Proponiamo soluzioni per aiutarvi ad affrontare l’obbligo di conformità
Il GDPR (General Data Protection Regulation - Regolamento generale sulla protezione dei dati) determina conseguenze ad ampio raggio per aziende di ogni parte del mondo. Dal 25 maggio 2018, tutte le organizzazioni che raccolgono, archiviano e trattano in tutto il mondo dati personali dei cittadini dell'Unione europea (UE) devono essere pronte a comunicare i dati in loro possesso sulle persone, nonché le finalità per le quali essi vengono archiviati e utilizzati.
Per detenere e gestire i dati, a prescindere che siano detenuti nell’UE o meno, ogni organizzazione deve ottenere il consenso informato dalla persona interessata, oltre a dimostrare la propria conformità ai principi guida del regolamento, inclusa la centralità della protezione dei dati nella progettazione del sistema. La conformità non ammetterà concessioni e le organizzazioni che presentano violazioni della sicurezza dei dati rischieranno pesanti sanzioni, che potrebbero giungere addirittura a 20 milioni di euro (21 milioni di dollari, al cambio attuale) o al 4% del loro fatturato annuo, con prevalenza attribuita alla cifra maggiore.
Anche se il quadro può sembrare scoraggiante, per aiutarvi ad affrontare l’obbligo di conformità del GDPR, EPI-USE Labs propone le seguenti soluzioni:
La molteplicità e la varietà di sistemi IT implicano l’impossibilità di un approccio “taglia unica”. Pertanto, permetteteci di farvi conoscere la nostra competenza ed esperienza per aiutarvi ad anticipare i tempi. EPI-USE Labs ha dedicato oltre trent’anni nell’ambito dei dati SAP, creando e sviluppando soluzioni software avanzate e può anche fornire un orientamento e condividere competenze sul GDPR.
Per la maggior parte delle organizzazioni, la policy sulla conservazione dei dati è stata considerata come un periodo minimo di conservazione da parte dei team tecnici, non come il momento in cui si devono distruggere proattivamente i dati. Con l’entrata in vigore del GDPR, tale situazione è mutata e tutte le organizzazioni sono in possesso di alcuni dati storici senza basi giuridiche per detenerli, siano essi i dettagli familiari di ex dipendenti o numeri di conti bancari di ex clienti, oppure qualche altro tipo di dati personali intrecciati nel tessuto dei loro sistemi SAP.
EPI-USE Labs ha un approccio semplice per eliminare questi vecchi dati, senza dover ricorrere a complessi progetti di archiviazione. La tecnologia utilizzata a supporto del prodotto Data Redact per revisionare o rimuovere specifiche informazioni relative a un determinato soggetto interessato può essere sfruttata da un consulente del System Landscape Optimisation (SLO) di EPI-USE, con una specifica modalità di licenza, per consentire selezioni di record in massa e la parallela elaborazione. Il consulente fornirà assistenza con le definizioni esatte dei dati da rimuovere nella bonifica iniziale e la modalità di selezione di tali record.
Nella maggior parte dei casi, i dati storici sui dipendenti sono necessari, ma cosa accade se la relativa parte dell’azienda viene ceduta? A dieci anni di distanza possiamo comunque conservare quei dipendenti nel sistema? Anche se volessimo conservare la parte essenziale del record sul dipendente, che fare delle parti più personali dei dati? Un’iniziale bonifica in massa potrebbe assumere la forma di una policy diretta a eliminare una piccola quantità di dati di natura estremamente personale, ad esempio le informazioni sulla famiglia o i numeri dei conti bancari, da applicare a chiunque abbia lasciato l'azienda da più di un anno; si potrebbe poi aggiungere una seconda policy per chi abbia lasciato l’organizzazione da almeno sette anni, che preveda l’eliminazione di molti più dati, ad esempio i dati sulle assenze per malattia, le valutazioni di risultato e i dati di retribuzione.
In questo ambito, è più complicato definire le basi giuridiche per la conservazione dei dati. Potrebbero essere presenti migliaia di clienti, partner commerciali e indirizzi che non hanno rapporti con l’organizzazione da oltre cinque anni. Invece di archiviare tutte le relative transazioni e quindi l’anagrafica, possiamo fornire una bonifica in bassa diretta a eliminare gli elementi identificativi dall’anagrafica e gli eventuali riferimenti a transazioni, che implicherà l’invisibilità della persona nel sistema. In alternativa, potrebbe essere opportuno eliminare in tempi più brevi dai record di ex consumatori i dati di carte di credito e probabili risposte a domande di sicurezza.
Contattateci per una prima conversazione circa le vostre esigenze e le modalità con cui possiamo adattare su misura i nostri servizi di bonifica in massa, per aiutarvi nella conformità GDPR.
Contattateci riguardo all’eliminazione in massaThe main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
Ian Naylor, Innogy Business Systems
Shaun Code, Responsabile delle Operations Enterprise IT di AGL
Contattaci per qualunque altra informazione o visita il nostro portale di assistenza.
T +1 678-872-0059
F +1 678-401-0324
© 2018 EPI-USE Labs • 2002 Summit Blvd, #825 Atlanta, Georgia 30319 • Impronta globale, presenza locale