I dati personali per non esser più consisti tali, devono aver subito una anonimizzazione irreversibile, se invece, pur sottoposti a deidentificazione, cifratura o pseudonimizzazione, possono essere utilizzati per reindividuare una persona, mantengono la natura di dati personali e dunque sono soggetti al GDPR.