Informazioni generali sul Regolamento generale sulla protezione dei dati dell'UE

Dal 25 maggio di quest'anno, il Regolamento generale sulla protezione dei dati (GDPR) si applicherà direttamente in tutti gli Stati membri dell'Unione Europea. L'attuale legge sulla protezione dei dati sarà armonizzata e sostituita da un quadro giuridico europeo uniforme. Tuttavia, il GDPR contiene anche un gran numero di clausole di apertura che lasciano ai legislatori nazionali un certo margine di manovra per quanto riguarda l'attuazione del regolamento.

La legge sulla protezione dei dati dell'Assia è stata rivista alla fine di aprile 2016 e integrata per includere la libertà di informazione (HDSIG); in particolare, disciplina le questioni relative alla videosorveglianza e alla protezione dei dati dei dipendenti.

Per conformarsi ai requisiti del GDPR, le università dell'Assia, in quanto enti pubblici, devono adattare e sviluppare ulteriormente le strutture e i processi esistenti in modo tempestivo.

Tuttavia, se i requisiti di protezione dei dati sono stati rispettati fino ad oggi, non ci si devono aspettare cambiamenti fondamentali nel trattamento dei dati all'interno dell'università, ma ci sono maggiori requisiti di trasparenza e, in particolare, di informazione degli interessati, che si riflettono, ad esempio, nella nuova dichiarazione di protezione dei dati di h_da e nelle dichiarazioni di protezione dei dati per i consensi, ecc.

Nei settori in cui il trattamento dei dati viene effettuato solo per svolgere le operazioni di studio necessarie, è particolarmente importante verificare se il principio già esistente della "necessità" del trattamento dei dati viene rispettato anche ai sensi del GDPR (privacy by design e by default).

• La portata degli obblighi di informazione e divulgazione nei confronti degli studenti è stata estesa (artt. 13-15 GDPR). Ai sensi dell'art. 12 par. 1 del GDPR, gli interessati (in questo caso gli studenti) devono essere informati sul trattamento dei loro dati personali in una "forma precisa, trasparente, comprensibile e facilmente accessibile, in un linguaggio semplice e chiaro".
  
  
• Anche gli altri diritti degli interessati sono stati ampliati rispetto alla legge precedente. Un nuovo diritto è quello alla portabilità dei dati (art. 20 GDPR).
  
  
• Il GDPR prevede un ampliamento degli obblighi di documentazione e verifica. Ciò riguarda, tra l'altro, la prova del rispetto dei principi di protezione dei dati (art. 5 par. 2 GDPR), le necessarie misure tecniche e organizzative (art. 24 GDPR) e l'utilizzo di idonei incaricati del trattamento (art. 28 GDPR). Ulteriori obblighi di documentazione derivano dall'Art. 30 GDPR (tenuta del registro dei trattamenti) e dall'Art. 33 GDPR (documentazione degli incidenti di protezione dei dati).
  
  
• Il consenso dei dipendenti è efficace solo a determinate condizioni (art. 23 HDSIG).
  
  
• Se il trattamento può comportare un rischio elevato per i diritti e le libertà personali degli studenti, in futuro l'università dovrà effettuare una valutazione d'impatto sulla protezione dei dati (art. 35 GDPR). La valutazione d'impatto sulla protezione dei dati sostituisce lo strumento del controllo preventivo, precedentemente disciplinato dalla sezione 7 della legge sulla protezione dei dati dell'Assia. Deve essere preparata dal responsabile del trattamento; il responsabile della protezione dei dati ha solo un ruolo consultivo. Nell'ambito della valutazione d'impatto sulla protezione dei dati, è necessario valutare la probabilità di accadimento e la gravità dei possibili rischi ed esaminare le misure per limitarli. Se necessario, l'università deve consultare preventivamente l'autorità di vigilanza (art. 36 GDPR).
  
  
• L'art. 25 del GDPR disciplina i principi della "protezione dei dati per progettazione e per impostazione predefinita". Di conseguenza, l'università deve progettare i propri sistemi informatici in modo tale che i principi dell'art. 5 comma 1 del GDPR (principi del trattamento dei dati personali) siano effettivamente attuati. Ciò vale in particolare per il principio della minimizzazione dei dati. Di conseguenza, possono essere raccolti solo i dati necessari per raggiungere lo scopo. Inoltre, i sistemi informatici devono essere impostati in modo tale da elaborare solo i dati personali necessari.
  
  
• Lo strumento del trattamento dei dati su commissione rimane (art. 28 GDPR). Tuttavia, il ruolo dell'incaricato del trattamento cambia per quanto riguarda la potenziale responsabilità e l'obbligo di pagare multe. I contratti esistenti dovrebbero essere rivisti il prima possibile per verificare l'eventuale necessità di adeguamento indotta dal GDPR.
  
  
• Inoltre, l'art. 82 del GDPR estende la responsabilità civile per le violazioni della protezione dei dati al risarcimento dei danni morali.
  
  
• Per la prima volta è stato introdotto un obbligo di segnalazione e notifica anche per gli enti pubblici (art. 33 e seguenti del GDPR).

(Informazioni aggiornate dal Commissario per la protezione dei dati dell'Assia)