• Inglese
  • Italiano

Il GDPR e l’approccio di SAP

  • On 20 Ottobre 2017

Il GDPR, acronimo di General Data Protection Regulation, è il nuovo Regolamento UE (2016/679) per la protezione dei dati personali dei cittadini nell’ epoca digitale. Sostituisce la Direttiva95/46EC (tutela delle persone fisiche con riguardo al trattamento dei dati personali e privacy), ed entrerà in vigore effettivo a Maggio 2018.

Il GDPR si pone come obiettivo quello  di regolamentare come le aziende elaborano, memorizzano e distruggono i dati personali degli utenti.

Tale regolamento riguarda per cui Aziende che hanno una presenza fisica in almeno uno Stato dell’Unione Europea, aziende straniere che processano o memorizzano dati personali di cittadini europei e aziende che utilizzano servizi di terze parti che processano o memorizzano dati personali di cittadini europei. Per le aziende che violeranno anche uno di questi diritti, sono previsti pesanti sanzioni pari a 4% del volume di affari globale fino ad un massimo di 20 Milioni di Euro.

Le novità più impattanti sono il Rispetto del Data Breach, con obbligo di notifica (entro 72 ore) all’Autorità competente e agli utenti interessati in caso di eventuali fughe o compromissioni di dati; l’ Accountability, ovvero la dimostrazione con prove documentali della piena conformità al regolamento e la Nomina del Data Protection Officer, obbligatorio per imprese con 250 dipendenti o più e amministrazioni ed enti pubblici.

Questo tipo di regolamento impatta tutti i sistemi e le procedure delle aziende, non solo ovviamente i sistemi SAP. Generalmente le società di consulenza specializzate propongono un Risk Impact Assessment basato su metodologie più o meno standard nel quale si mettono in evidenza le possibili falle del sistema. SAP propone una serie di tool che possono essere utilizzati per raggiungere la compliance alla normativa, anche se di per se non è l’utilizzo del software che garantisce la compliance bensì l’orchestrazione degli stessi in un framework metodologico idoneo allo scopo.

Sostanzialmente le componenti che indica SAP possono essere riassunte nelle seguenti categorie:

    1. Software per la gestione dell’informazione all’interno dei processi SAP, loro mappatura nel tempo e identificazione
    2. Software per la definizione degli scenari di processo e il loro controllo, nell’ottica di disegnare i processi in modo che siano compliance con la normativa e che consentano di fornire costantemente nel tempo la certificazione necessaria
    3. Software per la profilazione, il controllo e la mappatura degli accessi, il data masking laddove necessario, il logging degli accessi.

 

 

Alcuni di questi componenti sono già presenti nella suite Netweaver di SAP, altri sono standard SAP, come ad esempio l’utilizzo dell’AIS, l’Audit Information System, che consente di ricavare informazioni utili, piuttosto che la profilazione degli utenti secondo ben determinati profili autorizzativi. Altri sono invece moduli o componenti a sé stanti, come ad esempio Information Lifecycle Management, con il quale è possibile gestire il tempo di retention dei dati oppure la loro distruzione laddove siano scaduti i tempi per la detenzione del dato in azienda. La suite GRC – Risk Management di SAP è utilizzabile in questo ambito, per la definizione dei processi impattati e il ridisegno dei processi stessi in ottica GDPR compliance. Un altro componente utilizzabile è Celonis, che consente di mappare tutti i dati all’interno dei processi e quali dati sono utilizzati e come nei processi aziendali, offrendo così la possibilità di capire quali processi modificare o semplicemente monitorare.

In questo ambito PL3 & Partners mette a disposizione le proprie competenze applicative, tecniche e metodologiche per offrire a chi deve affrontare questa importante problematica una soluzione ad hoc ai propri bisogni. Per informazioni contattaci cliccando qui o scrivendo a marketing@pl3group.com

 

Paolo Ponte, Sales & Marketing Manager

Share: