La plataforma global e independiente para la comunidad SAP.
MAG 17-09

Espada de Damocles DSGVO

Por qué puede merecer la pena que considere ahora la destrucción de datos de su SAP HCM.
Gernot Voßpeter, CTH Consult
23. agosto 2017
Contenido:
Espada de Damocles DSGVO
avatar
Este texto ha sido traducido automáticamente del alemán al español.

¿Ha pensado alguna vez en la destrucción de datos? Como empresa de consultoría especializada en SAP ERP HCM, actualmente estamos recibiendo un número creciente de consultas de clientes sobre este tema. El trasfondo es sencillo: el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) europeo sustituirá en gran medida a la legislación nacional de protección de datos en la Unión Europea (UE) y el Espacio Económico Europeo (EEE) y, por tanto, también a la anterior Ley Federal de Protección de Datos (BDSG) en Alemania.

En lo que respecta a la protección de datos, las circunstancias en las que se permite el tratamiento de datos personales y el derecho de los empleados a eliminar los datos que ya no sean necesarios, la normativa del Reglamento General de Protección de Datos se corresponde predominantemente con la de la Ley Federal de Protección de Datos.

Ahora se podría argumentar simplemente que todo esto es agua pasada, ya que la Ley Federal de Protección de Datos ha estado vigente en su forma actual durante años y, si no cambia nada significativo, no hay necesidad real de actuar. Esta suposición era y es fundamentalmente errónea. La BDSG ya es una denominada ley de prohibición con reserva de autorización y, por tanto, una "espada afilada" desde el punto de vista jurídico.

Sólo las consecuencias, es decir, las multas, no se correspondían hasta ahora. Esta es precisamente la innovación decisiva en la que el nuevo Reglamento General de Protección de Datos difiere significativamente de la Ley Federal de Protección de Datos, en la regulación de las multas. Mientras que con arreglo a la Ley Federal de Protección de Datos las infracciones constituyen una infracción administrativa con una multa máxima de 50.000 euros, las multas que pueden imponerse con arreglo al Reglamento General de Protección de Datos han de ser efectivas, proporcionadas y disuasorias.

Dependiendo del caso, el tipo y la gravedad, las multas pueden alcanzar hasta diez millones de euros o el dos por ciento de la facturación anual mundial de una empresa. En caso de infracción de determinados artículos del reglamento, la multa se duplica hasta el cuatro por ciento de la facturación mundial.

Por supuesto, la amenaza de sanciones drásticas en el futuro no es la única razón por la que las empresas se ocupan cada vez más de esta cuestión. En la era de la recopilación de datos casi desenfrenada, el rendimiento del hardware utilizado naturalmente también desempeña un papel que no debe subestimarse.

Razones suficientes para abordar activamente este explosivo tema, unidas a la pregunta: ¿Cómo abordar el tema en el marco de un proyecto?

ILM para SAP HCM

Con el paquete de mejora 6.04, SAP proporcionó por primera vez la funcionalidad "Information Lifecycle Management (ILM)" para SAP ERP HCM y la amplió aún más en los siguientes paquetes de mejora. En función del estado del sistema, ILM incluye la opción de destruir datos de los distintos módulos de SAP ERP HCM. El proceso se basa en una tecnología de archivado de eficacia probada. Los datos que se van a destruir se escriben primero en un archivo temporal y luego se eliminan de la base de datos. A diferencia del archivado normal, el archivo temporal no se graba en un soporte, sino que se elimina. De este modo se destruyen los datos.

Se crea una entrada de registro sobre la destrucción en un infotipo separado en la administración de personal (IT0283). Aquí se puede averiguar si se destruyeron datos del empleado en cuestión y, en caso afirmativo, qué objetos de archivo se procesaron y durante cuánto tiempo.

Sin embargo, un proyecto que pretenda destruir ciertos datos que ya no se necesitan debe ocuparse primero de los requisitos técnicos si se cumplen los requisitos previos:

Crear condiciones previas en SAP HCM

En primer lugar, esto incluye asegurarse de que al menos EhP 6.04 (idealmente el último EhP) está instalado y la función empresarial ILM está activada. También se incluyen otras actividades que suele realizar SAP Basis Support, como comprobar que se asignan las autorizaciones necesarias. Definición de los ficheros de archivo temporales y las rutas de las unidades en las que se almacenan temporalmente.

Evaluación profesional: ¿Durante cuánto tiempo pueden almacenarse o utilizarse estos datos? ¿Cuándo deja de ser necesario / profesional almacenar estos datos? También en este caso la ley nos ayuda: "Los datos personales de un empleado pueden recopilarse, procesarse o utilizarse a efectos de la relación laboral si ello es necesario para la decisión sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su ejecución o finalización.....". Artículo 32 (1) de la BDSG.

Un ejemplo sería: Cuánto tiempo deben conservarse en el sistema los tiempos de sellado (registro de entrada y salida).

En el mejor de los casos, todos los datos almacenados de un empleado en SAP ERP HCM pueden contar con un período de tiempo durante el cual deben conservarse o, a más tardar, cuándo deben destruirse. A menudo es aconsejable tratar estas cuestiones con el responsable de protección de datos de la empresa.

Implantación técnica con SAP ILM

Una vez definidos técnicamente los períodos de conservación de los datos de los empleados, puede empezar a configurar los objetos de archivo SAP correspondientes. Como se ha descrito anteriormente, ILM se basa en el archivo de datos. Por este motivo, ILM siempre se refiere a objetos de archivo en los que se agrupan los datos que se van a destruir.

Dependiendo del estado de su sistema, encontrará los objetos de archivo correspondientes para la mayoría de los datos en cuestión. Sin embargo, su búsqueda de objetos de archivo para tipos de información específicos de clientes, tablas de personalización y aplicación o incluso clústeres específicos de clientes será infructuosa.

Tendrá que aplicarlos usted mismo. Si ya existen objetos de archivo, los periodos de conservación pueden "personalizarse".

Prueba de destrucción de datos

Dependiendo de la complejidad de los requisitos y de la masa de datos que haya que destruir, la implantación de la destrucción de datos en sistemas productivos puede requerir mucho tiempo y recursos. Por eso es aconsejable realizar primero pruebas en un sistema separado, si es necesario creado especialmente para este proyecto. Esto también permite identificar y eliminar los riesgos en una fase temprana. En cuanto al tiempo de ejecución, a menudo se ha recomendado reunir pequeños paquetes en lugar de intentar destruir muchos datos en una sola ejecución.

Llevar a cabo la destrucción de datos

El archivo debe ser un proceso continuo. Dependiendo del tamaño de la empresa, puede automatizarse en momentos predefinidos o ser activado de forma flexible por el departamento especializado en función de las necesidades.A continuación encontrará una representación esquemática de la estructura del proyecto aquí descrita.

Conclusión

A primera vista, el proyecto "destrucción de datos" parece más explosivo de lo que realmente es. Como suele ocurrir, una vez que se han resuelto los requisitos técnicos previos y existe la voluntad de tratar este tema junto con la actividad diaria, la implantación de SAP ILM suele ser uno de los proyectos más pequeños. Una vez implantado, se puede utilizar con regularidad, de modo que ya no se plantea la cuestión de un posible almacenamiento de datos no conforme a la ley o de un rendimiento deficiente del sistema debido a datos del sistema sobredimensionados que en realidad ya no se necesitan.

https://e3magpmp.greatsolution.dev/partners/cth-consult-team-hamburg-gmbh/

avatar
Gernot Voßpeter, CTH Consult

Gernot Vosspeter es Director del Centro de Competencia SAP ERP HCM en CTH Consult.


Todos los artículos del autor

Escriba un comentario

Como dominar los retos de la transformación

Los males del joven CIO

La IA debe considerarse una iniciativa de equipo

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.