La norma fornisce linee guida per lo sviluppo e l’implementazione di politiche e procedure per la cancellazione dei dati personali (PII) all’interno delle organizzazioni, specificando:
— una terminologia armonizzata relativa alla cancellazione dei PII;
— un approccio per la definizione efficiente delle regole di cancellazione;
— una descrizione della documentazione richiesta; e
— una definizione generale di ruoli, responsabilità e processi.
La norma è destinata a essere utilizzata dalle organizzazioni che memorizzano o trattano dati personali (PII).
La norma non affronta:
— disposizioni legali specifiche, stabilite dalla legislazione nazionale o previste nei contratti;
— regole di cancellazione specifiche per particolari categorie di PII, che devono essere definite dai titolari del trattamento dei dati personali;
— i meccanismi di cancellazione;
— la affidabilità, sicurezza e idoneità dei meccanismi di cancellazione;
— le tecniche specifiche di de-identificazione dei dati.