Dados pessoais são qualquer informação relativa a uma pessoa singular identificada ou identificável, directa ou indirectamente, a partir da informação em causa.
Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados mas que possam ser utilizados para reidentificar uma pessoa continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do Regulamento Geral sobre a Protecção de Dados.
Dados pessoais que tenham sido anonimizados de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.