Caso de éxito: el camino de JM hacia una solución conforme al RGPD

Los retos de la protección de datos personales sensibles

En 2015, JM se enfrentaba al reto de proteger la integridad de los datos personales y evitar las sanciones del Reglamento General de Protección de Datos (RGPD), en los siguientes ámbitos:

Información y transacciones de los clientes
Servicio de atención al cliente
Información de los empleados
Relaciones y transacciones con proveedores
Marketing y comunicación

El equipo de JM decidió realizar algunos cambios positivos para cumplir el GDPR, en particular

centrarse en los propietarios de las empresas en lugar de en los sistemas informáticos
financiar mejoras en la seguridad de la información
proporcionar herramientas informáticas útiles
hacer del proyecto de mejora una prioridad para todos.

Soluciones para gestionar y redactar datos personales

JM seleccionó Object Sync™ y Data Secure™, parte de la suite Data Sync Manager™ (DSM), para copiar y codificar subconjuntos de datos con fines de prueba y formación. Al reducir su huella de datos en entornos que no son de producción, pueden eliminar los datos personales de sus entornos de prueba. Además, para el cumplimiento del GDPR es importante mostrar la protección de datos por diseño y por defecto. Mediante el uso de DSM para actualizar los datos en el sistema de no producción, JM puede demostrar este principio.

JM ahora también utiliza Data Disclose™, Data Redact™ y Data Retain™, parte de la suite Data Privacy. Data Disclose se utiliza para las solicitudes de acceso del sujeto (para cumplir con el artículo 15 del GDPR). El equipo de JM es capaz de buscar en sus sistemas SAP y proporcionar un documento PDF de marca que detalla los datos de la persona almacenados en sus sistemas. Data Redact, que se utiliza para suprimir los datos que identifican a una persona (de conformidad con el artículo 17 del RGPD y el derecho de supresión), permite a JM responder a cualquier solicitud de supresión. También permite a JM redactar cualquier dato personal en sus sistemas SAP que quede fuera de sus políticas de retención de datos, de forma regular y proactiva.

JM se asoció con EPI-USE Labs para ser un cliente de ampliación de Data Retain, que proporciona una interfaz de usuario visual para configurar y ejecutar reglas de retención, así como envíos a Data Redact para las claves que deben redactarse.

EPI-USE Labs también pudo ayudar con la limpieza masiva inicial de varios conjuntos de datos, incluidos clientes, proveedores, empleados y documentos contables, utilizando sus funciones de optimización del entorno del sistema.

Cumplimiento continuo del RGPD

JM ha podido utilizar las soluciones de EPI-USE Labs para respaldar sus procesos empresariales y cumplir con las exigencias del GDPR en áreas en las que los datos estaban en riesgo, y en un breve plazo de tiempo:

Un enfoque proactivo elimina los datos sensibles automáticamente, tan pronto como están fuera de su período de retención.
Los sistemas de prueba ya no contienen datos sensibles, lo que reduce el riesgo de infracciones por parte de usuarios internos o socios que acceden a entornos que no son de producción.

El siguiente paso de JM en su camino hacia el GDPR es implantar rutinas de seguridad de la información en las operaciones. En colaboración con EPI-USE Labs, tienen previsto establecer programas de retención en sus sistemas SAP.

Con el enfoque de EPI-USE Labs, podemos anonimizar y redactar datos sensibles en lugar de archivarlos, lo que significa que las transacciones comerciales pueden permanecer en el sistema sin estar relacionadas con una persona identificable. Ahora, al iniciar los proyectos, disponemos de marcos para realizar análisis de sensibilidad y riesgo de la información, y de ahí se derivan los requisitos del lado informático, incluida la sensibilidad de los datos: la perspectiva completa de la seguridad de la información.

Richard Wenell, Jefe del departamento de informática, JM