Información general sobre el Reglamento General de Protección de Datos de la UE

A partir del 25 de mayo de este año, el Reglamento General de Protección de Datos (RGPD) se aplicará directamente en todos los Estados miembros de la Unión Europea. La actual ley de protección de datos se armonizará y sustituirá por un marco jurídico europeo uniforme. Sin embargo, el GDPR también contiene un gran número de cláusulas de apertura que dan a los legisladores nacionales un cierto margen de maniobra con respecto a la aplicación del reglamento.

La Ley de Protección de Datos de Hesse se revisó a finales de abril de 2016 y se completó para incluir la libertad de información (HDSIG); en particular, regula cuestiones relacionadas con la videovigilancia y la protección de datos de los empleados.

Para cumplir los requisitos del GDPR, las universidades de Hesse, como organismos públicos, deben adaptar y seguir desarrollando oportunamente las estructuras y procesos existentes.

Sin embargo, no cabe esperar cambios fundamentales en el tratamiento de datos en la universidad si hasta la fecha se han cumplido los requisitos de protección de datos, pero sí mayores requisitos de transparencia y, en particular, de información a los afectados, que se reflejan, por ejemplo, en la nueva declaración de protección de datos de h_da y en las declaraciones de protección de datos para consentimientos, etc.

En los ámbitos en los que el tratamiento de datos solo se lleva a cabo para cumplir las operaciones de estudio necesarias, es especialmente importante comprobar si el principio ya existente de la "necesidad" del tratamiento de datos también se cumple en virtud del RGPD (privacidad desde el diseño y por defecto).

• Se ha ampliado el alcance de las obligaciones de información y divulgación para con los estudiantes (art. 13-15 del RGPD). Según el apartado 1 del artículo 12 del RGPD, los interesados (es decir, los estudiantes en este caso) deben ser informados sobre el tratamiento de sus datos personales de forma "precisa, transparente, comprensible y fácilmente accesible en un lenguaje sencillo y claro".
  
  
• Los demás derechos de los interesados también se han ampliado con respecto a la ley anterior. Uno de los nuevos es el derecho a la portabilidad de los datos (art. 20 del RGPD).
  
  
• El RGPD establece obligaciones ampliadas de documentación y verificación. Esto se refiere, entre otras cosas, a la prueba del cumplimiento de los principios de protección de datos (Art. 5 párrafo 2 GDPR), las medidas técnicas y organizativas necesarias (Art. 24 GDPR) y el uso de procesadores adecuados (Art. 28 GDPR). Otras obligaciones de documentación se derivan del artículo 30 del RGPD (mantenimiento de un registro de tratamiento) y del artículo 33 del RGPD (documentación de incidentes relacionados con la protección de datos).
  
  
• El consentimiento de los empleados sólo es efectivo en determinadas condiciones (art. 23 HDSIG).
  
  
• Si es probable que el tratamiento suponga un alto riesgo para los derechos y libertades personales de los estudiantes, la universidad deberá realizar en el futuro una evaluación de impacto de la protección de datos (Art. 35 GDPR). La evaluación de impacto sobre la protección de datos sustituye al instrumento de control previo, regulado anteriormente en el artículo 7 de la Ley de Protección de Datos de Hesse. El responsable del tratamiento debe elaborarla; el delegado de protección de datos sólo tiene aquí una función consultiva. Como parte de la evaluación de impacto de la protección de datos, debe evaluarse la probabilidad de ocurrencia y la gravedad de los posibles riesgos, y deben examinarse las medidas para limitarlos. En caso necesario, la universidad debe consultar previamente a la autoridad de control (art. 36 del GDPR).
  
  
• El artículo 25 del GDPR regula los principios de "protección de datos desde el diseño y por defecto". En consecuencia, la universidad debe diseñar sus sistemas informáticos de forma que se apliquen efectivamente los principios del art. 5, apdo. 1 del GDPR (principios del tratamiento de datos personales). Esto se aplica en particular al principio de minimización de datos. En consecuencia, sólo se recopilarán los datos necesarios para cumplir la finalidad perseguida. Además, los sistemas informáticos deben estar preconfigurados de tal manera que sólo se procesen los datos personales necesarios.
  
  
• Se mantiene el instrumento del tratamiento de datos por encargo (art. 28 del RGPD). Sin embargo, el papel del encargado del tratamiento cambia en lo que respecta a la responsabilidad potencial y la obligación de pagar multas. Los contratos existentes deben revisarse lo antes posible para detectar cualquier necesidad de ajuste desencadenada por el GDPR.
  
  
• Además, el artículo 82 del RGPD amplía la responsabilidad civil por violaciones de la protección de datos para incluir la indemnización por daños inmateriales.
  
  
• Por primera vez, también se ha introducido una obligación de información y notificación para los organismos públicos (art. 33 y ss del RGPD).

(Información revisada del Comisario de Protección de Datos de Hesse)