Dati personali, Europol dovrà cancellare quelli non legati ad attività criminali

Il quartier generale dell'Europol all'Aia. [EPA-EFE/JERRY LAMPEN]

Il Garante europeo per la protezione dei dati (Gepd) ha ordinato a Europol di cancellare i dati personali dei cittadini che non hanno legami con attività criminali.

Il Garante europeo per la protezione dei dati aveva avviato un’inchiesta per verificare se le attività di elaborazione dei dati di Europol andassero oltre il mandato dell’agenzia e potessero costituire una violazione delle regole Ue sulla privacy.

Al termine dell’indagine del garante a settembre 2020, a Europol era stato chiesto di affrontare i problemi strutturali presenti. Secondo l’ente supervisore, l’agenzia europea era andata oltre il principio della minimizzazione dei dati includendo dati personali di persone senza alcun legame riconosciuto con attività criminali.

Il Gepd ha ritenuto anche che le pratiche di elaborazione dei dati fossero contrarie al principio di limitazione della conservazione, che sancisce che i dati debbano essere conservati solo finché strettamente necessario. Il garante della privacy europeo ritiene che in entrambi i casi Europol non abbia messo in pratica i cambiamenti necessari per adeguarsi.

“Europol ha affrontato molti dei rischi per la protezione dei dati individuati nell’indagine iniziale del Gepd. Tuttavia, non c’è stato alcun progresso significativo sul fatto che l’agenzia continui a conservare i dati delle persone, contrariamente ai principi di minimizzazione dei dati e limitazione della conservazione, sanciti dal regolamento Europol“, ha dichiarato Wojciech Wiewiórowski del Gepd.

Alla decisione del garante ha risposto l’agenzia europea di polizia, dicendo che “avrà un impatto sulle capacità di Europol di analizzare database di grandi dimensioni su richiesta delle forze dell’ordine dei Paesi Ue”.

I dati che potrebbero essere cancellati sono “di proprietà degli Stati membri e dei partner operativi” e comprendono “informazioni sul terrorismo, la criminalità informatica, il traffico internazionale di droga e gli abusi sui minori”, sottolinea Europol.

L’indagine del Gepd

Lo scopo di Europol è raccogliere dati su casi transfrontalieri e metterli a disposizione delle autorità nazionali per sostenere le loro indagini. Tuttavia, negli ultimi anni l’agenzia si è specializzata nell’elaborazione di grandi quantità di dati per sviluppare nuovi strumenti di polizia e algoritmi.

Di conseguenza, il Gepd ha rivelato che l’agenzia non stava più elaborando solo dati necessari per indagini specifiche, ma anche grandi serie di dati ottenuti dalle forze dell’ordine nazionali. Questi set di dati derivano da un numero imprecisato di indagini criminali e potrebbero includere i dati dei sospettati di reati gravi e di chiunque abbia interagito con loro.

“È estremamente importante che le forze dell’ordine, nel perseguire modelli efficaci basati su grandi dati, trovino un modo per obbedire a questi principi [di protezione dei dati], pur soddisfacendo le richieste operative degli Stati membri dell’Ue”, ha detto a EURACTIV Paolo Balboni, professore di Privacy, Cybersecurity and IT Contract Law all’Università di Maastricht.

Secondo il Guardian, Europol avrebbe attualmente 1.000.000 di gigabyte di dati. “La protezione dei dati e i diritti fondamentali devono essere rispettati, è di cruciale importanza soprattutto per un’agenzia di polizia”, ha detto la deputata verde Saskia Bricmont.

Banche dati, gli eurodeputati chiedono di ampliare il mandato di Europol

L’agenzia di cooperazione tra le forze dell’ordine dell’Ue è vicina ad ottenere un mandato più esteso.  La proposta di legge dovrà essere approvata dalla plenaria del Parlamento e poi negoziata con Commissione e Consiglio

Il via libera della commissione Libertà civili, …

Riformulare il mandato

Nel suo piano d’azione in risposta alle osservazioni del garante della privacy, Europol ha chiesto alla Commissione europea di rivedere il suo mandato, cosa che gli esperti e gli attivisti che si occupano di protezione dei dati hanno considerato come un tentativo di legalizzare pratiche illegali.

Al contrario, coloro che ritengono che la priorità sia la sicurezza sottolineano che questi strumenti sono diventati necessari per le forze dell’ordine per poter stare al passo con le nuove minacce dovute alle tecnologie digitali.

“Per noi, è chiaro che le forze dell’ordine non possono combattere efficacemente il crimine se non possono elaborare grandi quantità di dati. Questo richiede una notevole quantità di tempo”, ha detto un portavoce della Commissione europea a EURACTIV.

Il rappresentante della Commissione ha fatto riferimento all’operazione EncroChat, per la quale nell’agosto 2020 Europol ha aiutato le autorità francesi e olandesi a decifrare il servizio di messaggistica criptata. L’operazione ha portato a migliaia di arresti in tutta Europa per traffico di droga, corruzione e crimini violenti.

La Commissione europea ha ampliato il mandato dell’agenzia nel dicembre 2020, presentandolo come parte di una strategia più ampia per rafforzare i controlli alle frontiere e prevenire il terrorismo.

I colegislatori dell’Ue hanno messo a punto la loro posizione sul nuovo mandato e sono attualmente impegnati in negoziati interistituzionali. Secondo una fonte le istituzioni dell’Ue sono d’accordo sulla maggior parte delle questioni e potrebbero finalizzare un accordo già nelle prossime settimane.

“Europol ha agito al di fuori della legge per troppo tempo, il che è inaccettabile. La decisione manda un messaggio molto urgente al Parlamento europeo: attenzione ai poteri dati a Europol nella riforma in corso, perché ogni scappatoia sarà sfruttata a scapito dei diritti di protezione dei dati delle persone”, ha detto Chloé Berthélémy, consigliere politico dell’European Digital Rights (EDRi).

Per Javier Zarzalejos, l’eurodeputato che rappresenta il Parlamento europeo nei negoziati, “la posizione del Parlamento ha cercato un equilibrio tra le esigenze operative di Europol nel suo compito di sostenere gli Stati membri e il garantire una adeguata protezione dei dati”.

Privacy, la Commissione conferma la sicurezza della piattaforma di decrittazione di Europol

La Commissione europea ha rassicurati gli eurodeputati, preoccupati dalla possibilità di abusi degli standard di protezione dei dati tramite la nuova piattaforma di decrittazione a disposizione di Europol.

Diversi europarlamentari hanno espresso i loro dubbi sull’operazione, temendo possibili abusi in alcuni …

Gli effetti della decisione del garante

Europol avrà 12 mesi per dimostrare che i dati sono penalmente rilevanti o cancellarli. Fino ad ora, Europol ha rifiutato di stabilire una scadenza fissa, considerandola incompatibile con le sue operazioni.

Il Gepd ha dato all’agenzia sei mesi di tempo per valutare la rilevanza dei nuovi set di dati. Questo termine verrebbe a 3 anni con il nuovo mandato di Europol, che dovrà essere confermato nei negoziati ancora in corso.

“La decisione del Gepd avrà un impatto sulla capacità di Europol di analizzare insiemi di dati complessi e di grandi dimensioni su richiesta delle forze dell’ordine dell’Ue”, ha detto un portavoce di Europol a EURACTIV.

Il provvedimento contro il Parlamento europeo

Il Garante per la protezione dei dati ha emesso un provvedimento anche nei confronti del Parlamento europeo per aver violato le leggi sulla privacy relativamente al trattamento dei dati personali di eurodeputati e dipendenti inseriti nel sito, ad uso interno, per la prenotazione dei test anti-Covid.

Secondo il garante, i dati inseriti sul sito venivano trasferiti all’esterno dell’Ue attraverso i cookie delle società americane Google e Stripe.

Nella decisione vista da EURACTIV, il Gepd ha osservato che il “Parlamento non ha fornito alcuna documentazione, prova o altre informazioni riguardanti le misure contrattuali, tecniche o organizzative in atto per garantire un livello di protezione equivalente per i dati personali trasferiti negli Stati Uniti nel contesto dell’uso di cookie sul sito web”.

“Il Gedp ha chiarito che anche il posizionamento di un cookie da parte di un provider statunitense viola le leggi sulla privacy dell’Ue”, ha detto Max Schrems, attivista e presidente onorario di Noyb.

“Non sono state previste protezioni adeguate contro la sorveglianza degli Stati Uniti, nonostante i politici europei siano un obiettivo noto. Ci aspettiamo altre decisioni di questo tipo sull’uso dei provider statunitensi nei prossimi mesi, dato che anche altri casi sono in attesa di una decisione”, ha aggiunto.

Coloro che hanno presentato denuncia hanno sostenuto che i banner dei cookie erano poco chiari e ingannevoli, rendendo impossibile per l’utente dare un consenso informato e valido. “Il banner dei cookie inoltre non forniva informazioni trasparenti riguardo al trattamento dei dati personali in relazione ai cookie sul sito web”, ha concordato il Gepd.

Il Parlamento europeo è stato criticato sulla base del Regolamento sulla protezione dei dati applicabile alle istituzioni Ue. Le multe possono essere emesse solo in circostanze limitate. La maggior parte delle carenze sono state risolte mentre l’indagine era in corso. Il garante della privacy dell’Ue ha dato un mese al Parlamento per affrontare le questioni rimanenti.