Il procedimento GDPR contro Volkswagen si conclude in modo piuttosto curioso. Il gruppo automobilistico si oppone sia a un Fine di 4,3 milioni di euro e contro diversi avvertimenti emessi dal Commissario di Stato per la protezione dei dati. Protezione dei dati Bassa Sassonia (LfD). Il Tribunale regionale di Hannover Fine è stata annullata in quanto non è stata in grado di stabilire un reato grave in materia di GDPR. L'ufficio del pubblico ministero ha infine dovuto ritirare il ricorso contro la sentenza a causa di una firma mancante. La sentenza del tribunale amministrativo di Hannover, invece, è giuridicamente più interessante. Il tribunale si è pronunciato a favore di VW in due casi su cinque.
Rivalutazione dello scandalo del diesel con conseguenze sulla protezione dei dati
Nell'ambito delle indagini sullo scandalo del diesel, Volkswagen AG (VW) ha raggiunto diversi accordi con le autorità penali e civili degli Stati Uniti per porre fine ai procedimenti in corso e prevenire ulteriori rischi legali. Parte di questi accordi è stata l'istituzione di una cosiddetta "monitorship": A tal fine, l'ex vice procuratore generale degli Stati Uniti Larry Thompson è stato nominato controllore esterno della conformità. A lui è stato affidato il compito di rivedere e sviluppare ulteriormente i sistemi di conformità e controllo esistenti nel Gruppo e di monitorarne l'attuazione.
Per adempiere a questo compito, il monitor ha avuto accesso a tutti i documenti e i dati VW, comprese le informazioni personali su ex e attuali dipendenti. Si trattava di informazioni che spaziavano dai nomi reali e dai numeri di matricola alle valutazioni relative al servizio. Secondo il Commissario di Stato per la protezione dei dati della Bassa Sassonia (LfD), questo accesso ai dati costituiva una grave violazione della legge sulla protezione dei dati. Di conseguenza, la LfD ha avviato un procedimento di vigilanza nei confronti di Volkswagen e ha individuato cinque casi specifici che considerava violazioni delle norme sulla protezione dei dati. GDPR è stato considerato. Per questo motivo, ha emesso avvertimenti ai sensi dell'art. 58 par. 2 lett. b. GDPR contro VW.
Avvertenza 1: elenco dei nomi chiaro con "conoscenza diretta" - inammissibile?
VW aveva inviato al controllore statunitense un elenco di 22 nomi chiari, etichettati come "conoscenza diretta". Nell'ambito del processo di corsia preferenziale, VW ha trasmesso dati pseudonimizzati tramite e-mail criptate per il trasporto. Tuttavia, la LfD ha richiesto la crittografia end-to-end. Il tribunale ha respinto questa richiesta. I dati non erano particolarmente bisognosi di protezione e, senza un nome chiaro, non c'era un rischio concreto di re-identificazione, soprattutto perché la chiave di assegnazione non veniva trasmessa.
Il tribunale concretizza il livello tecnico di protezione in conformità con l'art. 32 GDPR e sottolinea la proporzionalità dei dati pseudonimizzati. Ciononostante, si deve tenere conto del fatto che la Stato dell'arte e quindi anche le misure tecniche e organizzative ragionevoli. La decisione non deve quindi essere generalizzata, ma deve sempre essere intesa alla luce della valutazione del rischio specifico.
Avviso 2: Dati pseudonimizzati nel "processo di corsia preferenziale" - nessun obbligo di crittografia end-to-end
Nell'ambito del processo di corsia preferenziale, VW ha trasmesso dati pseudonimizzati tramite e-mail criptate per il trasporto. Tuttavia, la LfD ha richiesto la crittografia end-to-end. Il tribunale ha respinto questa richiesta. I dati non erano particolarmente bisognosi di protezione e, senza un nome chiaro, non c'era un rischio concreto di re-identificazione, soprattutto perché la chiave di assegnazione non veniva trasmessa.
Il tribunale concretizza il livello tecnico di protezione in conformità con l'art. 32 GDPR e sottolinea la proporzionalità dei dati pseudonimizzati. Ciononostante, si deve tenere conto del fatto che la Stato dell'arte e quindi anche le misure tecniche e organizzative ragionevoli. La decisione non deve quindi essere generalizzata, ma deve sempre essere intesa alla luce della valutazione del rischio specifico.
Avviso 3: violazione dell'obbligo di informazione nella trasmissione dei dati al monitor
Il tribunale ha valutato diversamente l'avvertimento a causa dell'insufficienza di informazioni per i dipendenti. Nell'ambito del monitoraggio, VW ha dovuto Dati personali dei dipendenti, comprese le informazioni pseudonimizzate. Il tribunale ha chiarito che questi dati sono protetti anche dall'art. 4, n. 1, del Codice Civile. GDPR come Dati personali poiché il controllore sarebbe stato in grado di richiedere la chiave di assegnazione per identificare le persone interessate con uno sforzo ragionevole. Contrariamente all'opinione di VW, non c'è stata quindi alcuna Anonimizzazione prima.
Il tribunale ha inoltre ritenuto che la divulgazione dei dati da parte di Volkswagen al controllore statunitense costituisse un cambiamento di finalità ai sensi dell'art. 6 (4) del GDPR. GDPR rappresentato. La raccolta dati originaria era servita a scopi occupazionali, la Trasmissione nel contesto del monitoraggio non aveva tuttavia lo scopo diretto di attuare il rapporto di lavoro. Inoltre, VW non è stata in grado di dimostrare che l'ulteriore trattamento fosse nel legittimo interesse del datore di lavoro senza violare contemporaneamente il diritto alla privacy. Diritti degli interessati resistito.
Infine, il tribunale ha criticato il modo in cui sono state informate le persone interessate. Sebbene VW avesse pubblicato informazioni sul monitoraggio nell'intranet, mancavano informazioni specifiche, mirate e personalizzate per i dipendenti interessati. Il tribunale ha ritenuto che la mera pubblicazione di informazioni generiche senza una comunicazione attiva fosse insufficiente per quanto riguarda gli obblighi di trasparenza di cui agli articoli 13 e 14. GDPR.
Valutazione: la decisione sottolinea i requisiti rigorosi degli obblighi di trasparenza ai sensi dell'art. 13. GDPR. Per le trasmissioni a Terza partecome il Monitor statunitense, art. 14 GDPR possono essere rilevanti, soprattutto se le informazioni non sono state raccolte direttamente dagli interessati. Risulta inoltre evidente l'interpretazione restrittiva del principio di limitazione delle finalità di cui all'art. 5, par. 1, lett. b. GDPR. Dal punto di vista del Autorità di vigilanza bisogna anche riconoscere che la re-identificabilità cumulativa attraverso la combinazione di diversi record di dati pseudonimizzati rappresenta un rischio da non sottovalutare.
Avviso 4: informazioni mancanti durante l'audit EPA
Il quarto avvertimento riguardava il trattamento dei dati nell'ambito di un audit supplementare effettuato sulla base di un accordo amministrativo tra VW e l'Agenzia statunitense per la protezione dell'ambiente (EPA). L'obiettivo di questa misura era quello di garantire l'accesso a lungo termine ai contratti pubblici negli Stati Uniti. A tal fine, è stato nominato un auditor per sviluppare ulteriormente il sistema interno di gestione della conformità e verificarne il rispetto.
Tuttavia, la LfD ha contestato il fatto che VW abbia ancora una volta Dati personali in parte pseudonimizzati e in parte con nomi chiari a questo revisore dei conti senza informare adeguatamente i dipendenti interessati sul tipo, l'ambito e le finalità del trattamento dei dati. Anche in questo caso, il Autorità di vigilanza l'opinione che il Pseudonimizzazione non porta alla spersonalizzazione se un terzo è in grado di attribuire i dati a persone reali con uno sforzo ragionevole. Il tribunale ha seguito questo ragionamento e ha giudicato inadeguate anche le informazioni fornite da VW. Le informazioni generali o le informazioni differite soddisfano i requisiti degli articoli 13 e 14. GDPR secondo il parere del tribunale.
Avviso 5: directory di elaborazione mancante all'inizio dell'audit
Il quinto avvertimento riguardava la mancata presentazione da parte di VW di un rapporto di revisione indipendente all'inizio dell'audit dell'EPA. Elenco di elaborazione ai sensi dell'art. 30 GDPR da creare. VW ha sostenuto che l'elenco esistente del monitoraggio era sufficiente. Il tribunale ha tuttavia respinto questa argomentazione: sebbene vi fossero sovrapposizioni tematiche, si trattava di due operazioni di trattamento dei dati formalmente indipendenti, con finalità e destinatari diversi.
Sebbene il fatto che l'elenco sia stato successivamente compilato sia stato preso in considerazione nella sentenza per attenuare la sanzione, il tribunale ha comunque ritenuto legittimo l'avvertimento. Il Autorità di vigilanza aveva quindi il diritto di emettere un avvertimento sull'obbligo di Documentazione e il loro significato per la verificabilità dei processi di protezione dei dati.
Conclusione: il tribunale chiarisce che un elenco separato ai sensi dell'art. 30 GDPR è necessario anche in caso di vicinanza formale con altre operazioni di trattamento dei dati, a condizione che la finalità o la struttura del Elaborazione differenziare. Dal punto di vista delle autorità di controllo, la mancanza di un registro di questo tipo è anche un'indicazione di deficit strutturali nella gestione della protezione dei dati.
Suggerimento di lettura: BfDI impone a Vodafone multe per un totale di 45 milioni di euro
Standard differenziati per i processi di conformità internazionali
La sentenza illustra il difficile equilibrio tra i requisiti di protezione dei dati e gli obblighi di conformità internazionale. Da un lato, il tribunale concorda con l'autorità per quanto riguarda gli obblighi di trasparenza e di documentazione; dall'altro, mostra i limiti dell'autorità nell'intervenire su misure tecnicamente e legalmente giustificabili da parte delle aziende.
La sentenza significa per le aziende:
- Rafforzare il bilanciamento degli interessi e le misure tecniche di protezione, purché siano ben documentate e proporzionate.
- Chiarimenti sulla Obbligo di informazione anche nel caso di dati pseudonimizzati, in particolare in caso di ulteriore trattamento per nuove finalità.
- Impegno per l'indipendenza Documentazione per contesti di elaborazione delimitabili.
Il VW può richiedere l'autorizzazione a presentare ricorso al Tribunale amministrativo superiore della Bassa Sassonia.
Il tribunale regionale riscuote un'elevata multa per il GDPR contro Volkswagen
In un procedimento parallelo davanti al Tribunale Regionale di Hannover, VW ha intrapreso un'azione legale contro un Fine della LfD per un totale di 4,3 milioni di euro. Il Fine è stata sollevata in particolare perché Volkswagen avrebbe violato gli obblighi di trasparenza nei confronti dei propri dipendenti.
"Il tribunale regionale di Hannover ha chiarito che, contrariamente a quanto sostenuto dalla LfD, la divulgazione di informazioni nell'ambito del monitoraggio non ha comportato rischi significativi per i dipendenti interessati", riferisce il rappresentante legale di VW Tim Wybitul in un post sul blog di LinkedIn.
Curioso: l'ufficio del pubblico ministero ha presentato un ricorso contro la sentenza del tribunale regionale presso il Tribunale superiore di Celle. Tuttavia, nelle motivazioni dell'appello mancava la firma autografa del procuratore responsabile, il che significa che la sentenza non è stata presa in considerazione. Reclamo ha dovuto essere ritirato. La sentenza del tribunale regionale di Hannover è quindi giuridicamente vincolante, VW non deve pagare alcunché. Fine pagare.
German 
English 
Italian 
French