EPI-USE Labs offre una gamma articolata di soluzioni in grado di rispettare la conformità al GDPR (il Regolamento generale europeo sulla protezione dei dati) e alle altre normative in materia di privacy dei dati.
Il GDPR implica conseguenze di vasta portata per le aziende di tutto il mondo. Tutte le organizzazioni che raccolgono, archiviano e trattano i dati dei cittadini dell’Unione europea (UE) a livello mondiale devono essere in grado di rivelare i dati in proprio possesso sull’individuo e le finalità per le quali tali dati vengono archiviati e utilizzati. Indipendentemente dal fatto che i dati vengano conservati dentro o al di fuori dell’UE, al fine di conservare e gestire i dati ogni organizzazione deve ricevere il consenso informato da parte dell’interessato e dimostrare la conformità ai principi guida delle normative, ad esempio che la protezione dei dati è al cuore della struttura del sistema. Dato che la conformità non è negoziabile, le organizzazioni nelle quali si verificano violazioni della sicurezza dei dati rischiano pesanti sanzioni fino a un massimo di 20 milioni di Euro (21 milioni di USD al tasso di cambio corrente), o pari al 4% del fatturato annuo; la decisione verrà presa considerando il valore maggiore.
EPI-USE Labs offre le seguenti soluzioni in grado di rispettare la conformità al GDPR e alle altre normative in materia di privacy dei dati nei sistemi SAP:
I numerosi e svariati sistemi IT dimostrano l’impossibilità di adottare un approccio “universale”, perciò condividiamo le nostre competenze e la nostra esperienza per aiutarti a stare sempre un passo avanti. EPI-USE Labs si dedica da oltre trent’anni alla creazione e allo sviluppo di soluzioni software avanzate nello spazio dati SAP, offrendo orientamenti e condividendo le competenze in materia di GDPR e normative analoghe sulla privacy dei dati per SAP.
Per la maggior parte delle organizzazioni, il criterio di conservazione dei dati corrispondeva al periodo minimo fissato dai team tecnici, e non al momento in cui i dati devono essere distrutti in modo proattivo. Questo criterio è cambiato da quando il GDPR è entrato in vigore, e tutte le organizzazioni si trovano a doversi liberare di quei dati storici la cui conservazione non è più ammessa legalmente, tra cui i dati dei familiari di ex dipendenti, i numeri dei conti correnti di ex clienti, o uno dei numerosi tipi di dati personali intrecciati nelle maglie dei sistemi SAP.
EPI-USE Labs adotta un approccio semplice finalizzato all’eliminazione di questi dati vecchi, senza la necessità di ricorrere a complessi progetti di archiviazione. La tecnologia utilizzata al fine di supportare il prodotto Data Redact per la redazione o la rimozione di informazioni specifiche per l’individuo interessato può essere sfruttata da un consulente di EPI-USE Labs per l’ottimizzazione dell’infrastruttura di sistema (SLO), con una modalità di licenza specifica che consente selezioni di record di massa ed elaborazioni parallele. Il consulente presterà assistenza anche nell’ambito delle esatte definizioni dei dati da rimuovere durante la pulizia iniziale e delle modalità di selezione dei record.
Nella maggior parte dei casi, i dati storici dei dipendenti sono necessari, ma cosa succede se quella parte dell’azienda è stata dismessa? Dopo 10 anni è possibile mantenere tali dipendenti nel sistema? Anche se vogliamo mantenere la parte principale del registro dei dipendenti, cosa ne sarà delle parti più personali dei dati? La pulizia iniziale di massa potrebbe assumere la forma di una policy finalizzata all’eliminazione di una quantità ridotta di dati altamente personali, come informazioni familiari o numeri di conti correnti, da applicare ai soggetti che hanno lasciato l’azienda da oltre un anno, e in seguito di una seconda policy per i soggetti che hanno lasciato l’organizzazione da almeno sette anni per rimuovere una quantità maggiore di dati, come le informazioni su congedi per malattia, revisioni della performance e dettagli della paga.
In questo settore è molto più difficile definire le basi giuridiche per la conservazione dei dati. Potrebbero esistere migliaia di clienti, partner aziendali e indirizzi che non hanno intrapreso attività commerciali con l’organizzazione per un periodo superiore a cinque anni. Anziché archiviare tutte le transazioni e successivamente i dati anagrafici, possiamo offrire una pulizia di massa per rimuovere gli identificatori dai dati anagrafici e i riferimenti alle transazioni che indicano che tale persona non è più visibile nel sistema. In alternativa, può essere opportuna la rimozione più immediata delle informazioni relative alle carte di credito e delle probabili risposte alle domande di sicurezza di ex consumatori.
Contattaci per un primo colloquio incentrato sulle tue esigenze e su come personalizzare i nostri servizi di pulizia di massa per assisterti riguardo alla conformità GDPR.
Contattateci per una prima conversazione circa le vostre esigenze e le modalità con cui possiamo adattare su misura i nostri servizi di bonifica in massa, per aiutarvi nella conformità GDPR.
CONTATTACI PER LA RIMOZIONE DI MASSAThe main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
Ian Naylor, Innogy Business Systems
Shaun Code, Responsabile delle Operations Enterprise IT di AGL