SAP systems hold extensive sensitive PII. In this blog, EPI-USE Labs' data privacy expert James Watson responds to frequently asked questions about SAP data. He explains that although risks vary by industry and business models, including B2C and B2B, in general HR or HCM data is the most vulnerable across all industries. It depends on your business, how you operate and integrate with the market, where you come into contact with an individual person, and where you're storing that information. Data privacy compliance means that visibility of all PII is essential for all businesses.
RESUMEN: Los sistemas SAP contienen una gran cantidad de información personal identificable (PII) sensible. En este blog, James Watson, experto en privacidad de datos de EPI-USE Labs, responde a las preguntas más frecuentes sobre los datos de SAP. Explica que, aunque los riesgos varían según el sector y los modelos de negocio, incluidos el B2C y el B2B, en general los datos de RR. HH. o de gestión del capital humano (HCM) son los más vulnerables en todos los sectores. Depende de su negocio, de cómo opera y se integra en el mercado, de dónde entra en contacto con una persona concreta y de dónde almacena esa información. El cumplimiento de la normativa de privacidad de datos implica que la visibilidad de toda la información de identificación personal (PII) es esencial para todas las empresas.
Hablamos con James Watson para conocer su opinión sobre qué datos de SAP considera más vulnerables y en qué se diferencian según el sector, incluyendo empresas B2B y B2C, así como proveedores de grandes minoristas; y el impacto real del RGPD.
Con más de 20 años de experiencia funcional y empresarial, James es responsable de la línea de negocio global de privacidad de datos y soluciones SAP IS-* de EPI-USE Labs, prestando apoyo a todas las regiones y cuentas clave que utilizan Data Sync Manager (DSM) para satisfacer estos complejos requisitos. Su trayectoria incluye especializaciones en SAP en gestión y anonimización de datos no productivos, eliminación o censura de datos productivos, optimización del entorno de sistemas (SLO) y soluciones sectoriales de SAP.
«Esto depende en gran medida del sector en el que te muevas. No hay una respuesta única que sirva para todos los casos; depende totalmente de tu empresa, de cómo operas y te integras en el mercado, y de en qué momentos entras en contacto con una persona concreta. Y de dónde almacenas esa información.
En general, sin embargo, la respuesta común a todos los sectores es RR. HH. Probablemente, tus datos de gestión del capital humano (HCM) sean el lugar donde guardas la información más detallada sobre una persona, e incluso sobre otras personas, como familiares o datos de contacto de emergencia. Tienes una obligación legal y un caso de uso que justifica por qué conservas esa información, especialmente en tus entornos de producción.
Porque sin suficiente historial, sin suficiente comprensión, no se puede gestionar la nómina. Es así de sencillo. Y ninguna empresa quiere quedarse sin nómina, porque no puede prescindir de su personal. Te lo garantizo. Nadie va a trabajar gratis. Por eso, los datos de HCM son siempre una prioridad.
Pero luego, para cada sector concreto, te encontrarás con retos muy específicos».
«Si te dedicas al sector minorista y cuentas con un programa de tarjetas de ventajas para el consumidor o un programa de fidelización, es posible que guardes datos reales e individuales de millones de clientes en tu plataforma SAP.
Así que, en lugar de unos pocos miles de empleados o incluso decenas de miles, dependiendo del tamaño de tu empresa, es posible que tengas decenas de millones de datos individuales, con lo que tus datos de clientes —o datos de socios comerciales, en la terminología de SAP— serán mucho más numerosos».
Del mismo modo, en los sectores de servicios públicos de gas, agua y electricidad ocurre lo mismo. En cualquier empresa B2C, todos tus clientes serán personas reales y, por lo tanto, estarán sujetos a las leyes de privacidad.
«Un ámbito interesante es el de los proveedores de las grandes cadenas minoristas. Por ejemplo, las empresas que venden a través de Amazon. Recientemente hemos estado trabajando con un cliente de Estados Unidos precisamente en este problema; Amazon les ha impuesto un periodo de retención de treinta días para cualquier entrega realizada a un cliente de Amazon.
Pero en su sistema SAP, en realidad no están configurados como clientes en los datos maestros. Son simplemente un proceso de venta puntual al que se le asocian esos datos personales. Así que, en su caso, no había ningún dato maestro con información de identificación personal (PII), pero todas sus transacciones se entregaban en realidad a personas reales a través de una relación con Amazon. Por lo tanto, tenían un tipo de ubicación de almacenamiento muy diferente donde se encontraban estos datos personales».
«En lo que respecta a sus datos principales, siempre se trata de hasta qué punto se puede identificar a una persona. Hay muchas empresas que han decidido que pueden gestionar los datos de sus clientes porque se trata de una empresa B2B (de empresa a empresa), por lo que no tienen que preocuparse demasiado por sus clientes. Sin embargo, incluso en ese caso, ¿qué pasa con las personas de contacto asociadas? Es posible que el cliente empresarial no sea una persona física; pero en cuanto a las personas de contacto con las que tratas, sigues teniendo correos electrónicos, números de contacto y nombres asociados a ellas, y debes asegurarte de dar prioridad a eso.
Así que, incluso en la empresa B2B más remota, con solo unos pocos cientos de empleados, puedes seguir enfrentándote a retos muy importantes en materia de privacidad de datos, dependiendo de esa relación».
«Con la entrada en vigor de las leyes de privacidad a nivel mundial, es importante que la gente comprenda que, si operan en Europa, ya deben cumplir con el RGPD, ya que este se aplica a los ciudadanos europeos, no a la base de datos donde se almacenan los datos.
Hemos tenido algunos ejemplos extremos de esto, como la multa de 1300 millones de dólares impuesta a Meta por Irlanda. Este tipo de multas ya se han impuesto más allá de las fronteras nacionales en relación con los datos de los ciudadanos europeos. Así que, aunque las nuevas leyes de privacidad se centran en las personas, siempre ha habido un problema a la hora de mantener esto en el ámbito B2C. Y, obviamente, las organizaciones más grandes también tienen ese problema desde el punto de vista de los recursos humanos».
«Yo diría que el primer paso es comprender exactamente dónde se encuentran tus datos de identificación personal (PII), para que sepas a qué te enfrentas. Tu sistema SAP contiene una gran cantidad de datos confidenciales sobre tus clientes, proveedores y empleados, por lo que es fundamental tener en cuenta el modelo de datos de SAP. Además, muchos usuarios empresariales de SAP con amplia experiencia han desarrollado funciones personalizadas, incluidas tablas personalizadas que almacenan datos y facilitan su procesamiento, lo que amplía el alcance de los datos confidenciales.
En EPI-USE Labs, ofrecemos un servicio de evaluación de la privacidad de datos de SAP que puede ayudarle a comprender e identificar su información de identificación personal (PII) y a evaluar los riesgos de acceso»