L'ANALISI

EDPS, le modifiche al regolamento Europol possono indebolire la protezione dati: le preoccupazioni

Il Garante europeo per la protezione dei dati ha espresso preoccupazioni riguardo alle modiche apportate al cosiddetto regolamento Europol: secondo l’EDPS, infatti, potrebbero indebolire il diritto fondamentale alla protezione dei dati personali. Facciamo chiarezza

04 Lug 2022
G
Nadia Giusti

Data Protection & Cybersecurity Expert

Dopo che il 27 giugno è stato pubblicato in Gazzetta Ufficiale il Regolamento 2022/991, che modifica il regolamento Europol 2016/794, il Garante europeo per la protezione dei dati (European Data Protection Supervisor – EDPS), Wojciech Wiewiórowski, esprime preoccupazioni riguardo alle modiche, entrate in vigore il 28 giugno 2022, in quanto indebolirebbero il diritto fondamentale alla protezione dei dati e non garantirebbero un controllo adeguato da parte dell’Agenzia dell’Unione Europea per la cooperazione tra le forze dell’ordine (Europol).

Le novità introdotte nel regolamento Europol

Sebbene dall’entrata in vigore del Regolamento 2016/794 il ruolo di Europol sia progressivamente aumentato, è un fatto che il diverso contesto delle minacce richiede un diverso tipo di aiuto. L’obiettivo del Regolamento 2022/991, che modifica il Regolamento 2016/794, è quello di attribuire a Europol compiti aggiuntivi, così da consentirgli di sostenere al meglio le autorità competenti degli Stati membri, preservando però appieno le loro competenze nel settore della sicurezza nazionale.

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage

Rispetto al 2016/794, le modifiche introdotte nel 2022/991 ampliano notevolmente il mandato di Europol per quanto riguarda lo scambio di dati personali con soggetti privati, l’uso dell’intelligenza artificiale e il trattamento di grandi set di dati. Analizziamole nel dettaglio.

Supporto a indagini criminali

Fatte salve le condizioni stabilite nelle modifiche al regolamento, Europol potrà trattare i dati personali senza la “categorizzazione degli interessati” (Data Subject Categorization – DSC), ovvero anche di persone che non hanno relazioni con le attività criminali, per tutto il tempo e ogni qualvolta sarà necessario per il supporto a una specifica indagine.

Europol da parte sua evidenzia quanto ciò sia particolarmente rilevante, poichè spesso tale classificazione può essere fatta solo nel momento in cui, in presenza di grandi insiemi di dati, le informazioni vengono filtrate e analizzate.

Va evidenziato che la modifica del regolamento concede una sorta di immunità retroattiva all’Agenzia, ovvero a Europol viene concessa la possibilità di conservare anche i dati raccolti negli anni precedenti.

Ricerca e Innovazione

Europol sarà ora in grado di supportare gli Stati membri dell’UE a utilizzare le tecnologie emergenti, esplorare nuovi approcci e sviluppare soluzioni tecnologiche condivisibili, anche nel campo dell’intelligenza artificiale. Una delle principali novità è l’introduzione di una base giuridica esplicita per il trattamento dei dati personali a fini di ricerca e innovazione. Tuttavia, dice Europol, questa possibilità è accompagnata da rigorose garanzie di protezione dei dati (es l’utilizzo della pseudoanonimizzazione) che saranno applicabili a tale trattamento.

Questo significa che a Europol viene concessa la possibilità di utilizzare l’intelligenza artificiale anche per attivita di  “polizia predittiva”, con cui poter identificare “potenziali criminali”. Il rischio qui è quello di sbagliare, e di includere nella categoria di “potenziali criminali” anche innocenti che, per caso o per sfortuna, sono entrati in contatto indirettamente con attività illecite, o attività collegate ad attività illecite.

Cooperazione con soggetti privati

In base all’emendamento, Europol potrà ricevere dati direttamente da quei soggetti privati che possono detenere dati rilevanti per indagini criminali. Vengono introdotte norme specifiche che disciplinano la cooperazione con soggetti privati nel contesto di situazioni di crisi online e la diffusione online di materiale pedopornografico.

Per “situazioni di crisi online” si intende “la diffusione di contenuti online relativi a un fatto in corso o recente del mondo reale che ritraggono un danno alla vita o all’integrità fisica o che richiamano un danno imminente alla vita o all’integrità fisica e che hanno l’obiettivo o l’effetto di intimidire gravemente la popolazione, a condizione che vi sia un legame o un ragionevole sospetto di legame con il terrorismo o l’estremismo violento e che si preveda la moltiplicazione esponenziale e la viralità di tale contenuto tra vari servizi online”

Sistema di Informazione Schengen (SIS)

Europol sosterrà gli Stati membri dell’UE nel trattamento dei dati trasmessi da paesi terzi o organizzazioni internazionali e potrà proporre agli Stati membri di inserire opportune segnalazioni nel Sistema di Informazione Schengen (SIS).

Il sistema d’informazione Schengen (SIS), creato nel 1995 in seguito all’abolizione dei controlli alle frontiere interne nell’UE, è una banca dati su larga scala a sostegno del controllo delle frontiere esterne e della cooperazione in materia giudiziaria tra gli Stati membri dell’accordo di Schengen. Al suo interno trovano posto le informazioni considerate necessarie per consentire alle competenti autorità nazionali di effettuare efficaci controlli, sviluppare forme di cooperazione incisive ed accedere ad informazioni su persone o oggetti in modo da evitare deficit di sicurezza.

Aperture di indagini su iniziative dal Direttore esecutivo di Europol

Il Direttore esecutivo di Europol potrà proporre l’apertura di un’indagine nazionale su un reato specifico che riguarda un solo Stato membro ma lede un interesse comune all’interno dell’Unione. Spetterà alle autorità nazionali decidere se soddisfare o meno tale richiesta.

Responsabile dei diritti fondamentali (FRO)

L’articolo 41 quater dell’emendamento istituisce la figura del Responsabile dei Diritti Fondamentali (FRO), che analogamente alla già presente figura del Responsabile della protezione dei dati (DPO), riferirà direttamente al Direttore esecutivo e preparerà relazioni annuali sulle sue attività. Tra i suoi compiti, egli dovrà:

  1. monitorare il rispetto dei diritti fondamentali da parte di Europol;
  2. informare il Direttore esecutivo in merito a eventuali violazioni dei diritti fondamentali nel corso delle attività di Europol;
  3. promuovere il rispetto dei diritti fondamentali da parte di Europol durante lo svolgimento dei suoi compiti e delle sue attività.

Le preoccupazioni di EDPS

EDPS si rammarica che l’ampliamento del mandato di Europol non sia stato contemperato da solide salvaguardie in materia di protezione dei dati che consentirebbero un controllo efficace dei nuovi poteri dell’Agenzia.

“Mettere in atto solide salvaguardie” – afferma EDPS – “è fondamentale poiché l’impatto dell’emendamento è ulteriormente aggravato dal fatto che gli Stati membri dell’UE hanno la possibilità di autorizzare retroattivamente Europol a trattare grandi set di dati già condivisi con Europol prima dell’entrata in vigore del regolamento modificato”. Ed EDPS nutre forti dubbi sulla legittimità di questa autorizzazione retroattiva.

Un altra fonte di preoccupazione di EDPS è che, poichè Europol è ora autorizzato a trattare grandi set di dati, anche se in alcuni casi specifici, il volume dei dati personali delle persone trattati e archiviati dall’Agenzia aumenterà sostanzialmente e questo comporterà che i dati relativi a persone che non hanno un legame stabilito con un’attività criminale saranno trattati allo stesso modo dei dati relativi a persone che invece hanno un legame con tali attività.

Non è la prima volta che EDPS esprime preoccupazioni in merito al trattamento di grandi insieme di dati relativi a persone che non hanno alcun legame stabilito con un’attivitià criminale.

Già nel 2020, l’EDPS si era mostrata preoccupata in riferimento alle attività di raccolta dei dati personali da parte dell’Agenzia, in particolare riguardo alla perdita dei diritti individuali delle persone. D’altra parte, già nella Convenzione europea dei diritti dell’uomo del 1950 si affermava come non può esservi ingerenza di una autorità pubblica nell’esercizio del diritto alla propria libertà individuale, ampliato poi in successivi accordi internazionali, come quello di Schengen, e nella Carta dei diritti fondamentali dell’Unione.

Il 3 gennaio 2022, EDPS aveva rilevato che il modo di gestire i dati da parte dell’Europol fosse contrario alle norme di legge, ovvero come l’agenzia poliziesca conservasse illegalmente nei propri archivi le informazioni di soggetti non coinvolti in azioni criminali e al centro delle indagini, ed aveva pertanto notificato una ordinanza che richiedeva la cancellazione di quei dati che si riferivano a cittadini non coinvolti in tali azioni criminali.

Più nello specifico, identificava il limite massimo per la conservazione delle informazioni sui cittadini a sei mesi; oltre questo tempo, nel caso non fossero state rilevate connessioni con operazioni illecite, tali informazioni avrebbero dovuto essere cancellate: “Il Garante Ue ha deciso di avvalersi dei propri poteri correttivi e di imporre un periodo di conservazione di 6 mesi (per filtrare ed estrarre i dati personali). I set più vecchi di 6 mesi devono essere cancellati. Europol non sarà dunque più autorizzato a conservare dati su persone che non sono state collegate a un reato o ad un’attività criminale. E nel provvedimento l’autorità ha concesso a Europol un periodo di 12 mesi per conformarsi alla decisione per i set di dati già ricevuti prima della notifica del provvedimento (in data 3 gennaio)”.

Europol aveva così replicato: “Il lavoro di Europol comporta spesso un periodo superiore. Si tratta di dati su terrorismo, criminalità informatica, traffico internazionale di droga e abusi sui minori.” E aveva aggiunto :”I dati a rischio che potrebbero essere cancellati sono dati di proprietà degli Stati membri dell’Ue e dei partner operativi e forniti a Europol. Dati che comprendono, tra gli altri, informazioni sul terrorismo, la criminalità informatica, il traffico internazionale di droga e gli abusi sui minori. Il lavoro di Europol comporta spesso un periodo superiore a sei mesi. Europol si rimetterà alla decisione del suo consiglio di amministrazione e valuterà la decisione del Garante e le sue potenziali conseguenze per il mandato dell’Agenzia”.

Ora, sulla base delle modifiche al regolamento, l’ordinanza del 3 gennaio 2022 diventerebbe nulla.

Il ruolo dell’Europol

L’agenzia Europol, l’ufficio europeo di Polizia con sede all’Aja, è stata istituita dal regolamento (UE) 2016/794 nel 1992 per sostenere e potenziare l’azione delle autorità competenti degli Stati membri e la loro cooperazione reciproca per prevenire e combattere la criminalità, in particolare quella che coinvolge più Stati membri, il terrorismo, e le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione.

La necessità di istituire una tale agenzia è confermata dal fatto che il panorama Europeo è mutevole e, complice l’avanzare della trasformazione digitale e l’affermarsi delle nuove tecnologie, il panorama della sicurezza in Europa è caratterizzato da minacce sempre più sofisticate e in costante evoluzione.

L’interconnettività e i confini sempre più indefiniti tra mondo fisico e digitale favoriscono l’anonimato e l’operato di terroristi e criminali, i quali hanno dimostrato di sapersi adattare al contesto in cui operano, sviluppando nuove forme di attività criminali che fanno largo uso delle nuove tecnologie per amplificare gli impatti e la portata delle loro attività.

Per affrontare questo tipo di minacce, spesso di tipo transfrontaliero, non è sufficiente agire solo a livello nazionale, ma è necessario individuare una strategia comune: da questo punto di vista, Europol rappresenta la risposta europa per prevenire e combattere queste forme di criminalità e terrorismo.

Per svolgere le sue funzioni, l´Europol gestisce un sistema elettronico d´informazione, che viene alimentato direttamente dagli Stati membri ed è direttamente accessibile alla consultazione delle unità nazionali, degli ufficiali di collegamento, del direttore, dei vicedirettori e degli agenti dell´Europol debitamente autorizzati.

Naturalmente, all’interno dei dati trattati da Europol, possono configurarsi anche dati di carattere personale, sebbene gli archivi automatizzati contenenti questi dati debbano essere oggetto di una specifica decisione da parte dell´Europol, per la quale è richiesta l´approvazione del consiglio di amministrazione e possano essere trasmessi o utilizzati soltanto dai servizi competenti degli Stati membri allo scopo di prevenire e combattere la criminalità nell’ambito della sfera di azione di Europol.

Per vigilare sull’operato di Europol, e in particolare sul fatto che l’utilizzo dei dati da parte dell’Agenzia non leda i diritti delle persone, esiste una Autorità Comune di Controllo (ACC) indipendente, composta da due rappresentanti per ogni Stato Europeo e da EDPS.

Come tutte le attività di sicurezza governativa, l’agenzia non è soggetta al Regolamento Generale della Protezione dei Dati (GDPR), tuttavia esistono limitazioni per tutelare i cittadini da eventuali abusi, come ad esempio la Data Subject Categorisation (DSC), che però, di fatto, è appena stata annullata dall’emendamento entrato in vigore.

Conclusioni

Catherine De Bolle, Direttore esecutivo di Europol, ha accolto con favore l’emendamento “in quanto migliorerà considerevolmente l’efficienza del sostegno che Europol potrà dare alle autorità competenti dell’Unione Europea nella lotta alla criminalità e al terrorismo”.

Anche la Commissaria Europea agli Affari Interni, Ylva Johansson, si è detta favorevole all’emendamento affermando che “con il suo mandato più forte, Europol potrà rafforzare le sue competenze e capacità operative per diventare il polo di informazione dell’UE sulle attività criminali e una pietra angolare dell’architettura di sicurezza interna dell’UE”.

Da parte sua, l’Europol sostiene che “le modifiche al regolamento apportate dall’emendamento rafforzeranno ulteriormente le funzioni di sorveglianza di EDPS”.

EDPS non concorda su questa posizione, ma parla invece di “indebolimento del diritto fondamentale alla protezione dei dati” ed evidenzia che spetterà ora ad Europol autonormarsi per non incorrere in ulteriori abusi.

La vicenda ribadisce ancora una volta la difficoltà di trovare un giusto punto di equilibrio fra le ragioni della tutela nazionale e della sicurezza degli individui e della società nel suo complesso, e la tutela dei diritti individuali dei cittadini. Se è chiaro l’intento degli organi europei di prevenire e combattere il terrorismo, i reati legati alla pedofilia e pedopornografia, il riciclaggio di denaro, è anche vero che l’emendamento tende ad aumentare la sorveglianza sui singoli, in quanto sancisce la possibilità da parte di Europol di acquisire e conservare qualsiasi tipo di dato che si leghi ad ogni cittadino europeo.

Europol dovrebbe ora specificare ulteriormente le salvaguardie in materia di protezione dei dati da mettere in atto per limitare l’intrusività delle attività investigative in merito al trattamento dei dati sulle persone. A tal fine, EDPS si aspetta di essere “consultato formalmente” relativamente alle decisioni che il consiglio di amministrazione intende intraprendere. EDPS ha inoltre affermato che continuerà ad impegnarsi per “vigilare da vicino sulla conformità delle operazioni di trattamento dei dati di Europol e ad avvalersi dei suoi poteri consultivi, investigativi e correttivi, ove necessario”.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Articolo 1 di 4