Borrado y bloqueo de datos personales en SAP HCM
Si echas un vistazo más de cerca a las novedades actuales sobre el tema, verás el Reglamento General de Protección de Datos (RGPD) de la UE, que entrará en vigor el 25 de mayo de 2018, y sus severas sanciones por infracciones de la protección de datos.
En principio, el GDPR, al igual que la Ley Federal de Protección de Datos (BDSG), también prevé la corrección y supresión de datos personales. No está permitido almacenar dichos datos durante un periodo de tiempo ilimitado.
Sin embargo, mientras existan otros requisitos legales, de negociación colectiva o internos para la conservación de datos y documentos personales, los datos aún no deben suprimirse, sino simplemente bloquearse.
Con las opciones de probada eficacia de la gestión de la retención, las cuestiones de RR.HH. pueden asignarse a través de SAP ILM y aplicarse en la práctica de conformidad con la ley.
Obtenga una visión general
En primer lugar, sin embargo, debe obtenerse una visión general estructurada de todos los datos personales procesados en SAP HCM. Para ello, debe desarrollarse un concepto de borrado que tenga en cuenta los requisitos legales de protección de datos y otros requisitos legales y regule de forma transparente el tratamiento de dichos datos sensibles en cuanto a tipo y alcance.
El concepto de borrado es el punto de partida ideal para identificar los datos que deben bloquearse, tal y como se define en el artículo 35 de la BDSG, así como para implementar la personalización en SAP ILM.
El ILM se basa técnicamente en un conjunto de reglas. Aquí, los periodos de conservación definidos para cada infotipo se transfieren al sistema SAP y se asignan del mismo modo que el concepto de borrado.
En términos sencillos, los periodos de conservación mínimo y máximo deben almacenarse por infotipo, es decir, por objeto de archivo. En la práctica, esto adopta rápidamente formas complejas.
Siempre que la regla de retención deba vincularse a otras condiciones, estos criterios deben implementarse en el conjunto de reglas. Tras la implementación de la personalización específica de SAP HCM, se puede ejecutar una ruta de decisión a través de cada objeto de archivo según estos criterios para determinar el período de retención correcto de un registro.
El conjunto de reglas ILM puede llamarse mediante la transacción IRM_CUST. La información sobre la entrega de la función empresarial ILM y el estado requerido del sistema se puede encontrar en la nota SAP 1600991. También proporciona información sobre los costes de licencia al utilizar ILM para los documentos de archivo de HCM y su posible cobertura a través de licencias ERP ya existentes.
La destrucción real de los datos se realiza con las funcionalidades clásicas de SAP Basis. Para ello existen programas adecuados en el sistema SAP. A través de la transacción SARA, la administración de archivo, se ejecutan uno tras otro los programas correspondientes para cada objeto de archivo.
El objeto de autorización P_DURATION puede utilizarse para implementar de forma adaptativa el bloqueo de datos personales a nivel granular de infotipos individuales. Mediante la definición de períodos de autorización, el acceso a los datos maestros de personal puede restringirse en el pasado.
Encontrará información sobre el objeto de autorización P_DURATION en la nota SAP 2123631. Un concepto de borrado conforme a la protección de datos puede realizarse en un sistema SAP como solución híbrida de ambas funcionalidades.
A diferencia de la creación del concepto de borrado, la implementación sucesiva de los procesos de borrado de la solución 100% debería preferirse para el proyecto de implementación técnica posterior.
Por un lado, no existe un objeto de archivo final para unos pocos infotipos estándar y, por otro, la atención técnica debe centrarse en los infotipos individuales y sus objetos de archivo asociados para incorporar hallazgos útiles en la creación de reglas de supresión simplificadas.
DE
EN
ES
