En un ERP poden existir més de 20.000 camps amb dades personals. Amb el nou reglament europeu de protecció de dades això pot ser un veritable caos per a les empreses.
D’acord amb el RGPD, per tenir identificats totes les dades personals, la teva ERP ha d’incloure un indicatiu en tots els camps de la base de dades que contenen dades personals o categories especials de dades personals, segons la definició de dada personal en el nou reglament. I incloure, també, eines per a l’anàlisi d’aquesta informació.
El nou reglament general de protecció de dades introdueix dos principis innovadors: la responsabilitat proactiva i l’enfocament de risc.
Per tant, el teu sistema ha d’incloure eines per complir amb aquests dos principis. Aquestes eines han d’auditar i verificar tota la configuració de la teva instal·lació referent a la seguretat de les dades personals, corregint totes les febleses, riscos i amenaces oposades. A més, seria interessant que t’indiquessin com fer cadascun dels ajustos necessaris per garantir que s’han pres les mesures tècniques apropiades en la configuració del ERP, tal com indica la normativa. Aquestes eines poden utilitzar-se periòdicament per revisar l’estat de la configuració.
Una altra novetat del nou reglament és l’article referent a la Protecció de dades des del disseny i per defecte, també com una obligació legal, la qual cosa és igual a dir que les organitzacions han d’integrar-la en cada nivell del seu negoci i incorporar-la als seus processos, durant tot el cicle de vida de qualsevol activitat comercial, recomanant el xifrat de dades (seudonimización) com una mesura tècnica adequada.
En la situació ideal, la teva empresa hauria d’assegurar-se que la seva ERP porta incorporat en el seu ADN aquesta protecció de dades des del disseny i per defecte. La Seudonimización, mitjançant el xifrat de dades, sense necessitat de cap configuració addicional, els usuaris sense permís per tractar dades personals els veuran seudonimizados. Per exemple, en accedir a un empleat, totes les dades personals (nom, cognoms, nombre de la seguretat social, baixes IT, etc.) estaran xifrats per als usuaris sense permís.
S’inclouen nous drets per als interessats, a més dels ja existents en la LOPD (dret a l’accés, a la rectificació, a l’oposició i a la cancel·lació):
Dret a la transparència de la informació
Dret de supressió (dret a l’oblit)
Dret de limitació del tractament
Dret de portabilitat
La solució de gestió empresarial ha d’incloure una nova gestió de Drets exercits pels interessats, per al registre dels drets que s’han exercit. Així mateix ha d’avisar en els punts més importants quan es gestionin dades d’un interessat que ha exercit un dret, ajudant, així, a prevenir qualsevol incompliment de la normativa referent als drets exercits pels interessats.
Com a part del principi general de responsabilitat activa, el responsable i l’encarregat del tractament han de portar un Registre d’activitats. En el Reglament es detallen les dades que s’han de recollir en aquest registre, i s’exclou d’aquesta obligació a les empreses amb menys de 250 treballadors.
A més, ha d’incloure eines per fer el seguiment, verificació i anàlisi dels tractaments de dades personals. D’aquesta forma, permetrà consultar tots els accessos i modificacions de dades personals. Sense necessitat de configuració addicional, ha de registrar qualsevol accés o canvi que s’hagi fet en un camp amb dades personals, donant informació de l’usuari que ha realitzat el canvi, els valors abans i després de la modificació, i la data i hora en la qual s’ha realitzat.
Un programa de gestió empresarial que generi informes d’activitat 360º ha de permetre consultar el registre d’activitats de dades personals, i gestionar les evidències tècniques aplicades al ERP. El reglament especifica que han de demostrar-se aquestes mesures aplicades (protecció de dades des del disseny i per defecte), i eines com aquesta les proporcionarien automàticament. Detallant tota l’activitat referent a dades personals realitzada per un usuari entre dues dates, tots els tractaments dels usuaris en un període de temps, l’activitat realitzada sobre un objecte del ERP, com per exemple tots els canvis realitzats en les dades d’un empleat, contacte, pacient, etc.
Les eines ekon RGPD inclouen totes aquestes millores, per defecte i des del disseny, i t’aportaran els següents beneficis en el procés d’adaptació al RGPD:
Reducció dels costos d’adaptació al RGPD
Estalvi de temps d’implantació
Seguretat d’empleno del RGPD, i en data
Automatització de processos per recollir evidencies
Autonomia i simplificació de la implantació
Eines pel DPO, el Responsable i l’Encarregat del tractament, per al compliment de la normativa
Prevenció d’errors en el procés d’adaptació de la teva ERP a la nova normativa
D’aquesta forma assegurem que les empreses que decideixin implementar una solució ERP de ekon compliran amb tota la reglamentació des del minut zero i així es beneficiaran de no incórrer en cap error i per tant en possibles multes.
Tens pensat implantar un projecte de ERP en la teva empresa? Aquestes de sort perquè a través d’aquest artícle estem segurs que podem a ajudar-te a prendre una gran decisió.