Cumplir con el mandato del GDPR

Cómo las soluciones de SAP y SAP Ariba pueden dar soporte al recorrido de su organización hacia el cumplimiento del GDPR

I. Introducción

En mayo de 2016, la Unión Europea (UE) adoptó una ley de protección de datos armonizada llamada el Reglamento General de Protección de Datos (GDPR). A partir del 25 de mayo de 2018, el GDPR entrará en vigencia en todos los países miembros de la UE y en el Espacio Económico Europeo. Si bien el GDPR no introduce muchos conceptos sustancialmente nuevos, aumenta sustancialmente los requisitos de cumplimiento para controladores y procesadores de datos, con respecto a su manejo de los datos personales.

Como empresa, SAP está comprometida a asegurar el cumplimiento con el GDPR para el 25 de mayo de 2018. SAP ha sido consistente en su enfoque sobre la protección de los datos como parte de sus estándares generales de producto, y esto ahora se está extendiendo para reflejar los nuevos requerimientos del GDPR.

Mientras los clientes se preparan para el cumplimiento, SAP ha establecido un resumen de los cambios introducidos por el GDPR, las implicaciones de estos cambios y cómo las características de producto de SAP pueden ayudar a los clientes a implementar los requisitos del GDPR.

Como parte de SAP, SAP Ariba está adoptando un enfoque proactivo para apoyar a los clientes en el cumplimiento del GDPR, y la segunda mitad de este documento informativo esboza funcionalidades específicas de la solución de SAP Ariba y el soporte disponible para ayudarlos a hacerlo.

La información contenida en este documento es solo para orientación general y se brinda comprendiendo que SAP no se compromete a prestar asesoramiento legal. La responsabilidad de adoptar las medidas apropiadas para lograr el cumplimiento del GDPR recae sobre los clientes como controladores en términos del GDPR, y SAP no asume responsabilidad por ninguna de las acciones hechas como respuesta a este documento informativo. Como tal, no deberá ser utilizado como reemplazo de una consulta legal o profesional.

II. Objetivos

El GDPR apunta a armonizar los requisitos de protección de datos en toda Europa en una única reglamentación. Está dirigido a organismos corporativos regidos por el derecho público y el derecho privado en su calidad de controladores o procesadores. La nueva ley busca proteger los derechos y las libertades de las personas físicas, para mejorar la confianza de los sujetos de datos en las organizaciones que poseen o procesan sus datos personales, y para fortalecer el mercado interno de la UE. A tal efecto, el GDPR proporciona un conjunto de normas que rigen el procesamiento de datos personales en toda la UE. El grado de armonización en toda la UE alcanzable por el GDPR está, sin embargo, restringido en la medida en la que el reglamento contiene las así llamadas cláusulas abiertas que les permiten a los estados miembros de la UE establecer leyes y requisitos específicos de cada país para actividades específicas de procesamiento de datos. Estas cláusulas abiertas, por ende, podrían resultar en la aplicación de normas y obligaciones adicionales para los controladores y procesadores de datos, pero no en un cambio o alteración de la regulación original.

III. Alcance material

El GDPR tiene un amplio alcance material que cubre el procesamiento de datos personales por medios automatizados o de otro modo estructurados, inclusive aquellos destinados a ser parte de un sistema de archivo. Esta distinción se torna clara a medida que el GDPR establece que no se aplica cuando las personas físicas procesan datos personales durante una actividad puramente personal, privada o doméstica.

IV. Alcance territorial

Asimismo, el GDPR tiene un amplio alcance territorial y se aplica a cualquier actividad de un controlador o procesador de datos en la UE que implique el procesamiento de datos personales de un individuo. En esto es fundamental si el controlador o procesador está ubicado en la UE. El GDPR también se aplica a controladores o procesadores ubicados fuera de la UE cuando el procesamiento sirva para ofrecer bienes o servicios a sujetos de datos que residan en la UE o para monitorear el comportamiento de los sujetos de datos que residen en la UE.

V. Disposiciones clave

El GDPR introduce varios nuevos requisitos legales que podrían afectar sustancialmente el negocio de un controlador o procesador. Por lo tanto, cada controlador o procesador debe verificar cuáles obligaciones del GDPR aplican a ellos y también deben cerciorarse de cómo implementarlas de manera correcta.

Principios generales

De conformidad con sus principios generales de procesamiento, el GDPR requiere que el procesamiento de datos personales sea legal, proporcionado, transparente, adecuado, preciso, seguro, confidencial, limitado en el tiempo, con propósitos definidos, y llevado a cabo de manera responsable y justificable (lo cual significa aplicar las medidas de seguridad adecuadas —inclusive medidas técnicas y organizacionales— para garantizar la integridad y confidencialidad.

Datos personales

El GDPR define explícitamente qué quiere decir con el término "datos personales": cualquier dato que se relaciona con un individuo identificado o identificable. El Artículo 4(1) del GDPR establece: "una persona física identificable es la que puede ser identificada, directa o indirectamente, particularmente mediante la referencia a un identificador tal como nombre, número de identificación, datos de ubicación, un identificador on-line o a uno o más factores específicos para la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física". El término claramente incluye los metadatos u otros datos asociados tales como direcciones de IP, cookies u otros identificadores –también una combinación de tales datos– que puedan rastrear a un individuo. El GDPR ha ampliado el catálogo conocido de las categorías especiales de datos personales para que incluyan los datos genéticos, datos biométricos si se utilizan para identificar particularmente a una persona física, y datos relacionados con condenas o delitos penales.

Legalidad

Procesar datos personales será legal solo si uno de los criterios de permiso se cumple, según se expone en el GDPR. En ausencia de autorización legal directa, las organizaciones requieren del consentimiento de los individuos cuyos datos procesan. Dicho consentimiento debe cubrir todos los propósitos para los que las organizaciones (que pretenden procesar los datos) recopilan y procesan los datos y debe permitir el derecho del individuo a revocar el consentimiento en cualquier momento. Esto significa que el consentimiento general o global para varios propósitos no específicos no es válido para el procesamiento de datos personales.

Responsabilidad

El GDPR busca mejorar la responsabilidad de aquellos que procesan datos personales y aumentar la transparencia de los datos que son procesados. A pesar de su similitud en esencia y estructura con la actual directiva de la UE, el GDPR tendrá una línea mucho más marcada para ayudar con el cumplimiento. Las penalidades por incumplimiento son marcadamente altas, incluyendo multas administrativas de hasta el 4% del ingreso anual global o €20 M, lo que sea más grande, y con potenciales reclamos por daños y otros riesgos de responsabilidad legal diseñados para incentivar a las empresas a optimizar sus estructuras y procesos internos para cumplir con el reglamento.

Protección de datos por diseño y por defecto

Bajo los términos del GDPR, la privacidad debe estar incorporada de manera deliberada y adoptarse por defecto tanto en los sistemas como en los procesos. Las organizaciones están obligadas a garantizar que el procesamiento de los datos personales sea para un propósito específico, y las organizaciones deben demostrar que la protección de datos es parte esencial de su marco de TI y de diseño de soluciones.

Seguridad técnica y organizacional

Estos organismos también están obligados a implementar todas las medidas técnicas y organizacionales (TOM) necesarias para asegurar un nivel de seguridad apropiado de acuerdo al riesgo del procesamiento para los sujetos de datos. Por lo tanto, es necesario analizar el entorno de activos y procesos internos de TI para identificar y mapear los flujos de datos que incluyen datos personales. Esto ayudará a cerciorar la pertinencia del marco de seguridad.

Derechos del sujeto de datos

Guiados por el concepto de que el individuo debe saber y siempre ser capaz de identificar qué datos personales son procesados, por quién, para qué propósitos y durante qué período de tiempo, los controladores de datos deberán proporcionar activamente cierta información general y específica; esto está en conformidad con los conceptos revisados del GDPR sobre portabilidad de datos y con los derechos del individuo a acceder, rechazar u objetar, o ser olvidado. Las organizaciones involucradas en procesar datos personales requerirán, por lo tanto, de procesos internos robustos con roles designados.

Control de datos

Las organizaciones deben implementar una serie de mediciones sistémicas para reducir el riesgo de incumplimiento –como controladores de datos, los clientes deben demostrar a los sujetos de datos y a los reguladores que cumplen con la regulación aplicable, y como procesador de datos, SAP debe demostrar lo mismo a los clientes. La complejidad crece cuando los organismos necesitan mantener el seguimiento de cada propósito para el cual se procesan los datos personales y cuando deben asegurarse de que todos los individuos hayan dado su consentimiento para cada caso de uso del procesamiento de datos. Estas medidas deben estar incorporadas en las existentes infraestructuras de TI. Dependiendo del resultado de la evaluación de riesgo de la protección de datos de una empresa, medidas como la designación de un ejecutivo de protección de datos dedicado, la ejecución de evaluaciones de impacto en la privacidad y la adopción de procesos de auditoría regulares ayudarán a mantener el cumplimiento.

Notificación de incumplimiento

Esto es cuando algo sale mal –cuando las medidas internas de la organización no evitaron un incumplimiento de datos o si se halló que el procesamiento de datos personales está fuera de un propósito legal. En caso de un incumplimiento de datos, los controladores de datos deben notificar a la autoridad de supervisión y a los individuos afectados dentro de las 72 horas luego de tomar conocimiento de la situación. Los procesadores de datos deben informar a los controladores de datos sin demoras indebidas luego de tomar conocimiento de un incumplimiento de datos personales.

VI. Rol de las soluciones y servicios de SAP Ariba

Las soluciones de SAP Ariba ayudarán a que los clientes logren cumplir con el GDPR de múltiples maneras. Por ejemplo:

  • Las soluciones de SAP Ariba brindan soporte a la gestión y protección de los datos de empleados y proveedores, incluyendo la accesibilidad y visibilidad de los datos, de manera que los equipos de compras y cadena de suministro de los clientes pueden enfocarse en las tareas del negocio.

  • Con SAP Ariba, el cliente puede fortalecer y proteger la colaboración crítica con sus proveedores, gestionando todo desde el abastecimiento hasta el pago.

  • SAP Ariba brinda soporte a las demandas de responsabilidad, seguridad y protección de datos de la organización.

Roles y definiciones del GDPR en relación con los servicios de SAP Ariba

Controlador de datos: el Artículo 4(7) del GDPR establece: "'controlador' significa la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los propósitos y medios del procesamiento de datos personales" (énfasis añadido).

En general, el controlador asume la responsabilidad por todos los datos personales recopilados y debe garantizar que los derechos del sujeto de datos y las obligaciones legales propias del controlador también estén cubiertos por el procesador.

  • Los clientes de SAP Ariba son controladores de datos cuando utilizan las aplicaciones de SAP Ariba. SAP Ariba actúa como procesador de datos en nombre del cliente por medio del contrato (como el acuerdo de protección de datos, la descripción del servicio o el acuerdo de trabajo).

  • Los proveedores de SAP Ariba son controladores de datos, pues son completamente responsables por los datos personales ingresados en Ariba Network, por ejemplo mediante autorregistro.

Procesador de datos:el Artículo 4(8) del GDPR establece: "'procesador' significa la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que procesa datos personales en nombre del controlador"(énfasis añadido).

En general, a esto se refiere el procesamiento de datos basado en las instrucciones del controlador de datos según el contrato.

  • SAP Ariba como proveedor de soluciones en la nube para clientes y proveedores es el procesador de datos para los clientes y proveedores (que son los controladores de datos).

Soluciones de SAP Ariba y datos personales

  • Categorías de datos personales: las soluciones de SAP Ariba solo procesan información simple de contacto de negocios sobre los individuos como usuarios o contactos de negocio, tales como sus direcciones de correo electrónico, número de empleado, nombre del empleado, teléfono comercial y dirección postal.

  • Categorías especiales de datos personales: la declaración de privacidad de SAP Ariba prohíbe el uso de las soluciones para el procesamiento de categorías especiales de datos personales.

  • Transferencia de datos entre fronteras:SAP Ariba mantiene acuerdos de transferencia de datos con afiliados y subprocesadores de SAP/SAP Ariba que cumplen con los requisitos de la UE para la transferencia transfronteriza de datos personales. Estos acuerdos se basan en las cláusulas contractuales estándar (SCC) de la UE, que cumplen equitativamente con el GDPR para garantizar un nivel adecuado de protección de datos en el caso de transferencias de datos a terceros de países de fuera de la UE.

  • Encriptación: los datos personales están encriptados a nivel de almacenamiento, toda la comunicación externa está encriptada y las políticas de seguridad correspondientes está funcionando.

Cómo SAP Ariba brinda soporte a los clientes como procesador de datos

  • SAP Ariba implementa TOM apropiadas en términos de responsabilidad y tecnología manteniendo registros de las actividades de procesamiento, conduciendo evaluaciones del impacto de la privacidad e incorporando privacidad por diseño y por defecto dentro de los ciclos de producto. 

  • SAP Ariba se adhiere al enfoque unificado de SAP para todas las soluciones en la nube aplicando el acuerdo de procesamiento de datos (DPA) como una parte sustancial del contrato de cliente, que incorpora las cláusulas contractuales estándar (SCC) para ofrecer garantías de protección de datos a los clientes.

  • A los empleados de SAP Ariba se les exige que anualmente aprueben capacitaciones de concientización sobre seguridad/privacidad que cubren principios de privacidad y temas de seguridad.

  • SAP se compromete a ayudar a los clientes a comprender cómo las soluciones de SAP Ariba protegen la confidencialidad, integridad y disponibilidad de sus datos y ofrecen responsabilidad continua publicando proactivamente información de SAP Ariba sobre certificaciones y constancias, acuerdos de procesamiento de datos, disponibilidad en tiempo real de la solución en la nube, y áreas similares en el SAP Cloud Trust Center.

Características de las soluciones de SAP Ariba que dan soporte a la preparación para el GDPR

  • Consentimiento: las soluciones de SAP Ariba capturan el consentimiento y el reconocimiento del usuario para los avisos de privacidad antes de permitir el uso por nuevos usuarios. Esto incluye, por ejemplo, el propósito del procesamiento y las categorías de datos personales que son procesados. SAP Ariba está revisando mecanismos de consentimiento integrados tales como declaraciones de privacidad configurables por los clientes. Las soluciones también son compatibles con el opt-out de autoservicio, de manera que los destinatarios pueden cancelar la suscripción a comunicaciones no deseadas tales como notificaciones por correo electrónico.

  • Derecho a ser olvidado:las soluciones orientadas al comprador ponen la gestión de usuarios y roles en manos del administrador del cliente. SAP Ariba también está revisando características para la eliminación y retención de datos personales, tales como la eliminación y anonimización de datos personales. De todos modos, la eliminación de los datos generales del cliente se realiza con la terminación del contrato.

  • Derecho a rectificación: los usuarios de las soluciones de SAP Ariba pueden editar o corregir sus datos personales en perfiles de usuario dentro del sistema en cualquier momento.

  • Transparencia: las soluciones de SAP Ariba ofrecen visibilidad sobre los datos personales y las preferencias de un usuario. SAP Ariba también está revisando las características del administrador para dar soporte a la exportación de datos de usuario en un formato estándar y cómodo a la vista para los registros de cambio.

  • Control de autorización y divulgación: las soluciones de SAP Ariba permiten a los clientes gestionar la autorización, la autentificación y el acceso basado en roles para empleados, contratistas y terceros. Características detalladas de ticketing y flujo de trabajo ayudan a los nuevos usuarios administradores de SAP Ariba a adaptar el acceso del usuario a roles cambiantes y a gestionar los usuarios inactivos.

  • Privacidad por diseño y por defecto: el desarrollo de productos de SAP Ariba sigue los lineamientos de SAP para requisitos estándar de seguridad de los productos. Se aplican principios de privacidad adicionales en la fase de diseño, tales como la práctica de recopilación limitada de datos personales. Las configuraciones estándar se establecen en el máximo restringido, y cubren:

  • Eliminación de la información personal identificable (PII) con la terminación del contrato y a pedido

  • Consentimiento a la notificación de privacidad (personalizable)

  • Registro a nivel de campos y acceso a registros

  • Visibilidad, edición y portabilidad de PII

  • Tiempo de retención configurable y procesamiento restringido

  • Opt-in/opt-out y registro de autoservicio

  • Mecanismos estándar de la industria para acceso, autentificación, autorización y encriptación de datos

Servicios de SAP Ariba que dan soporte a la preparación para el GDPR

  • Notificación de incumplimiento de datos: en caso de incumplimiento de datos personales, los servicios de SAP Ariba ofrecen un soporte completo para cumplir con las obligaciones de notificar los incumplimientos de datos sin demora indebida. SAP Ariba ofrece un proceso de punta a punta desde el reconocimiento de un incumplimiento hasta la notificación al cliente.

  • Derechos del sujeto de datos: los servicios de SAP Ariba brindan soporte al cliente en cuestiones relacionados con la privacidad y ofrecen asistencia cuando los clientes tienen la obligación de responder al ejercicio de los derechos de un individuo o por obligaciones relacionadas con la seguridad de información personal.

  • Transparencia: los servicios de SAP Ariba brindan soporte a los clientes relacionados con cumplir con su obligación de mantener registros de las actividades de procesamiento, ofreciendo el componente de SAP Ariba en total cumplimiento con los requisitos del GDPR para los procesadores de datos. SAP Ariba también conduce evaluaciones de impacto de protección de datos (DPIA) para los nuevos productos/servicios (innovaciones) y los cambios a los productos/servicios regulares en el ciclo de lanzamiento.

  • Responsabilidad: SAP Ariba ofrece garantías mediante actividades de responsabilidad continuas, tales como certificación regular, evaluación de riesgos y evaluación de seguridad de aplicaciones, redes e infraestructura de TI; programas y políticas de seguridad documentados; y capacitaciones regulares sobre seguridad.

  • Cumplimiento del subprocesador: SAP Ariba garantiza el cumplimiento continuo del subprocesador mediante el escrutinio del contrato del subprocesador y evaluaciones de riesgo de seguridad usando los procesos de compra corporativos estándar de SAP, incluidos los acuerdos de protección de datos que regulan la protección de datos personales. Regularmente, se ofrece y actualiza una lista de los subprocesadores aprobados para clientes.

VII. Información adicional

Para más información sobre GDPR, puede acceder al SAP Cloud Trust Center, explorar documentos relacionados con el GDPR en el sitio web de la Comisión Europea o revisar el manual de legislación europea de protección de datos.

Para preguntas específicas relacionadas con su cuenta y cualquier acuerdo o contrato existente de SAP Ariba, por favor contacte a su representante.

Descargue una versión en PDF de esta información