Servizi GDPR e conformità in materia di privacy

Proponiamo soluzioni per aiutarvi ad affrontare l’obbligo di conformità

    Visualizza il recente webinar    Guarda il video

Servizi GDPR

Il GDPR (General Data Protection Regulation - Regolamento generale sulla protezione dei dati) determina conseguenze ad ampio raggio per aziende di ogni parte del mondo. Dal 25 maggio 2018, tutte le organizzazioni che raccolgono, archiviano e trattano in tutto il mondo dati personali dei cittadini dell'Unione europea (UE) devono essere pronte a comunicare i dati in loro possesso sulle persone, nonché le finalità per le quali essi vengono archiviati e utilizzati.

Per detenere e gestire i dati, a prescindere che siano detenuti nell’UE o meno, ogni organizzazione deve ottenere il consenso informato dalla persona interessata, oltre a dimostrare la propria conformità ai principi guida del regolamento, inclusa la centralità della protezione dei dati nella progettazione del sistema. La conformità non ammetterà concessioni e le organizzazioni che presentano violazioni della sicurezza dei dati rischieranno pesanti sanzioni, che potrebbero giungere addirittura a 20 milioni di euro (21 milioni di dollari, al cambio attuale) o al 4% del loro fatturato annuo, con prevalenza attribuita alla cifra maggiore.

  Contattateci per un analisi di sistema

 


Watch GDPR Compliance Video

 


Come EPI-USE Labs può aiutarvi

Anche se il quadro può sembrare scoraggiante, per aiutarvi ad affrontare l’obbligo di conformità del GDPR, EPI-USE Labs propone le seguenti soluzioni:

  • Data Secure™ e una GDPR Compliance Suite for SAP  
  • Orientamento e migliore pratica:
    • Conoscenza e indicazioni sull’ubicazione dei dati archiviati in SAP®
    • Comprendere i tipi di dati interessati, accanto alle scelte e ai processi per rispettare i requisiti
    • Servizi di eliminazione di dati in massa
    • Workshop sulla consapevolezza GDPR

La molteplicità e la varietà di sistemi IT implicano l’impossibilità di un approccio “taglia unica”. Pertanto, permetteteci di farvi conoscere la nostra competenza ed esperienza per aiutarvi ad anticipare i tempi. EPI-USE Labs ha dedicato oltre trent’anni nell’ambito dei dati SAP, creando e sviluppando soluzioni software avanzate e può anche fornire un orientamento e condividere competenze sul GDPR.

  I webinar on-demand   GDPR Compliance Suite

Servizi di eliminazione di dati in massa

Per la maggior parte delle organizzazioni, la policy sulla conservazione dei dati è stata considerata come un periodo minimo di conservazione da parte dei team tecnici, non come il momento in cui si devono distruggere proattivamente i dati. Con l’entrata in vigore del GDPR, tale situazione è mutata e tutte le organizzazioni sono in possesso di alcuni dati storici senza basi giuridiche per detenerli, siano essi i dettagli familiari di ex dipendenti o numeri di conti bancari di ex clienti, oppure qualche altro tipo di dati personali intrecciati nel tessuto dei loro sistemi SAP.

EPI-USE Labs ha un approccio semplice per eliminare questi vecchi dati, senza dover ricorrere a complessi progetti di archiviazione. La tecnologia utilizzata a supporto del prodotto Data Redact per revisionare o rimuovere specifiche informazioni relative a un determinato soggetto interessato può essere sfruttata da un consulente del System Landscape Optimisation (SLO) di EPI-USE, con una specifica modalità di licenza, per consentire selezioni di record in massa e la parallela elaborazione. Il consulente fornirà assistenza con le definizioni esatte dei dati da rimuovere nella bonifica iniziale e la modalità di selezione di tali record.

  Riproduci di nuovo Visualizza webinar


Artboard 2-27

Artboard 225 copy 2

Dati dei dipendenti

Nella maggior parte dei casi, i dati storici sui dipendenti sono necessari, ma cosa accade se la relativa parte dell’azienda viene ceduta? A dieci anni di distanza possiamo comunque conservare quei dipendenti nel sistema? Anche se volessimo conservare la parte essenziale del record sul dipendente, che fare delle parti più personali dei dati? Un’iniziale bonifica in massa potrebbe assumere la forma di una policy diretta a eliminare una piccola quantità di dati di natura estremamente personale, ad esempio le informazioni sulla famiglia o i numeri dei conti bancari, da applicare a chiunque abbia lasciato l'azienda da più di un anno; si potrebbe poi aggiungere una seconda policy per chi abbia lasciato l’organizzazione da almeno sette anni, che preveda l’eliminazione di molti più dati, ad esempio i dati sulle assenze per malattia, le valutazioni di risultato e i dati di retribuzione.

Dati dei rapporti tra impresa e consumatore

In questo ambito, è più complicato definire le basi giuridiche per la conservazione dei dati. Potrebbero essere presenti migliaia di clienti, partner commerciali e indirizzi che non hanno rapporti con l’organizzazione da oltre cinque anni. Invece di archiviare tutte le relative transazioni e quindi l’anagrafica, possiamo fornire una bonifica in bassa diretta a eliminare gli elementi identificativi dall’anagrafica e gli eventuali riferimenti a transazioni, che implicherà l’invisibilità della persona nel sistema. In alternativa, potrebbe essere opportuno eliminare in tempi più brevi dai record di ex consumatori i dati di carte di credito e probabili risposte a domande di sicurezza.

Contattateci per una prima conversazione circa le vostre esigenze e le modalità con cui possiamo adattare su misura i nostri servizi di bonifica in massa, per aiutarvi nella conformità GDPR.

  Contattateci riguardo all’eliminazione in massa
Artboard 225 copy 3
[fa icon="plus-square"] Tackling GDPR in detail: the importance of privacy, transparency and technology

Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

.

Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Tackling GDPR in detail

The importance of privacy, transparency and technology

 

Precise selection to avoid downtime
Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Precise selection to avoid downtime
Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

Precise selection to avoid downtime
Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Precise selection to avoid downtime
How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Precise selection to avoid downtime
Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Precise selection to avoid downtime
Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Precise selection to avoid downtime
Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

Chi abbiamo aiutato

Le sfide precedenti all’implementazione di Data Sync Manager riguardavano l'affidabilità e la qualità dei nostri dati di test - non erano stati effettuati aggiornamenti per molti anni ed erano state eseguite manipolazioni manuali per l'adeguamento a certi scenari.


Guarda come DSM ha aiutato Innogy

Ian Naylor, Innogy Business Systems

DSM di EPI-USE Labs si è affermato a pieni voti ed è stato un chiaro leader. Un elemento di differenziazione chiave è stato il team di EPI-USE Lab con il quale abbiamo collaborato localmente che ha risposto in tempo reale a qualsiasi richiesta abbiamo avanzato.


Shaun Code, Responsabile delle Operations Enterprise IT di AGL