Non è esiste, al momento, una soluzione unica che permetta di affrontare tutti gli aspetti richiesti dal GDPR.
SAP propone diversi sistemi, vediamo quali sono ed a cosa servono.
La gestione alla conformità del GDPR prevede il coinvolgimento di diverse direzioni aziendali. Le macro fasi principali, dal punto di vista della individuazione e della gestione dei dati personali sono le seguenti:
SAP ha diversi strumenti che cercano di coprire la maggior parte dei passaggi precedenti.
L'adozione degli strumenti definiti da SAP non comporta l'adeguamento automatico al regolamento.
Ogni azienda deve effettuare una valutazione dei rischi per capire se deve o meno svolgere azioni di mitigazione dei rischi.
Nella nota OSS 2590321 - Upgrade recommendations to support GDPR compliance, SAP ha indicato quali sono i software che hanno delle novità o adattamenti per la gestione del GDPR. Per quanto riguarda SAP ERP, dalla Release 6.0 EhP8 SP06. Mentre su S/4HANA On Premise dalla 1709.
Per ognuna delle macro aree sopra sono stati progettati dei sistemi specifici.
Tutti gli strumenti sopra sono applicabili esclusivamente ai sistemi SAP. Fanno eccezione sistemi quali Information Steward, IDM, SSO, GRC, che possono essere collegati anche sistemi non SAP.
Mentre la parte di mascheramento dati, retention e scrambling, viene svolta solo nei sistemi SAP.
Sono sistemi che permettono, ad esempio nel caso dell'Information Stewart, di capire dove un certo dato si trova nei vari database SAP e non SAP.
Immaginiamo l'esempio del codice fiscale. La struttura di questa informazione può essere individuata tramite l'uso di espressioni regolari. Lo strumento permette tra le altre cose di individuare se contenuto di un campo in un database può essere assimilabile alla chiave di ricerca inserita, in questo caso un codice fiscale. Guarda qui un video dimostrativo.
In quali processi sono presenti i dati personali? Questa è la domanda alla quale può rispondere la soluzione SAP Process Mining by Celonis, guarda qui il video.
Si tratta di uno strumento totalmente in cloud. Formato dai seguenti moduli:
Uno dei punti chiave dello strumento è che ogni process owner riceva un documento/quiz e risponda a delle domande per definire a seguito il registro dei trattamenti.
SAP ILM permette di gestire le regole di retention dei dati. Questo sistema sfrutta il meccanismo dell'archiviazione dei dati per esportare i dati da SAP rendendoli poi accessibili o meno ad un gruppo ristretto di utenti. La definizione delle:
I dati quindi non sono cancellati dal database ma sono di fatto archiviati. Esistono altri sistemi sul mercato per svolgere la medesima operazione ma andando a modificare il dato nel database.
La protezione dei dati negli ambienti non produttivi avviene utilizzando strumenti che durante la copia dei sistemi vanno a modificare il contenuto dei dati. Questo tramite delle regole di scrambling. Quali sono queste regole? Ad esempio:
Come avviene il processo nel TDMS:
Se sei un IT manager dovresti:
Solo a seguito di quanto sopra dovresti valutare gli strumenti che potresti avere bisogno per svolgere quanto sopra.