation, while access to individual identities is deliberately restricted and segregated.
Although the Court of Justice of the European Union argues that pseudonymized data may fall outside the GDPR in certain cases, GDPR is still indifferent to such reality. Pseudonymized data is still treated as personal data, on the basis that re-identification is theoretically possible, regardless of who controls the means to do so. As a result, extensive obligations continue to apply: privacy by design and by default, data protection impact assessments, detailed records of processing activities, internal policies, and ongoing compliance documentation.
This way, it does not matter if your company has the key or the technical means to reidentify pseudonymized data for the purpose of GDPR. The current understanding sponsored by the European Data Protection Supervisor is that pseudonymized data is always personal data subject to the GDPR, regardless of the person accessing it.
The proposed reform changes that logic.
The Subjective Test: Who Can Re-Identify, in Practice?
Under the Digital Omnibus proposal, pseudonymized data would no longer qualify as personal data in the hands of a controller or recipient that lacks the reasonable means to re-identify the individuals concerned.
This introduces a subjective assessment of identifiability. Applicability of the GDPR would depend not on abstract possibilities, but on whether the specific organization processing the data can realistically reconnect it to individuals, using the means it has or can reasonably access. However, this assessment won’t be entirely subjective: upon approval of the Digital Omnibus pack, the European Commission will list the means and criteria to determine whether data resulting from pseudonymization no longer constitutes personal data for certain entities.
The consequence is not the disappearance of data protection obligations, but their redistribution. For many digital service providers, this means that regulatory exposure may increasingly depend on how services are designed — including whether they ever receive data in a form that allows re-identification at all. Where identity is genuinely out of reach by design, the regulatory framework follows that design choice.
In this sense, pseudonymization is no longer merely a security measure. It becomes a governance decision about where — and with whom — the power to identify should reside.
What This Means — and What It Does Not
This proposed clarification represents a meaningful shift from the current framework and addresses uncertainties that have surfaced repeatedly since the GDPR’s entry into force, including in cases such as Breyer and SRB v EDPS. It provides a clearer legal anchor for data uses that depend on information, but not on identity.
At the same time, it does not eliminate responsibility. Organizations that retain re-identification capabilities, whether for operational, legal, or strategic reasons, will continue to fall within the GDPR’s scope. Group structures, data-sharing arrangements, and access controls will remain decisive.
Pseudonymization, in other words, is not a way around regulation. It is a way of allocating regulatory weight in line with actual data use.
Preparing for a Different Allocation of Risk
Whether this recalibration translates into tangible relief will depend not only on legislative outcomes, but on how organizations are structured in practice. Its potential impact sits upstream of compliance: in product and service design, in data acquisition models, in internal processing arrangements, and in the role played by intermediaries and data brokers.
For organizations whose value lies in analyzing data rather than identifying individuals, and for designers of systems, processes, and data flows, this shift may materially change how regulatory risk is distributed. In that sense, the Digital Omnibus pack is not about easing obligations in the abstract; it’s about clarifying where strategic choices begin to matter. Strategic preparation starts now.
Rafael Martins Aguiar
Associate Lawyer, IP and TMT
__________
GG Thinks: As alterações ao RGPD em 2026: como a pseudonimização pode reequilibrar o uso de dados e o risco de compliance
A regulação da proteção de dados pessoais é amplamente reconhecida. Tanto empresas europeias como não europeias enfrentam dificuldades no cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD), que se aplica sempre que os dados possam ser associados a uma pessoa identificável. Desde procedimentos internos de gestão de dados até políticas de privacidade e acordos de tratamento de dados, o cumprimento pleno do RGPD é oneroso e complexo, mesmo quando cuidadosamente planeado.
Uma das principais técnicas utilizadas para gerir este risco é a pseudonimização: a substituição de identificadores diretos (como nomes ou números de identificação) por códigos ou pseudónimos artificiais, permitindo que os dados continuem a ser utilizados para análise, investigação e inovação, ao mesmo tempo que o acesso às identidades individuais é deliberadamente restringido e segregado.
Contudo, na versão atual do RGPD, esta distinção tem efeitos jurídicos limitados. Os dados pseudonimizados continuam a ser tratados como dados pessoais, com base na possibilidade teórica de reidentificação. Independentemente da pseudonimização, a proteção dos direitos dos titulares de dados através da privacidade implica custos regulatórios e riscos operacionais que muitas organizações consideram desajustados face à forma como os dados são efetivamente utilizados.
Uma proposta de revisão legislativa sugere que esta alocação de risco poderá em breve ser ajustada. No âmbito do pacote legislativo Digital Omnibus da Comissão Europeia, a pseudonimização está a ser reposicionada: deixa de ser apenas uma medida de segurança para passar a ser um fator que pode influenciar a decisão sobre se determinadas atividades de tratamento de dados estão, ou não, abrangidas pelo âmbito de aplicação do RGPD.
Um ajuste na regulação, não uma rutura
A Comissão Europeia apresenta o pacote Digital Omnibus como um esforço para assegurar que a regulação digital da União Europeia permanece alinhada com a inovação e o crescimento económico, preservando simultaneamente os seus objetivos fundamentais de proteção. O foco não está na desregulação, mas no aperfeiçoamento: simplificar requisitos quando o risco é limitado e clarificar os contornos dos regimes existentes.
Neste contexto, o RGPD ocupa uma posição central. O risco como fator basilar sempre dependeu da relação entre dados e pessoas identificáveis. Na prática, porém, muitas atividades relacionadas com dados assentam em informação que não requer — e muitas vezes não deve permitir — a identificação do respetivo sujeito. O treino de sistemas de IA, os serviços digitais e os serviços de recursos humanos prestados por terceiros são exemplos de atividades que tradicionalmente recorrem a dados pseudonimizados e que, ainda assim, permanecem sujeitas a todas as obrigações do RGPD.
O pacote Digital Omnibus reconhece esta tensão estrutural.
A pseudonimização como fronteira entre dados e identidade
A pseudonimização é uma técnica de tratamento de dados que substitui identificadores diretos (como nomes ou números de identificação) por códigos ou pseudónimos artificiais. Os dados mantêm-se utilizáveis para análise, investigação e inovação, enquanto o acesso às identidades individuais é deliberadamente limitado e segregado.
Embora o Tribunal de Justiça da União Europeia admita que, em certos casos, os dados pseudonimizados possam ficar fora do âmbito do RGPD, o regulamento continua indiferente a essa realidade. Os dados pseudonimizados são tratados como dados pessoais com base na possibilidade teórica de reidentificação, independentemente de quem detenha efetivamente os meios para o fazer. Consequentemente, continuam a ter de se observar obrigações extensas: proteção de dados desde a conceção e por defeito, avaliações de impacto, registos detalhados das atividades de tratamento, políticas internas e documentação contínua de conformidade.
Deste modo, para efeitos do RGPD, é irrelevante que a empresa detenha — ou não — a chave ou os meios técnicos para reidentificar os dados pseudonimizados. A interpretação atualmente promovida pela Autoridade Europeia para a Proteção de Dados é a de que os dados pseudonimizados são sempre dados pessoais sujeitos ao RGPD, independentemente de quem tenha acesso.
A revisão legislativa proposta altera esta lógica.
O teste subjetivo: quem pode reidentificar, na prática?
De acordo com o pacote Digital Omnibus, os dados pseudonimizados deixariam de ser qualificados como dados pessoais quando se encontrem na posse de um responsável pelo tratamento ou destinatário que não disponha de meios razoáveis para reidentificar os titulares dos dados.
Isto introduz uma avaliação subjetiva da identificabilidade. A aplicabilidade do RGPD passaria a depender não de possibilidades abstratas, mas de saber se a organização que tratará os dados consegue, de forma realista, relacioná-los aos respetivos sujeitos, tendo em conta os meios de que dispõe ou a que pode razoavelmente aceder. Ainda assim, esta avaliação não será totalmente subjetiva: uma vez aprovado o pacote Digital Omnibus, a Comissão Europeia deverá definir os meios e critérios para determinar quando os dados resultantes de pseudonimização deixam de constituir dados pessoais para determinadas entidades.
A consequência não é o desaparecimento das obrigações em matéria de proteção de dados, mas a sua redistribuição. Para muitos prestadores de serviços digitais, isto significa que a exposição regulatória poderá depender cada vez mais da forma como os serviços são concebidos — incluindo se chegam, ou não, a receber dados num formato que permita a reidentificação. Quando a identidade está, por conceção, genuinamente fora de alcance, o enquadramento regulatório acompanha essa escolha de design.
Neste sentido, a pseudonimização deixa de ser apenas uma medida de segurança. Passa a ser uma decisão de governação sobre onde — e com quem — deve residir o poder de identificar.
O que isto significa — e o que não significa
A clarificação proposta representa uma alteração relevante face ao regime atual e responde a incertezas que têm surgido repetidamente desde a entrada em vigor do RGPD, incluindo em processos judiciais como Breyer e SRB v. EDPS. Oferece um elemento de interpretação jurídica mais claro para processamento de dados que dependem da informação, mas não da identidade.
Ao mesmo tempo, não elimina responsabilidades. As organizações que sejam capazes de reidentificar, seja por razões operacionais, legais ou estratégicas, continuarão abrangidas pelo RGPD. Estruturas de grupo, acordos de partilha de dados e controlos de acesso continuarão a ser determinantes.
A pseudonimização, por outras palavras, não é uma forma de contornar a regulação. É uma forma de alocar o peso regulatório de acordo com o uso efetivo dos dados.
Preparar uma nova alocação de risco
Se este ajuste na regulação vai constituir um alívio efetivo dependerá não apenas dos resultados legislativos, mas também da forma como as organizações se estruturam na prática. O seu impacto potencial situa-se a montante da conformidade: no desenvolvimento de produtos e serviços, nos modelos de aquisição de dados, nos procedimentos internos de tratamento e no papel desempenhado por intermediários e corretores de dados.
Para organizações cujo valor reside na análise de dados e não na identificação dos respetivos sujeitos, bem como para equipas que desenvolvem sistemas, processos e fluxos de dados, esta alteração pode ajustar de forma significativa a distribuição do risco regulatório. Nesse sentido, o pacote Digital Omnibus não visa aliviar obrigações em abstrato; visa clarificar onde as escolhas estratégicas importam. A preparação estratégica começa agora.
Rafael Martins Aguiar
Advogado Associado, IP e TMT