Guia prático · RGPD
Coimas por não anonimizar documentos: 4 casos reais da AEPD
Publicar um documento sem o anonimizar corretamente pode implicar a retirada imediata da informação, a abertura de um procedimento perante a Agência Espanhola de Proteção de Dados (AEPD), a imposição de medidas corretivas e, em certos casos, uma coima económica.
O risco não surge apenas ao carregar ficheiros num website. Também pode ocorrer ao afixar documentação num quadro de avisos, enviar um anexo por email, responder a um pedido de acesso à informação ou reutilizar uma sentença sem rever todos os seus identificadores.
Os casos seguintes são reais e permitem perceber porque a anonimização deve fazer parte do processo habitual de publicação e comunicação de documentos.
Todas as sanções por não anonimizar terminam numa coima?
Não. As consequências dependem do tipo de entidade, da natureza dos dados, do número de pessoas afetadas, do alcance da divulgação e das medidas adotadas após o incidente.
Uma empresa privada pode receber uma coima económica. No caso das Administrações públicas abrangidas pelo artigo 77.º da Lei Orgânica 3/2018 espanhola, a autoridade de proteção de dados declara a infração e pode impor medidas para cessar a conduta ou corrigir os seus efeitos. A decisão pode ser tornada pública e gerar obrigações internas, organizativas e disciplinares.
Caso 1: coima de 15.000 euros por publicar dados de trabalhadores
A empresa Dimagaza afixou num quadro de avisos a ata final de um processo de despedimento coletivo e o respetivo anexo. A documentação continha nomes e apelidos, número de identificação, datas de nascimento, números da Segurança Social, cargos, antiguidade e locais de trabalho.
A AEPD considerou que não tinham sido aplicadas medidas técnicas e organizativas adequadas para proteger a confidencialidade da informação. A decisão aplicou uma coima de 15.000 euros por violação do artigo 32.º do RGPD. O relatório anual da Agência identifica 43 trabalhadores afetados.
Fonte oficial: Decisão PS/00447/2023 da AEPD.
Fonte oficial: Relatório da AEPD 2024.
Caso 2: um município publicou as dívidas fiscais de um cidadão
O Município de Los Alcázares publicou em aberto uma ata de reunião que incluía o nome e apelidos de um cidadão, o seu pedido de pagamento faseado de impostos e os montantes em dívida.
A AEPD concluiu que esses dados eram excessivos para a finalidade de informar sobre a atividade municipal. O Município teve de retirar a ata integral, publicar um extrato e estabelecer como critério geral a anonimização dos dados pessoais incluídos em atas, deliberações e decisões.
Fonte oficial: Processo E/01062/2016 da AEPD.
Caso 3: uma sentença publicada com o número de identificação visível
Uma revista jurídica digital publicou uma sentença na Internet sem anonimizar o número de identificação de uma das pessoas mencionadas. O identificador podia ser encontrado através de uma pesquisa no Google.
A AEPD verificou uma infração da normativa então em vigor e emitiu uma advertência à empresa. A entidade tinha substituído o dado, pedido a sua remoção dos motores de busca e adotado medidas corretivas, mas essas ações posteriores não eliminaram o incumprimento já verificado.
Fonte oficial: Decisão A/00040/2011 da AEPD.
Caso 4: dados de saúde enviados por email sem anonimizar
Um delegado da Unión Sindical Obrera da Comunidade Valenciana enviou por email documentação utilizada na Comissão de Segurança e Saúde no Trabalho do Governo Provincial de Castellón. O ficheiro continha dados pessoais de trabalhadores e informação relacionada com exames e protocolos de saúde, sem anonimização.
A AEPD considerou que a divulgação afetava categorias especiais de dados e emitiu uma advertência ao sindicato por violação do artigo 9.º do RGPD.
Fonte oficial: Decisão PA/00041/2025 da AEPD.
O que ensinam estes quatro casos
Os documentos respondiam a finalidades legítimas: informar sobre um procedimento laboral, publicar a atividade de uma reunião municipal, divulgar uma decisão jurídica ou comunicar documentação a trabalhadores. O problema foi utilizar uma versão que continha mais dados pessoais do que os necessários ou que foi disponibilizada a destinatários não autorizados.
- A versão integral de um processo não deve tornar-se automaticamente a versão pública.
- Anexos, tabelas e ficheiros anexos exigem a mesma revisão que o documento principal.
- Eliminar apenas o nome pode ser insuficiente se os restantes dados permitirem identificar a pessoa.
- A retirada posterior reduz o impacto, mas não elimina necessariamente a infração.
- A organização deve poder demonstrar quem reviu o documento e qual a versão finalmente publicada.
Como reduzir o risco antes de publicar
- Definir a finalidade da publicação e os seus destinatários.
- Detetar identificadores diretos e indiretos em todo o ficheiro.
- Gerar uma cópia específica para publicação ou entrega.
- Rever o resultado final, incluindo anexos, assinaturas, códigos QR e metadados visíveis.
- Registar a validação e conservar rastreabilidade do processo.
Perguntas frequentes
Qual é a coima por publicar um documento sem anonimizar?
Depende do caso. As coimas do RGPD podem atingir valores muito elevados, mas na prática dependem do tipo de dados, do número de afetados e das medidas adotadas pela organização. Em Administrações públicas não há coima económica, mas há declaração de infração e medidas corretivas.
Só é preciso anonimizar documentos publicados na Internet?
Não. Também deve rever-se a documentação enviada por email, exposta em quadros de avisos, partilhada com terceiros ou entregue em resposta a pedidos de acesso.
Como o anonimIA ajuda
O anonimIA deteta e oculta dados pessoais em documentos antes da sua publicação ou entrega, com rastreabilidade completa do processo. Peça uma demonstração e veja como integrar a anonimização no fluxo habitual da sua organização.
Anonimiza documentos todos os dias?
Deixe de riscar à mão. Automatize com anonimIA.
Carregue os seus PDFs e obtenha documentos anonimizados em conformidade com o RGPD em segundos.
Experimentar grátis