Data Subject Request cosa è e come fare?

Mai sentito Data Subject Request (DSR)? Si tratta di una richiesta per conoscere quali sono e dove, come sono gestiti i nostri dati personali. 

Ogni cittadino europeo, infatti, tramite il GDPR (art. 15), ha la possibilità di richiedere una copia a titolo informativo dei suoi dati personali. Qualsiasi servizio sia.

Cosa è la Data Subject Request (DSR)

Si tratta di un diritto che il regolamento europeo sulla protezione dei dati personali (GDPR) ha introdotto.

Tramite questa richiesta quindi ogni interessato può richiedere al titolare una copia dei propri dati personali gestiti.

Esempi di Data Subject Request 

Diverse piattaforme offrono questa possibilità, solitamente sotto il menù chiamato Privacy. Ma privacy e dati personali sono la stessa cosa? 

Vediamo assieme quale esempio nelle varie piattaforme. Partendo dalla piattaforma di SAP Universal ID. Tramite il menù Privacy è possibile richiedere la cancellazione dei propri dati (altro diritto introdotto dal GDPR) ma anche la richiesta di una copia dei propri dati "Request data export"

• Universal ID -> SAP (la funzionalità presente nell'Universal ID di SAP)
  
  

Anche in altre piattaforme è possibile fare la medesima estrazione, vedi ad esempio Google.

• Nelle impostazioni dell'account Google tramite il menù "Data and privacy" è possibile effettuare un "Download dei propri dati"

Anche Facebook offre, chiaramente la stessa possibilità, nel menù "Le tue informazioni su Facebook" - "Accedi alle tue informazioni"

• Facebook

Ma cosa troviamo in questo report? Non c'è una forma comune e standard ogni piattaforma ha spesso metodi diversi per fornire questi dati. Uno archivio zip con tutti i dati, raggrupparti in cartelle o meno, ulteriori dati in formati più tecnici es. XML

Data Subject Request, deve essere fatta anche in SAP?

Nel caso in cui ci siano dati di interessati (leggi qui chi sono le figure previste dal GDPR), è necessario definire una procedura per far fronte a questa richiesta che potrebbe arrivare. Ma da chi? Da Dipendenti, fornitori o clienti. Chiaramente in questi ultimi casi devono essere persone fisiche.

Nel caso in cui il business della tua azienda sia totalmente "business to business" quindi verso aziende, probabilmente dovrai gestire questa richiesta solo per i dipendenti.

Nel caso in cui siano salvati all'interno dei sistemi SAP dei dati di clienti o fornitori come persone fisiche allora sarà necessario attivare la procedura anche per loro.

Ma cosa fare quindi in SAP se ricado nei casi visti sopra?

Esistono diversi scenari che possono essere esplorati. Anche per la complessità dei sistemi e per la mole di dati da estrarre.

In alcuni sistemi SAP, ad esempio, è coinvolto solo il sistema gestionale ERP SAP (quindi un solo sistema) in modo molto limitato (i dati degli interessati sono in tabelle ben precise).

In altri scenari più complessi, i dati dell'interessato sono "sparsi" in più sistemi SAP. Ad esempio l'ERP, non necessariamente uno. Nel caso di utility nei sistemi IS-U (Industry Solutions Utility) oppure nei sistemi CRM (Customer Relationship Management) o SRM (Supply Relationship Management), in sistemi On premise oppure Cloud. 

Anche gli aspetti tecnologici possono influire chiaramente. Soprattutto in una situazione ibrida dove alcuni sistemi sono on premise ed altri cloud.

In generale può essere utile seguire questi passaggi:

1. Indentifica in quale caso ti trovi (devi gestire i dati di dipendenti, fornitori, clienti oppure un sotto insieme di questi)?
2. Identifica in quali sistemi possono essere i dati (attenzione, qui potrai trovare anche sistemi non SAP presenti in azienda) avevi pensato che quanto registri all'ingresso i visitatori, anche quelli sono dati personali. In che sistema sono?
3. Per i veri sistemi, identifica esattamente dove sono i dati personali. Quando dico esattamente intendo proprio le tabelle e campi (nel caso di SAP) dove risiedono questi dati. Diventa necessario svolgere una mappatura di questi dati nei vari sistemi. In questo contesto, in scenari molto complessi, può essere utile lo strumento a pagamento Information Steward (leggi qui quali altri strumenti SAP offre per la gestione del GDPR)
4. Identifica quali strumenti potrebbero essere usati per estrarre i dati
   • In casi più semplici può essere utilizzata anche la SE16 o strumenti analoghi (come usare la transazione SE16)
   • Valuta se può essere utile utilizzato lo strumento che SAP ha pensato per questa situazione ovvero l'Information Retrieval Framework (IRF)
     
   • Esistono altri strumenti sul mercato che possono anche offrire soluzioni alternative, ad esempio, la suite di EPI-USE o Inquaero
5. Definisci la procedura interna per sapere cosa si deve fare in caso di richiesta e chi deve fare qualcosa. Definisci come gli interessati possono fare questa richiesta, tramite una richiesta via mail? Tramite una richiesta da portale?