Es 2026 y el panorama global de la privacidad de los datos ha dejado atrás el enfoque de "marcar una casilla" en materia de cumplimiento para convertirse en una función empresarial imprescindible. En este contexto, las políticas de privacidad de datos centradas únicamente en los sistemas productivos representan un riesgo. Por ello, la pregunta que hoy se hacen los directores de seguridad de la información (CISO) ya no es solo "¿Estamos protegidos?", sino: "¿Nuestros datos de prueba cumplen con la normativa?"
RESUMEN: La privacidad de los datos en SAP ha dejado de ser un simple requisito de cumplimiento. Contar con sistemas productivos seguros no garantiza el cumplimiento normativo si los entornos no productivos contienen información de identificación personal (PII) sin enmascarar. Con frecuencia, el riesgo se encuentra oculto en los sistemas de prueba, las tablas Z personalizadas y las soluciones de IA basadas en datos reales, lo que puede dar lugar a fallos en los controles internos, problemas de soberanía de los datos e incumplimientos contractuales. Recomendamos tres medidas fundamentales: dejar de realizar pruebas con datos reales, automatizar la identificación de PII y establecer una gobernanza para el uso de datos enmascarados como base de las soluciones de IA.
Es 2026 y el panorama global de la privacidad de los datos ha dejado atrás el enfoque de "marcar una casilla" en materia de cumplimiento para convertirse en una función empresarial imprescindible. En este contexto, las políticas de privacidad de datos centradas únicamente en los sistemas productivos representan un riesgo. Por ello, la pregunta que hoy se hacen los directores de seguridad de la información (CISO) ya no es solo "¿Estamos protegidos?", sino: "¿Nuestros datos de prueba cumplen con la normativa?"
La mayoría de las organizaciones han conseguido que sus entornos productivos cumplan con la normativa, pero los sistemas no productivos suelen seguir presentando brechas. Para los CISO, el riesgo ya no proviene únicamente de las amenazas externas, sino también de posibles incumplimientos normativos dentro de los entornos de prueba. Proteger los datos sigue siendo fundamental, pero garantizar su uso adecuado y el cumplimiento de la normativa es ahora igual de importante.
En un reciente panel de expertos, conversé con nuestros especialistas en privacidad de datos, Johann Haefele, Danie Loots y Rohin Ramjee, sobre por qué las organizaciones que utilizan SAP podrían estar operando con una falsa sensación de seguridad. Aunque sus sistemas productivos puedan estar altamente protegidos, sus sistemas de prueba pueden poner en riesgo su estrategia de cumplimiento normativo.
Uno de los mitos más extendidos con los que nos encontramos es pensar que un sistema productivo de SAP seguro equivale a un cumplimiento normativo total. Si su entorno productivo cuenta con una estricta segregación de funciones, autenticación multifactor y mecanismos de prevención del fraude, es fácil asumir que está completamente protegido.
Pero no es así. Este planteamiento pasa por alto que el cumplimiento normativo debe abarcar todo el entorno SAP. La mayoría de las organizaciones actualizan sus entornos no productivos directamente a partir de Producción para garantizar la precisión de las pruebas, creando así una especie de «entorno productivo paralelo». Estos sistemas contienen nombres reales de clientes, datos bancarios e información de empleados, pero normalmente cuentan con controles de acceso mucho menos estrictos.
“La legislación no distingue entre un entorno de desarrollo, de control de calidad (QA) o de producción”, explica Johann Haefele. “Lo que importa es el dato en sí. Si un sistema de prueba contiene información que permite identificar a una persona, usted es plenamente responsable de protegerla. Y si esos datos no están anonimizados, debe preguntarse si es legal que estén allí.”
Según Johann, alrededor del 90 % de los incidentes relacionados con la privacidad de los datos registrados durante la primera mitad de este año se debieron a fallos en los controles internos, y no a amenazas externas. Estas brechas internas suelen producirse porque los desarrolladores o los equipos externos reciben amplios permisos de acceso a tablas en los sistemas no productivos para resolver incidencias. Cuando estos equipos consultan registros reales en un entorno de prueba, se está produciendo una exposición no autorizada de datos.
Incluso para las organizaciones que son conscientes de este riesgo, localizar los datos es ya un desafío importante. La mayor fortaleza de SAP, su capacidad prácticamente ilimitada de personalización, también puede convertirse en una debilidad desde el punto de vista de la privacidad. A lo largo de los últimos 20 años, es probable que sus desarrolladores hayan creado tablas Z personalizadas o ampliado campos estándar para resolver necesidades específicas del negocio. Con frecuencia, estos desarrollos almacenan información de identificación personal (PII) altamente sensible que las herramientas de análisis de cumplimiento convencionales no detectan.
Esta deuda técnica se está viendo agravada por la llegada de la inteligencia artificial generativa. A medida que las organizaciones integran modelos de lenguaje de gran tamaño (LLM) y asistentes conversacionales en sus entornos SAP mediante SAP BTP y AI Core, pueden estar creando, sin darse cuenta, nuevos riesgos relacionados con la exposición de datos sensibles. Por ejemplo:
Si su IA se entrena o fundamenta sus respuestas en datos de prueba que no han sido anonimizados o enmascarados, podría estar automatizando una vulneración de la privacidad de los datos.
Sus datos no existen de forma aislada. Hoy en día, SAP suele formar parte de un ecosistema empresarial más amplio que incluye plataformas como Salesforce y Workday. Esto genera un problema de integridad referencial, ya que la legalidad de sus datos de prueba se pone a prueba cada vez que estos traspasan los límites entre sistemas.
Para transformar su entorno SAP en un landscape que cumpla con los requisitos de privacidad, debe implementar las siguientes buenas prácticas:
Volviendo a la pregunta clave: ¿Sus datos de prueba cumplen con la normativa? Si todavía utiliza copias de datos productivos para formación y pruebas de QA, se está exponiendo a mucho más que una posible multa; también está poniendo en riesgo sus contratos, su reputación y la integridad de su organización.
¿Quiere descubrir dónde se esconden los riesgos relacionados con su PII? Vea el panel de expertos completo para conocer cómo nuestros especialistas desmontaron los tres principales mitos sobre la privacidad de datos en SAP y descubrir las medidas prácticas que debe implementar para proteger su entorno SAP en 2026.