L’utilizzo di dati personali da parte di società, spesso ingiustificato e con finalità poco chiare, ha portato il legislatore europeo alla regolamentazione dell’utilizzo di queste tipologie di dati.

Già in passato, tramite una direttiva specifica, gli stati membri hanno dovuto adeguarsi singolarmente. Ogni stato ha infatti definito una propria norma in materia di protezione dei dati personali. Tuttavia, la frammentazione legislativa generata sulla tematica da parte di ogni paese, ha portato ogni stato membro una gestione diversa. In Italia la norma di riferimento era il Dlgs.196/2003 "Codice in materia di protezione dei dati personali".

È anche per questo che il parlamento europeo ha deciso di avviare una razionalizzazione della tematica. È stato fatto attraverso l’istituzione di un regolamento europeo, entrato in vigore il 25 maggio 2018

L’istituto giuridico del regolamento europeo prevede che gli stati membri debbano adeguarsi, modificando eventualmente le normative nazionali.
Il regolamento europeo è chiamato GDPR General Data Protection Regulation 679/2016. In Italia tramite il Dlgs. 101/2018 sono state modificate le precedenti disposizioni del Dlgs. 196/2003. Il GDPR in Italia è noto anche come: RGPD Regolamento Generale sulla Protezione Dati.

 
Che cosa cambia rispetto alla vecchia normativa?

 

AGLEA_GDPRVi è un importante cambiamento sull’approccio alla protezione dei dati personali.

Nel Dlgs. 196/2003 la protezione dei dati si basava sulla definizione delle misure minime di sicurezza. Oggi, tramite il GDPR, vi è un approccio basato sull’analisi del rischio (Risk Based).

In altre parole, ogni società non ha un elenco di misure minime (come era definito nel passato dall’allegato B del Dlgs 196/2003 ma deve effettuare una valutazione del rischio, caso per caso e stabilire quali siano le misure da adottare in relazione ai rischi appunto.

Quali sono i punti importanti?

slide-dx-4

Uno degli aspetti, più rilevanti della normativa è l’introduzione del registro dei trattamenti. Cosa e perché è così strategico?

Il registro dei trattamenti rappresenta appunto un elenco aziendale dove sono censiti tutti i trattamenti di dati personali presenti in azienda. Ad esempio:

  • Gestione dell’ufficio paghe
  • Gestione dei social dell’azienda
  • Gestione della contabilità (nel caso in cui ci siano riferimenti a persone fisiche)
  • ...molti altri..

Per ognuna di queste righe devono essere definite almeno le seguenti informazioni.

  • Tipologia di dati gestiti
  • Soggetti interessati
  • Finalità e modalità del trattamento
  • Comunicazione e diffusione dei dati
  • Periodo di conservazione (retention)

Per i dati di categorie particolari (dati sensibili) dovrà inoltre essere effettuata una DPIA (Data Protection Impact Analysis). Sarà infatti questa valutazione, risk based, a stabilire quali siano le eventuali lacune da colmare o se quanto già presente oggi in azienda sia già conforme.

Quali sono inoltre le figure chiave della normativa:

  • Titolare del trattamento (Controller)
  • Responsabile del trattamento (ed ulteriori responsabili) (Processor)
  • Responsabile della protezione dei dati (DPO - Data Privacy Officer o RPD - Responsabile Protezione Dati)
  • Interessati (Data subject)
  • L'autorità di controllo (Authority)

Quali sono le azioni che possono essere fatte per aumentare l’accountability in SAP?

Uno degli aspetti citati nella norma è la responsabilizzazione o accountability del titolare dei dati ovvero tutte quelle misure che possono migliorare lo stato generale della sicurezza dei dati e del governo dei sistemi.

Alcune di queste misure possono essere già svolte senza l'utilizzo di ulteriori software a pagamento. Ecco alcune macro aree sulle quali è possibile intervenire fin da subito:

  • Authorization e Security concept
  • Identity Management
  • Log management SIEM (Security Information and Event Management)
  • Secure Programming
  • Training Security awareness

La definizione di un modello autorizzativo (SAP Authorization Concept) basato su figura professionale (RBAC, Role Based Access Control) può sicuramente migliorare la gestione ordinaria delle autorizzazioni ed accessi SAP,  ma anche incrementare notevolmente la governance dei sistemi. Anche la gestione della segregation of duties (SoD) è sicuramente un alleato importante in questo contesto. Scopri qui il motivo.

L'adozione di strumenti di Identity Management. Ad oggi nelle realtà di medio grandi dimensioni è impensabile dover gestire manualmente gli accessi. L'aiuto di questi programmi permette di concentrarsi sulla governance del modello definito migliorando inoltre la gestione ordinaria.

L'attivazione dei log standard SAP. By default SAP ha molti log che possono essere attivati (anche se alcuni di questi non sono già attivi) che possono essere sfruttati. Attenzione, il log sono spesso difficili da gestire quando sono molti. Serve un SIEM per poterli gestire in maniera adeguata. 

Nonostante sia sempre stata sottovalutata negli anni, la parte di programmazione sicura, soprattutto in ambiente SAP, diventa strategica per garantire che tutti i livelli "sopra" (livello applicativo) sia sicuro. 

GDPR formazione e training security sono l'elemento che chiude tutto il percorso di conformità (attenzione, la formazione deve essere costante, è un processo). Guarda qui cosa abbiamo fatto per gli addetti privacy, un corso in E-Learning sul GDPR.

"Accountability ovvero tutte quelle misure che possono migliorare lo stato generale della sicurezza dei dati e del governo dei sistemi"

Quali sono gli strumenti SAP per la gestione del GDPR?

Purtroppo non esiste al momento uno strumento unico per gestire la conformità al regolamento. Esistono quasi 20 sistemi che SAP mette a disposizione per rispondere a quanto previsto dalla normativa sul trattamento dei dati personali. La maggior parte di questi a pagamento.

Ecco quali sono:

  1. SAP Governance Risk and Compliance
    1. Process Control
    2. Access Control
    3. Risk Management
  2. Audit Management
  3. Fraud Management
  4. SAP ILM Information Lifecycle Management
  5. SAP TDMS Test Data Migration Server
  6. SAP SSO Single Sign On
  7. SAP Identity Management (e nella versione on cloud SAP HANA Cloud Platform Identity management services)
  8. SAP Enterprise Threat Detection
  9. SAP CVA Code Vulnerability Analysis
  10. SAP Information Steward
  11. SAP Process Mining by Celonis
  12. SAP Read Access Log
  13. SAP Field Masking (UI Logging e UI Masking)
  14. SAP Data Privacy Governance

 

Vediamo come ognuno di questi può aiutare nel processo di gestione del GDPR ed in quale momento è utile usarlo. Il processo di conformità al GDPR prevede principalmente i seguenti macro passaggi tecnici:

  • Definizione e governo del registro dei trattamenti
    • SAP Data Privacy Governance, permette in cloud di definire il registro dei trattamenti (Record of Processing Activities - ROPA ed effettuare la DPIA)
  • Ricerca dei dati personali nei sistemi (ovviamente da fare dopo aver individuato e definito il registro dei trattamenti)
    • SAP Information Steward e Process Mining
  • Verifica/controllo degli accessi
    •  SAP GRC Access Control, SAP Identity Management, SAP Single Sign On
  • Misure di profilazione e controllo degli accessi ai dati personali
    • SAP Field Masking (mascheramento dei dati nei sistemi produttivi)
  • Gestione della retention dei dati
    • Information Lifecycle Management (ILM)
  • Scrambling dei dati nei sistemi non produttivi
    • SAP TDMS
  • Produzione di software sicuro
    • SAP Code Vulnerability Analysis
  • Definizione dei meccanismi di controllo ICS (Internal Control System). Come posso controllare che quanto definito funzioni come dovrebbe?
    • SAP GRC Process Control/Risk Management

 

Come Aglea ti può aiutare? 

Configuriamo ed installiamo i software SAP per la gestione del GDPR. Siamo i docenti in SAP Italia dei corsi sui prodotti legati al GDPR:

  • ADM940 - Authorization Concept
  • ADM920 - SAP Identity Management
  • GRC300 - SAP Access Control Implementation and Configuration
  • BIT665 - SAP Information Lifecycle Management (ILM)

Possiamo aiutarti a verificare lo stato di salute dei tuoi sistemi SAP tramite un audit specifico sulle tematiche del GDPR. Verifica qui come. Non sempre è necessario acquistare nuovi software, spesso basta sfruttare ciò che si ha già a disposizione.

Guarda le nostre certificazioni e case history.

Iscriviti al blog se ancora non lo hai fatto!

Articoli Suggeriti

Corso GDPR - General Data Protection Regulation

GDPR - SAP

Uno degli aspetti fondamentali del regolamento è quello di effettuare formazione e sensibilizzazione agli addetti al trattamento dei dati personali, così come previsto dall'art. 39 "Compiti del responsabile della protezione dei dati".

Da qui nasce l'idea di Aglea di creare un corso di formazione in modalità e-learning sulle tematiche del GDPR.

Come esportare dati da SAP?

Data Protection

Come controllare i dati che vengono esportati da SAP? Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.

Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.

SAP DATA Masking, UI Masking, UI Logging

SAP DATA Masking, UI Masking, UI Logging e SAP TDMS

Dal punto di vista della terminologia SAP è fondamentale sottolineare la differenza tra il termine Masking ed il termine Scrambling. Il primo, masking, far riferimento al mascheramento dei dati in ambienti produttivi. Il secondo, scrambling, fa riferimento alla modifica dei dati in ambienti non produttivi.