L’ISO ha pubblicato nel mese di novembre 2022 il nuovo standard ISO/IEC 27559:2022 che ha richiesto quasi cinque anni di studi per poter essere pubblicato.
Il nuovo standard si rivolge a tutte le organizzazioni, pubbliche e private, fornendo loro degli strumenti per l’anonimizzazione dei dati personali.
Lo standard garantisce un processo sicuro e affidabile, con principi di carattere generale che devono valere in modo uniforme in tutto il mondo. Per tale ragione la scelta dei termini utilizzati è neutra, di modo che la ISO possa adattarsi alle diverse normative nazionali e sovranazionali.
Lo scopo del quadro formativo ISO/IEC 27559 è quello di identificare i vari rischi e mitigarli nel corso del ciclo di vita dei dati anonimizzati. Il processo di rimozione dell’associazione tra dati e persone attraverso una gamma di diverse possibili tecniche di anonimizzazione è un aspetto standard, così come la governance del processo e i dati risultanti per garantire che i rischi siano monitorati e affrontati quando necessario. L’anonimizzazione può avvenire anche se il trattamento è nella fase di raccolta dei dati, se è in quella di elaborazione o se è stato concluso.
L’ISO si riferisce al titolare del trattamento quale custode dei dati, mentre gli utenti a cui verranno trasmessi dopo essere stati anonimizzati sono definiti destinatari dei dati.
Il framework della normativa è suddiviso in quattro fasi che descrivono l’ambiente e le circostanze in cui i dati deidentificati sono messi a disposizione degli utenti, nonché le modalità di gestione del processo e della disponibilità dei dati stessi: valutazione del contesto; valutazione dei dati; valutazione e riduzione dell’identificabilità; governance della deidentificazione.
La ISO/IEC 27559 è, dunque, un potente strumento per chiunque abbia la necessità di anonimizzare i dati personali per comunicarli a terzi purché rispetti le disposizioni del GDPR.
(V.M)