¿Qué debes exigir a tu ERP para cumplir con el RGPD? - ERP Spain.com - España y América Latina

Publicamos artículo de Jordi Solé Beteta, Responsable de HCM de ekon (Unit4) relativo al cumplimiento de la RGPD en los ERPs.

Autor: Jordi Solé Beteta

Responsable de HCM en ekon (Unit4)

En un ERP pueden existir más de 20.000 campos con datos personales. Estar preparado para el RGPD empieza por identificar cuáles son esos campos. De acuerdo al RGPD, para tener identificados todos los datos personales, tu ERP debe incluir un indicativo en todos los campos de la base de datos que contienen datos personales o categorías especiales de datos personales, según la definición de dato personal en el nuevo reglamento. E incluir, también, herramientas para el análisis de esta información.

El nuevo reglamento general de protección de datos introduce dos principios innovadores: la responsabilidad proactiva y el enfoque de riesgo. Se describe el principio de responsabilidad proactiva como una obligación legal, que supone que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento, por lo que la disponibilidad de evidencias que demuestren que se han adoptado estas medidas adecuadas para el cumplimiento del reglamento, cobra especial importancia.

Por tanto, tu sistema debe incluir herramientas para cumplir con estos dos principios. Estas herramientas deben auditar y verificar toda la configuración de tu instalación en lo referente a la seguridad de los datos personales, corrigiendo todas las debilidades, riesgos y amenazas encontradas. Además, sería interesante que te indicaran cómo hacer cada uno de los ajustes necesarios para garantizar que se han tomado las medidas técnicas apropiadas en la configuración del ERP, tal y como indica la normativa. Estas herramientas pueden utilizarse periódicamente para revisar el estado de la configuración.

Otra novedad del nuevo reglamento es el artículo referente a la Protección de datos desde el diseño y por defecto, también como una obligación legal, lo que es igual a decir que las organizaciones deben integrarla en cada nivel de su negocio e incorporarla a sus procesos, durante todo el ciclo de vida de cualquier actividad comercial, recomendando el cifrado de datos (seudonimización) como una medida técnica adecuada.

En la situación ideal, deberías asegurarte que tu ERP lleva incorporado en su ADN esta protección de datos desde el diseño y por defecto. La Seudonimización, mediante el cifrado de datos, sin necesidad de ninguna configuración adicional, los usuarios sin permiso para tratar datos personales los verán seudonimizados. Por ejemplo, al acceder a un empleado, todos los datos personales (nombre, apellidos, número de la seguridad social, bajas IT, etc.) estarán cifrados para los usuarios sin permiso.

Se incluyen nuevos derechos para los interesados, además de los ya existentes en la LOPD (derecho al acceso, a la rectificación, a la oposición y a la cancelación):

• Derecho a la transparencia de la información
• Derecho de supresión (derecho al olvido)
• Derecho de limitación del tratamiento               
• Derecho de portabilidad

Tu solución de gestión empresarial debe incluir una nueva gestión de Derechos ejercidos por los interesados, para el registro de los derechos que se han ejercido. La solución debe avisar en los puntos más importantes cuando se gestionen datos de un interesado que ha ejercido un derecho, ayudando, así, a prevenir cualquier incumplimiento de la normativa en lo referente a los derechos ejercidos por los interesados.

Como parte del principio general de responsabilidad activa, el responsable y el encargado del tratamiento deben llevar un Registro de actividades. En el Reglamento se detallan los datos que se deben recoger en este registro, y se excluye de esta obligación a las empresas con menos de 250 trabajadores.

Además, debe incluir herramientas para hacer el seguimiento, verificación y análisis de los tratamientos de datos personales. De esta forma, permitirá consultar todos los accesos y modificaciones de datos personales. Sin necesidad de configuración adicional, debe registrar cualquier acceso o cambio que se haya hecho en un campo con datos personales, dando información del usuario que ha realizado el cambio, los valores antes y después de la modificación, y la fecha y hora en la que se ha realizado.

Un programa de gestión empresarial que genere informes de actividad 360º debe permitir consultar el registro de actividades de datos personales, y gestionar las evidencias técnicas aplicadas al ERP. El reglamento especifica que han de demostrarse estas medidas aplicadas (protección de datos desde el diseño y por defecto), y herramientas como esta las proporcionarían automáticamente. Detallando toda la actividad referente a datos personales realizada por un usuario entre dos fechas, todos los tratamientos de los usuarios en un periodo de tiempo, la actividad realizada sobre un objeto del ERP, como por ejemplo todos los cambios realizados en los datos de un empleado, contacto, paciente, etc.