Essere compliant con il GDPR quando si adoperano i sistemi SAP vuol dire dimostrarsi in grado di difendere i dati attraverso molteplici strategie, per lo più stratificate e gestite in maniera dinamica. Occorre uno sforzo corale, bisogna coinvolgere l'intero team per coordinare azioni, strumenti, processi e competenze lungo un percorso che, una volta intrapreso, non ammette passi falsi.
Ci sono in gioco, infatti, sanzioni molto pesanti (fino a 20 milioni di euro o il 4% del fatturato annuo) e danni reputazionali che possono ledere l'immagine dell'impresa sia presso i partner sia, soprattutto, presso il mercato e i consumatori.
SAP GDPR compliance, un percorso articolato
Quando si parla di SAP GDPR compliance ci si riferisce, dunque, a un vero e proprio percorso volto a implementare tutte le misure tecniche, organizzative e di processo necessarie per far sì che l’azienda aderisca appieno ai principi e alle norme del Regolamento UE 2016/679 che, com’è noto, protegge le PII (Personal Identifiable Information) dei cittadini residenti nell’Unione Europea. Quasi superfluo sottolineare come i sistemi SAP siano stracolmi di dati da proteggere, da quelli personali dei clienti e dei dipendenti agli indirizzi e-mail, dallo storico delle transazioni a tutte le informazioni dei sistemi HR. Logicamente, la maggiore o minore complessità del percorso dipende dalla quantità di sistemi e soluzioni SAP in produzione, ma il principio di base non cambia. Il fine della SAP GDPR compliance è attuare una serie di attività e di misure che allineino i processi di trattamento dei dati alle direttive del GDPR, cui far seguire la produzione di una documentazione chiara ed esaustiva che certifichi, appunto, questa aderenza. Pilastro della documentazione è il Registro del Trattamenti, che di fatto esplicita tutte le modalità, le misure organizzative, i ruoli e gli strumenti con cui l’azienda gestisce i flussi di dati personali in modo compliant alla normativa comunitaria.
Come anticipato, l’intero tema della SAP GDPR Compliance non può essere demandato unicamente all’IT ma è di fatto un gioco di squadra che coinvolge, oltre al comparto tecnico, (almeno) quello legale, amministrativo, HR e il top management. Il concetto di Data Protection, che è essenziale nell’ambito della SAP GDPR Compliance, deve quindi trascendere il ruolo di mera funzione aziendale concepita per silos. Deve piuttosto diventare un flusso: va integrata, in senso orizzontale e con la massima priorità, in ciascuna delle attività svolte all'interno dell'ecosistema in cui opera l'organizzazione. Ciò significa estendere la compliance oltre i tradizionali perimetri dell'impresa e coinvolgere in questo cambio di paradigma tutti gli attori a monte e a valle delle operazioni che implicano la raccolta, la conservazione e il trattamento dei dati.
Anche perché con il principio di accountability introdotto dal GDPR, le strategie messe in atto dalle imprese devono essere formulate in modo da generare totale univocità tra gli approcci adottati per la tutela della privacy e gli effetti prodotti. Per chiarire il concetto: nell’ambito della SAP GDPR compliance, chi a vario titolo – Data Protection Officer, Chief Information Officer o Chief Risk Officer – si occupa del trattamento dei dati non soltanto è responsabile delle scelte che riguardano i mezzi, le procedure e le finalità relative alla loro raccolta, analisi ed elaborazione, ma in caso di audit o richieste specifiche dell’Authority deve anche rendere conto delle valutazioni che hanno portato a scegliere una strada anziché un'altra.
Il Data Masking, un sistema efficace per risultare compliant al GDPR
Fatta questa premessa, è bene introdurre uno degli approcci più efficaci per far sì che i sistemi SAP siano compliant con il General Data Protection Regulation. Parliamo del Data Masking, una serie di tecniche attraverso le quali è possibile sostituire i dati originali con record fittizi senza alcun impatto sulla loro integrità. Sottoporre i propri dati a procedure di Data Masking rappresenta un passo essenziale rispetto alla GDPR compliance e lo si può ottenere adottando – singolarmente o congiuntamente – diverse tecniche. Vediamole insieme.
Anonimizzazione e pseudonimizzazione: le tecniche di GDPR masking
In termini generici, il Data Masking può essere applicato tramite offuscamento, anonimizzazione e pseudonomizzazione. Il processo di offuscamento dei dati comporta la sostituzione dei dati originali con elementi simili o casuali, oppure genera un riposizionamento di alcune delle informazioni che ne renda impossibile la decrittazione a intrusi e utenti non autorizzati. L'anonimizzazione, secondo le indicazioni contenute nel GDPR (non a caso si parla di GDPR masking per identificare l’attività di Data Masking finalizzata alla SAP GDPR compliance), altera i dati in “informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”. Risulta particolarmente efficace se l'impresa deve condividere i dati con soggetti terzi per elaborazioni statistiche o per operazioni di profilazione – magari in ottica di data monetization – che non richiedono riscontro univoco con l'identità dei titolari. Il GDPR masking include infine la pseudonomizzazione, ovvero la tecnica di riferimento per la conservazione sicura delle informazioni personali, specialmente rispetto alla minimizzazione dei dati negli ambienti di test.
Il processo di Data Masking viene di solito gestito in modo automatizzato, facendo leva su software che crittografano i dati personali in maniera semplice, trasparente e irreversibile. La configurazione delle regole per l'esecuzione del processo di mascheratura va in genere eseguita una sola volta per l’intera infrastruttura: ciascun amministratore ha il compito di definire le policy da un'unica dashboard, che le applica poi a cascata e in tempo reale sull’intera infrastruttura SAP.
I sette passi per sviluppare la GDPR compliance in ambito SAP
SAP ha cominciato ad adattare la propria offerta a molti dei requisiti imposti dal GDPR già a partire dal 2010, quando ha sviluppato un primo DPMS (Data Protection Management System) certificato sulla base dello standard BS 10012. Si tratta di un sistema di gestione della protezione dei dati che permette di orchestrare l'infrastruttura offrendo alle unità di business linee guida specifiche, corsi di formazione sulla protezione dei dati e controlli regolari mediante una serie di audit. Il gruppo ha poi implementato nel 2012 una policy specifica sulla protezione dei dati e sulla privacy, che è la base per l'attuale DPMS.
SAP dunque ha integrato nei propri prodotti una suite di strumenti preconfigurati che garantiscono un'installazione sicura nel momento in cui si sceglie di aderire all'offerta dello specialista della business intelligence. Ma cosa bisogna fare, in seguito, per rispondere adeguatamente all'articolo 32 del GDPR, che prescrive di mettere “in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”? Occorre approntare una checklist che si articola in sette passaggi. Eccoli:
1. Analizzare l'ambiente SAP per determinare le aree chiave
Per prima cosa è necessario effettuare un assessment che consenta di controllare dove sono archiviati i dati sensibili e come vengono utilizzati all'interno dei repository e degli applicativi SAP. I team funzionali devono diventare consapevoli della posizione assegnata ai dati sensibili nei sistemi e sviluppare procedure per la visualizzazione e la potenziale rimozione delle informazioni.
2. Ridurre i dati sensibili sui sistemi non produttivi
Occorre diminuire l'esposizione dei dati sensibili sui sistemi non produttivi: da una parte, ricorrendo al Data masking, dall'altra, identificando i client e i sistemi che pur contenendo questo genere di informazioni rimangono di solito inutilizzati.
3. Modificare o creare i processi di accesso e modifica ai dati
Gli IT Manager devono istituire processi efficaci per le richieste di accesso e di diritto all'oblio ai dati personali provenienti dai legittimi titolari, creando flussi di lavoro ad hoc e, di concerto con il Data Protection Officer, assegnando responsabilità specifiche a team o a singole figure competenti della materia.
4. Rivedere i criteri di conservazione delle informazioni
Limitare la permanenza dei dati storici sui sistemi SAP vuol dire automatizzare le soluzioni di redazione e archiviazione dei record, trasformando l'intero processo in una misura standard del ciclo aziendale uniformando in un unico approccio procedure che cambiano da divisione a divisione e da progetto a progetto
5. Gestire gli accessi prevedendo nuove categorie di rischio
Diventa necessario prevedere sistemi che limitino l'accesso dei dipendenti e dei collaboratori ai dati sensibili di clienti e fornitori. Il primo step in questa direzione prevede l'identificazione di ruoli e utenti ben determinati, con set di regole e di notifiche di sistema per motivare e segnalare a chi detiene la responsabilità sulla Data protection ciascuna richiesta di accesso.
6. Crittografare tutti i dati in uscita
In caso di condivisione con soggetti esterni all'organizzazione, tutti i dati archiviati su file server o erogati tramite app e interfacce devono essere crittografati prima della trasmissione seguendo precise policy di sicurezza relative all'utilizzo degli endpoint.
7. Riprogrammare i controlli per rendere l'ecosistema più sicuro
Bisogna infine attivare controlli automatici e simulazioni di violazione dei dati per valutare quale potrebbe essere la risposta dell'organizzazione in caso di incidenti, sviluppando inoltre una procedura standard utile a riesaminare regolarmente i meccanismi che assegnano a ciascun utente le credenziali per l'accesso ai dati personali.