certificazioni qsm

ISO/IEC 27599
Certificazioni volontarie di Prodotto/Processo/Servizio

ANONIMIZZAZIONE E DEIDENTIFICAZIONE DEI DATI

Che cos’è

Nel mese di novembre 2022, dopo cinque anni di studi, è stato pubblicato il nuovo standard ISO/IEC 27559:2022 basato sulla precedente normativa ISO/IEC 20889:2018 “Privacy enhancing data de-identification terminology and classification of techniques”, che ha come scopo quello di identificare, monitorare, controllare e gestire i rischi dei dati anonimizzati e mitigarli nel corso del ciclo di vita, attraverso un processo di rimozione dell’associazione tra dati e persone detta deidentificazione.

La deidentificazione può considerarsi l’insieme delle tecniche che trasformano i dati riferibili ad una determinata persona fisica (o a un gruppo di esse) in informazioni che, seppur analizzate nel loro insieme, non consentono più l’identificazione dell’interessato.

Lo standard internazionale ISO fornisce le migliori pratiche di settore, costruite e determinate grazie al coinvolgimento dei massimi esperti riconosciuti a livello mondiale.

La struttura della normativa è suddivisa in quattro fasi per la deidentificazione dei dati, nonché le modalità di gestione del processo e della disponibilità dei dati stessi:

  1. Valutazione del contesto: Valutazione di quali informazioni comunicate all’esterno dell’organizzazione possono essere manipolati in modo non corretto,
  2. Valutazione dei dati: Valutazione del modo in cui le informazioni possono rivelare o scoprire informazioni personali.
  3. Valutazione e riduzione dell’identificabilità: Determinazione dell’identificabilità delle persone, delle probabilità di un attacco del suo successo.
  4. Governance della deidentificazione: Gestione di procedure e processi documentati, per la gestione dei rischi, durante e dopo la messa a disposizione dei dati deidentificati.

I vantaggi

Applicare la ISO/IEC 27599 permette all’Organizzazione non solo di raggiungere l’obiettivo di rispettare la Norma in tutti i suoi punti, ma anche di ottenere i seguenti vantaggi:

  • Gestione efficace della Privacy: con la deidentificazione dei dati si possono gestire in modo efficace le Informazioni di Identificazione Personale (PII) in modo da non compromettere la privacy di un individuo o di un gruppo di individui,
  • Anonimizzazione dei dati: È un potente strumento per anonimizzare i dati personali per comunicarli a terzi o per riutilizzarli per altre finalità, purché, ovviamente, rispetti preliminarmente le disposizioni del GDPR, dato che una norma frutto del lavoro di un organismo internazionale avente natura privata non può certo prevalere sulle disposizioni legislative vigenti
  • Piena osservanza e rispetto delle leggi, norme e regolamenti vigenti attraverso un’attenta analisi della normativa cogente nazionale ed europea.

Certificazione

Non esiste la certificazione di parte terza rilasciata da un Organismo di certificazione indipendente accreditato che ne garantisca la conformità ai requisiti della norma; trattasi di norma di buona prassi e l’adeguamento si esplica attraverso l’applicazione della stessa.


A Chi si rivolge

Il nuovo standard si rivolge a tutte le organizzazioni, pubbliche e private, fornendo loro degli strumenti e delle procedure per l’anonimizzazione dei dati personali.