¿Adecuado para el Reglamento General de Protección de Datos de la UE?
De lo contrario, se enfrentan a multas masivas de hasta 20 millones de euros o el cuatro por ciento de su facturación anual en caso de infracción. ¿Qué deben tener en cuenta las empresas que utilizan SAP en el futuro y cómo pueden prepararse?
¿Qué significa esto para las empresas? ¿Qué sistemas de datos se ven especialmente afectados? ¿Qué medidas deben aplicarse de aquí a 2018 para cumplir los nuevos requisitos?
El sistema de niveles del nuevo Reglamento General de Protección de Datos ya prevé sanciones de hasta el dos por ciento del volumen de negocios anual generado en todo el mundo si las operaciones de tratamiento no están debidamente documentadas (artículo 28).
En caso de violación de los datos, las empresas están obligadas a informar a las autoridades en un plazo de 72 horas (artículo 31).
Según la definición de la nueva legislación, también es una violación de datos si un empleado tiene conocimiento de datos que no necesita para su trabajo.
Además, las empresas deben asegurarse de que los empleados puedan reconocer cuándo están infringiendo las leyes con el tratamiento de datos o procesando datos sin autorización.
El primer paso, y el más importante, para todas las empresas es comprobar en qué sistemas tienen los datos afectados por la legislación. El segundo paso debe ser comprobar si la empresa puede rastrear y demostrar de forma fiable qué se hace con estos datos cuando salen del sistema, por ejemplo.
A medida que los entornos informáticos se hacen más complejos, para las empresas supone un gran reto comprender qué datos se guardan en qué sistemas y a través de qué canales pueden compartirse.
Los datos personales son especialmente comunes en los sistemas ERP. En este entorno informático regulado, es relativamente fácil aplicar las especificaciones de las nuevas directrices de protección de datos si disponen de estructuras de autorización y registros de auditoría.
Entonces, ¿se está cubierto con eso?
Lamentablemente, no, porque en cuanto estos datos se exportan del sistema, las estructuras de corrección de SAP dejan de aplicarse y tampoco es posible rastrear lo que ocurre posteriormente con los datos.
En la mayoría de las empresas, sin embargo, estas exportaciones de datos tienen lugar a diario sin que los empleados sean conscientes de las posibles consecuencias. Esto es especialmente cierto en sectores como la energía (electricidad, petróleo y gas), el transporte (aéreo, ferroviario, fluvial y por carretera), sectores de infraestructuras como el suministro de agua potable, infraestructuras bancarias y de mercados financieros, centros comerciales, proveedores de asistencia sanitaria e infraestructuras digitales.
Por lo tanto, es necesario introducir soluciones de auditoría o registro que registren quién ve, exporta y comparte los datos.
Además, es aconsejable integrar una solución GRC para que se envíen notificaciones a los responsables en caso de infracción de las normas.
Sin embargo, lo ideal sería clasificar los conjuntos de datos a medida que se crean. Los datos sensibles afectados por la legislación pueden entonces contar con normas adecuadas para todo su ciclo de vida.
Por ejemplo, pueden liberarse sólo para uso interno o para personas concretas, o se bloquea por completo la descarga de datos específicos.
Además, de este modo se sensibiliza a los empleados sobre el tema y se les informa de posibles infracciones. La introducción de un sistema de gestión de derechos (RMS) ayuda a evitar que se vulnere la seguridad de los datos (artículo 31) y a demostrar o restringir su uso fuera del sistema ERP.
La nueva legislación también obliga a la mayoría de las empresas a designar un responsable de la protección de datos (artículo 35). Ahora es el momento ideal para que los responsables revisen la situación interna, pongan en marcha las medidas adecuadas para sondear y asegurar los datos y examinen a fondo las ofertas de soluciones.
