Big Data nelle indagini penali: Europol si difende dalle accuse del garante per la privacy

Europol ha chiesto una revisione del regolamento 2016 che disciplina le sue attività, e che stabilisce norme rigorose in termini di utilizzo dei dati, in modo da consentirle di continuare il suo lavoro. [Shutterstock]

Europol, l’agenzia di polizia dell’Ue, ha difeso la sua pratica di utilizzare grandi set di dati per effettuare indagini penali, presentando un piano d’azione – che EURACTIV ha potuto visionare – per rispondere alle preoccupazioni sollevate dall’organismo di vigilanza dell’Ue sulla protezione dei dati in merito all’uso “illegale’” dei dati da parte dell’agenzia.

Lo scorso settembre il Garante europeo per la protezione dei dati (GEPD) aveva rivolto delle critiche a Europol in seguito a un’indagine che aveva dimostrato come le forze dell’ordine nazionali trasmettessero all’agenzia dei set di dati sempre più estese: violando così gli standard stabiliti nel regolamento Europol del 2016, che prevede l’inoltro soltanto di ‘dati mirati’ (targeted) che riguardano specifiche indagini penali.

Il GEPD aveva riscontrato anche che, nell’ambito del trattamento di dataset così ampi, attraverso il sistema di Europol passavano anche i dati personali di individui che non erano in alcun modo collegati ad attività criminali. Per questo, il Garante aveva ordinato a Europol di elaborare un piano d’azione per rispondere ad alcune delle preoccupazioni in materia di protezione dei dati.

Nel piano, ottenuto da EURACTIV, Europol chiede la revisione, da parte della Commissione UE, del regolamento Europol 2016, che stabilisce norme rigorose in termini di utilizzo dei dati da parte dell’agenzia, in modo da consentirle di continuare il suo lavoro.

La riforma del regolamento, che la Commissione ha presentato a dicembre, si legge nel piano d’azione, offre “un’opportunità unica per affrontare le preoccupazioni giuridiche del GEPD, al fine di garantire che Europol manterrà la sua capacità di rispettare il suo mandato e fornire supporto operativo agli Stati membri dell’Ue nella loro lotta contro i crimini gravi e il terrorismo”.

Inoltre, l’agenzia ha anche evidenziato cinque azioni da mettere in campo per “migliorare” i propri standard di protezione dei dati, inclusa una maggiore etichettatura dei dati ricevuti come parte degli “archivi di dati” derivanti dalle indagini penali, la limitazione dei diritti di accesso a determinate categorie di dati, e la nomina di un coordinatore del controllo della qualità dei dati.

Alcuni deputati del Parlamento europeo pensano che gli sforzi di Europol non siano sufficienti. L’eurodeputata della Sinistra europea Clare Bury ha detto a EURACTIV di essere preoccupata riguardo all’enfasi dell’agenzia sull’utilizzo di dataset sempre più ampi e complessi nelle indagini.

“Europol – ha detto Bury – sembra essere determinata a perseguire un modello di polizia sempre più basato sui dati, elaborandone enormi quantità per produrre, secondo le espressioni da loro utilizzate, analisi ‘operative, strategiche o tematiche’”. Il richiamo lanciato dal GEPD “è estremamente grave, e il piano d’azione di Europol in risposta è inadeguato, ma i problemi di questo approccio basato sui dati sono molto più profondi”.

“L’obiettivo finale è chiaramente quello di utilizzare i big data per una profilazione intensiva, in cui l’intelligenza artificiale e l’apprendimento automatico giocano un ruolo significativo”, ha aggiunto l’eurodeputata, sottolineando la preoccupazione per il coinvolgimento di Euroopol in una serie di progetti finanziati dall’UE che mirano a sviluppare strumenti basati sull’IA e sui procedimenti di machine learning.

Anche il Garante Wojciech Wiewiórowski ha osservato che questo punto può essere problematico: “Siamo d’accordo – ha scritto – sul fatto che l’apprendimento automatico, se fatto senza prendere in considerazione l’intero set di dati su cui è basato, può favorire forme di discriminazione”. Interpellata da EURACTIV, Europol non ha voluto commentare.

La ‘piattaforma di decrittazione’ di Europol

Nel dicembre dello scorso anno, è emerso che Europol aveva iniziato a usare una “piattaforma di decrittazione innovativa”, sviluppata insieme al Centro comune di ricerca della Commissione. Lo scopo del progetto è di consentire alle autorità di polizia dei paesi Ue di decrittare le informazioni ottenute legalmente durante le indagini penali.

Lunedì 1° febbraio, Wiewiórowski ha rivelato che il GEPD aveva sollecitato Europol a fornire maggiori informazioni “sullo sviluppo e la diffusione della nuova piattaforma di decrittazione”. In risposta, l’agenzia ha pubblicato la scorsa settimana un fascicolo sui piani.

“Il GEPD valuterà le informazioni ricevute per garantire che la piattaforma sia stata sviluppata e gestita in linea con i requisiti del regolamento Europol, e che siano state adottate misure adeguate per garantire che i diritti fondamentali ei diritti dei cittadini dell’UE siano tutelati”, ha detto Wiewiórowski.

L’ammonimento del Garante

L’ammonimento del GEPD dell’anno scorso in merito alle pratiche in materia di dati di Europol è arrivato al termine di un’indagine avviata dopo che il direttore esecutivo di Europol, Catherine de Boelle, nell’aprile 2019, aveva informato il Garante di gravi “problemi di conformità”.

I risultati dell’inchiesta del GEPD sono stati di ampio respiro, e si sono concentrati sulle tecniche di analisi forense digitale e analisi dei big data utilizzati da Europol per sfruttare i set di dati inviati all’agenzia dalle forze di polizia nazionali. Operazioni che secondo il Garante “creano rischi di perdita di contesto tecnico e fattuale e di maggiore bias” (pregiudizio nell’uso dei dati). Inoltre, il GEPD ha individuato casi di trattamento di dati personali “che si riferiscono a persone non legate in alcun modo ad alcuna attività criminale”.

Tali preoccupazioni hanno portato il Garante alla conclusione che Europol ha violato il regolamento del 2016. “Senza un’adeguata attuazione del principio di minimizzazione dei dati e l’adozione delle garanzie specifiche contenute nel regolamento Europol, gli interessati corrono il rischio di essere indebitamente collegati a un’attività criminale in tutta l’Ue, con tutti i potenziali danni che ciò comporta per la loro vita personale e familiare, e per la loro libertà di movimento e occupazione”, spiega il rapporto del GEPD.