Antes de concluir que um conjunto de dados está efetivamente anonimizado, é essencial avaliar cuidadosamente os seguintes aspetos:
• Risco de reidentificação: Toda anonimização acarreta um risco inerente de reidentificação, ou seja, a possibilidade de que o detentor dos dados ou um terceiro consiga revertê-la, associando novamente os dados a pessoas identificadas ou identificáveis, através de técnicas de correspondência ou cruzamento com outros conjuntos de dados. A anonimização só pode ser considerada efetiva quando o risco de reidentificação for negligenciável, tendo em conta todos os meios que possam razoavelmente ser utilizados para identificar alguém, à luz do estado da arte, dos custos, do tempo e dos recursos necessários. Apenas dados efetivamente anonimizados podem ser considerados não pessoais.
• A eliminação de identificadores diretos não é suficiente: A remoção ou codificação de identificadores diretos, como o nome, o NIF, números de identificação ou outros atributos que identificam diretamente pessoas, não garante por si só a anonimização.
• Identificadores indiretos exigem especial cautela: Mesmo sem identificadores diretos, a eliminação, codificação ou generalização de identificadores indiretos, como idade, localização, código postal ou género, pode não ser suficiente, pois a reidentificação pode ser possível com técnicas de inferência ou combinando os dados com outras fontes, públicas ou acessíveis.
• Ausência de prescrição legal quanto às técnicas utilizadas: Não existem métodos legalmente obrigatórios. A escolha da técnica de anonimização deve atender à sua robustez, ao contexto dos dados, ao valor da informação e aos riscos envolvidos.
• Avaliação contínua do risco de reidentificação: A eficácia da anonimização deve ser periodicamente reavaliada, tendo em conta o uso futuro dos dados e a evolução das capacidades tecnológicas. Em caso de dúvida, os dados devem ser tratados como pessoais.
• Descarte dos dados brutos: A anonimização só se considera efetiva após a desvinculação definitiva dos dados originais, o que geralmente só se torna efetivo após a eliminação dos dados originais. Se o investigador – ou qualquer pessoa, dentro ou fora da instituição – mantiver acesso aos dados brutos a partir dos quais se realiza a anonimização, os dados resultantes desse processo continuam a ser considerados pessoais, uma vez que subsiste uma possibilidade razoável de reidentificação.
• Inexistência de conjuntos de dados que permitam reverter a anonimização: Enquanto existirem outros conjuntos de dados — públicos, na própria instituição ou acessíveis via terceiros — que permitam identificar indivíduos no conjunto de dados supostamente anonimizado, então a anonimização não pode ser considerada efetiva.
• Necessidade de consentimento ou autorização para divulgação pública: Mesmo que os dados sejam anonimizados de forma robusta, a sua divulgação pública (por exemplo, em repositórios abertos, publicações ou bases de dados acessíveis) deve ter sido prevista no consentimento inicial dos participantes, antes da anonimização. A anonimização é uma operação de tratamento de dados pessoais e, por conseguinte, não elimina, por si só, as obrigações éticas e legais associadas à divulgação posterior dos dados.