• A pseudonimização é uma medida de proteção, mas não é uma solução definitiva para garantir a impossibilidade de identificação dos titulares de dados. Em regra, dados pseudonimizados continuam a ser considerados dados pessoais.
• As informações suplementares que permitem a identificação dos titulares devem ser conservadas separadamente dos dados pseudonimizados, com medidas de segurança que previnam o acesso não autorizado.
• Tal como na anonimização, não existem métodos legalmente obrigatórios. A escolha da técnica de pseudonimização deve considerar a sua praticabilidade, robustez, o valor da informação e os riscos envolvidos.
• No âmbito de uma dada instituição, mesmo que um investigador não tenha acesso às informações suplementares (por exemplo, estando acessíveis apenas por um grupo restrito dentro dessa instituição), os dados continuam a ser considerados pessoais e devem ser tratados como tal.
• Mesmo que se eliminem as informações suplementares, isso não transforma automaticamente os dados pseudonimizados em dados anonimizados. Para que os dados sejam considerados anonimizados, é necessário garantir que não é possível, por nenhum meio razoável, reidentificar os titulares.