O CEPD lança luz sobre a anonimização e a raspagem da Web para a IA generativa e adota a versão final das orientações sobre a cadeia de blocos

  • EDPB News

Bruxelas, 8 de julho – Durante a sua última sessão plenária, o CEPD adotou orientações sobre a anonimização e orientações sobre a raspagem da Web no contexto da IA generativa. Além disso, o Comité adotou a versão final das suas orientações sobre o tratamento de dados pessoais através de tecnologias de cadeia de blocos.

Compreender os dados anónimos

As novas orientações do CEPD clarificam o conceito de dados anónimos, tendo igualmente em conta o acórdão do Tribunal de Justiça da UE no processo C-413/23 P, AEPD/CUR, de 4 de setembro de 2025, e outra jurisprudência do TJUE.

As orientações constituem um marco significativo na clarificação da noção de dados anónimos, estabelecendo normas claras que facilitam a utilização dos dados, protegendo simultaneamente os direitos fundamentais das pessoas.

Ao elaborar estas orientações, incorporámos contributos valiosos do nosso evento com as partes interessadas, demonstrando, uma vez mais, o nosso forte empenho no diálogo colaborativo, tal como descrito na declaração de Helsínquia do CEPD.

Anu Talus, presidente do CEPD

Os dados são anónimos se não estiverem relacionados com uma pessoa singular identificada ou identificável. Se este é o caso pode variar de uma entidade para outra.

As informações podem dizer respeito a um indivíduo devido ao seu conteúdo, finalidade ou efeito. A existência dessa ligação pode não ser imediatamente óbvia e pode exigir uma análise mais aprofundada.

Um indivíduo é considerado «identificado ou identificável» se puder ser distinguido de outros num contexto específico utilizando meios razoavelmente suscetíveis de serem utilizados de uma forma que permita tratá-los de forma diferente. A probabilidade razoável de os meios serem utilizados dependerá da perspetiva da entidade relevante e deve ser avaliada à luz de todos os fatores objetivos.

As orientações proporcionam igualmente um quadro prático para as organizações determinarem se a anonimização é bem-sucedida. O quadro pode ser aplicado de duas formas: quer avaliando as diferenças de capacidades entre aqueles que possam identificar a pessoa («abordagem contextual») ou, por razões de simplicidade, não tendo em conta essas diferenças («abordagem simplificada»), se o responsável pelo tratamento assim o decidir. A abordagem contextual reflete todas as nuances da norma jurídica para a anonimização. A abordagem simplificada pode ir além da norma jurídica e levar um responsável pelo tratamento que procede à anonimização a tratar os dados como se não fossem anónimos, mesmo que o fosse efetivamente para algumas entidades pertinentes, mas esta abordagem pode ser mais conveniente e proporcionar uma maior confiança de que os dados são efetivamente anónimos.

O quadro utiliza três critérios para testar se os dados são anónimos: 1) nenhum isolamento de registo, 2) nenhuma ligação , e 3) nenhuma inferência. Se todos os três critérios forem cumpridos, os dados podem ser considerados anónimos com segurança. Se algum destes critérios não for satisfeito, deve ser feita uma análise mais aprofundada para determinar se os dados podem ser considerados anónimos.

As orientações serão objeto de consulta pública até 30 de outubro de 2026, dando às partes interessadas a oportunidade de apresentarem observações e de apresentarem observações.

Clarificar as implicações da recolha de dados na Web para o desenvolvimento da IA

A raspagem da Web é um processo automatizado de extração de dados em grande escala que, muitas vezes, funciona sem que as pessoas estejam cientes e que pode representar riscos significativos para a proteção dos seus dados pessoais. Nas suas orientações sobre a raspagem da Web no contexto da IA generativa*, o Comité clarifica vários aspetos da conformidade da raspagem da Web com o RGPD, incluindo a base jurídica para essas atividades e as condições em que categorias especiais de dados podem ser tratadas neste contexto.

O RGPD aplica-se à recolha na Web quando inclui operações de tratamento de dados pessoais, como a recolha, o armazenamento, a organização e a recuperação

Ao recorrer à raspagem na Web, é necessário prestar especial atenção ao princípio da limitação da finalidade e ao princípio da transparência. No entanto, dependendo da forma como o tratamento de dados é concebido com precisão, o responsável pelo tratamento pode não ter de informar pessoalmente as pessoas se tal se revelar impossível ou exigir um esforço excessivo.

O CEPD recomenda a recolha de dados apenas a partir de fontes fiáveis, o registo do carimbo temporal e a validação dos dados antes da sua utilização no treino de IA, a fim de assegurar a conformidade com o princípio da exatidão. As orientações também aconselham sobre as medidas que o responsável pelo tratamento deve aplicar para cumprir o princípio da minimização dos dados.

Com base no parecer do CEPD sobre modelos de IA, as orientações fornecem esclarecimentos e exemplos adicionais sobre a utilização da base jurídica do interesse legítimo no contexto específico da recolha de material na Web para o treino em IA.

Por último, o CEPD recorda que o tratamento de categorias especiais de dados pessoais é, em princípio, proibido. Se a recolha de dados na Web envolver esses dados, são necessários tanto um fundamento lícito nos termos do artigo 6.o do RGPD como uma exceção nos termos do artigo 9.o, n.o 2, do RGPD. O CEPD sugere que o acórdão do Tribunal no processo GC & Outros (C-136/17) pode ser pertinente para a recolha incidental ou residual de categorias especiais de dados pessoais, desde que o responsável pelo tratamento atue no âmbito das suas responsabilidades, poderes e capacidades e aplique medidas técnicas e organizativas adequadas para impedir a recolha e a divulgação desses dados. O Comité salienta que não existe uma isenção geral dos requisitos do artigo 9.o do RGPD e que cada caso deve ser apreciado individualmente para determinar se o raciocínio do Tribunal de Justiça é aplicável.

As orientações serão objeto de consulta pública até 30 de outubro de 2026, dando às partes interessadas a oportunidade de apresentarem observações e de apresentarem observações.

Orientações relativas às cadeias de blocos concluídas após consulta pública

Na sequência de uma consulta pública, o CEPD adotou a versão final das suas orientações sobre tecnologias de cadeia de blocos. As diretrizes ajudam as organizações que usam tecnologias blockchain a cumprir o GDPR. O CEPD explica como funcionam as cadeias de blocos, avaliando as diferentes arquiteturas possíveis e as suas implicações para o tratamento de dados pessoais.

Em consonância com o objetivo da Declaração de Helsínquia de reforçar o diálogo com as partes interessadas, o Conselho de Administração publicou igualmente um relatório sobre os resultados da consulta pública específica, bem como uma versão das orientações relativa ao acompanhamento das alterações.

Nota aos editores: 
A IA gerativa é uma tecnologia que visa criar novos conteúdos através de padrões de aprendizagem a partir de dados existentes. Utiliza modelos especializados de aprendizagem automática concebidos para produzir uma ampla e geral variedade de resultados, como texto, imagem ou áudio.

Esta é uma tradução automática e pode conter erros. Não substitui a versão oficial em inglês.

Relevant topics
Anonimização/pseudonimização
Inteligência artificial
Tecnologia
Responsabilidade
Princípios básicos

Latest news

  • EDPB News

EDPB and AMLA to develop Joint Guidelines on partnerships for information sharing

  • EDPB News

One-Stop-Shop case digest on right to object and right to erasure updated

  • EDPB News

Supporting GDPR consistency: EDPB launches dedicated form