È costata cara alla Volksvagen una trascuratezza sulla normativa in materia di protezione dei dati personali. Nel testare le funzionalità di un nuovo sistema di assistenza alla guida per prevenire gli incidenti stradali, la nota casa automobilistica tedesca aveva infatti installato delle dashcam sulla vettura che utilizzava per fare le prove su strada, tralasciando però che ad essere riprese erano anche tutte le persone che entravano nel raggio di azione delle telecamere, e perciò avrebbe dovuto sia informare gli interessati che espletare gli altri adempimenti previsti in questi casi dal Gdpr.
La vicenda risale al 2019, quando l’auto di prova dell’azienda era stata fermata per un controllo dalla polizia austriaca vicino a Salisburgo, e in quella circostanza gli agenti avevano notato insoliti attacchi sulla carrozzeria della vettura, che si erano poi rivelati essere delle piccole telecamere che registravano ed analizzavano la situazione del traffico intorno al veicolo, compresi quindi passanti e ciclisti, nonché i conducenti di altri veicoli che venivano inquadrati a loro dagli obiettivi delle dashcam.
Nessun avviso o cartello era però stato fornito agli interessati per informarli della presenza delle telecamere, come è prescritto dall’art.13 del Regolamento Ue sulla privacy.
Inoltre, l’autorità per la protezione dei dati della Bassa Sassonia, che ha trattato il caso, ha poi rilevato che non era stata effettuata preventivamente alcuna valutazione d’impatto sulla protezione dei dati, come richiesto dall’art. 35 del Gdpr ogni volta che un trattamento di dati può comportare un rischio elevato per i diritti e le libertà delle persone.
E neanche nel Registro delle attività di trattamento vi era documentata alcuna descrizione delle garanzie tecniche e organizzative adottate da Volksvagen per garantire un livello di sicurezza adeguato al rischio, come invece è prescritto dall’art.30 del Gdpr.
Infine, l’autorità tedesca ha ulteriormente accertato che Volkswagen non aveva formalizzato nessun accordo con la società esterna che effettuava i drive test con l’autovettura su cui erano installate le telecamere, che avrebbe dovuto essere stata nominata “responsabile del trattamento” di dati personali ai sensi dell’articolo 28 del Regolamento europeo.
In tutto quattro violazioni di altrettanti articoli del Gdpr, (13,15,30,28) per cui il garante tedesco nei giorni scorsi tirando le somme sul caso al termine dell’istruttoria ha inflitto una sanzione da 1,1 milione di euro alla nota casa automobilistica.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi