“Ecco perché l’attività di sorveglianza generalizzata di Europol ci riguarda da vicino”

Frank van der Linde è un’attivista olandese, senza precedenti penali, che ha scoperto casualmente di essere stato inserito come potenziale terrorista nelle liste di Europol: i suoi erano sono stati comunicati dalla polizia olandese ai colleghi tedeschi e all’Agenzia europea di contrasto al crimine nel 2019 a seguito del suo trasferimento a Berlino. Il motivo? Nel 2017 van Der Linde aveva rotto una finestra per entrare in un edificio e creare un riparo per alcune persone senza dimora. A seguito di quell’azione il suo nome era entrato nella lista dei “presunti terroristi” delle autorità olandesi. “È scioccante la facilità con cui la polizia condivide le informazioni al di là delle frontiere ed è terrificante quanto sia difficile riuscire a cancellarsi”, ha raccontato l’attivista. Nel giugno 2020, infatti, quando ha chiesto a Europol di essere rimosso dal database si è scontrato contro un vero e proprio muro di gomma: “Non ci sono dati che la riguardano e a cui può avere il diritto d’accesso”, è stata la risposta dell’Agenzia.

“Quello che è successo a van der Linde è ingiusto e dimostra quanto l’attività di sorveglianza riguardi da vicino ognuno di noi -spiega spiega Chloé Berthélémy, policy advisor dell’European digital rights (EDRi)-. Europol può conservare i nostri dati senza l’obbligo di informarci”. Come raccontiamo sul numero di Altreconomia di novembre 2022, la storia di Van der Linde dimostra l’importanza della “lotta” in corso, nel cuore delle istituzioni europee, il cui esito è destinato a toccare da vicino il destino di milioni di persone.

Berthélémy nel settembre 2022 il Garante europeo per la protezione dei dati (Gepd) ha citato Europol di fronte alla Corte di giustizia dell’Ue. Perché questa causa è importante ?
CB Il Garante sta compiendo i passi giusti per ripristinare lo Stato di diritto chiedendo alla Corte di giustizia dell’Unione europea (Cgue) di annullare due disposizioni della riforma entrata in vigore il 28 giugno 2022 e che rendono legali le attività illecite di trattamento di dati svolte in passato da Europol: ovvero la ricezione di set di dati dalle operazioni di polizia degli Stati membri che contengono informazioni relative a persone senza alcun legame con attività criminali. Inoltre annullano l’effetto dell’ordine di cancellazione di questi dati emesso proprio dal Gepd a gennaio 2022. Il nuovo regolamento è una misura adottata dai responsabili politici dell’Ue che EDRi ha descritto come un duro colpo allo Stato di diritto. Inoltre, mina seriamente la figura del Garante: se Europol può essere semplicemente esentato dai legislatori ogni volta che viene colto in flagrante, il sistema di controlli ed equilibri è intrinsecamente compromesso.

Perché?
CB Sebbene l’azione legale abbia una portata limitata e non copra altre disposizioni problematiche della riforma, l’iniziativa del Gepd va accolta con favore in quanto potrebbe costituire un buon precedente legale per altri dossier sulla sicurezza e inviare un chiaro segnale ai responsabili politici: la prassi della polizia dovrebbe seguire la legge e non il contrario.

Più nello specifico, quali sono gli altri aspetti negativi del nuovo regolamento di Europol?
CB Questa riforma legalizzerebbe le pratiche di trattamento dei dati finora vietate e confermerebbe l’uso della polizia predittiva da parte delle forze dell’ordine europee. Europol non sarebbe più obbligato a cancellare i set di dati delle persone innocenti che riceve dalle autorità investigative nazionali ma, al contrario, sarebbe incoraggiato a sfruttarli. Un altro problema della proposta è che ne espande in modo significativo le capacità operative senza un corrispondente rafforzamento dei meccanismi di controllo. In ogni ambito della riforma, all’Agenzia viene conferita una maggiore capacità di prendere iniziative e decisioni proprie senza dover rendere conto a nessuno. Alcune di queste misure sfiorano pericolosamente i limiti delle competenze definite dai trattati dell’Unione europea. Ad esempio, Europol sarebbe autorizzata a rivolgersi direttamente ai privati con richieste di informazioni, aggirando così il necessario controllo giudiziario che sarebbe generalmente richiesto per verificare la legalità di tali richieste e garantire i diritti di un processo equo per i cittadini.

Today, Europol’s amended Regulation enters into force. The new regulation strengthens Europol’s capacity to better support 🇪🇺 Member States in combating serious & organised crime & terrorism and introduces stronger oversight mechanisms.

Details ➡️ https://t.co/DQA0itW8U3 pic.twitter.com/AungOQPgNZ

— Europol (@Europol) June 28, 2022

Il nuovo regolamento di Europol è entrato in vigore il 28 giugno 2022 © Europol

C’è poi il tema della “ricerca e innovazione”. Di cosa si tratta?
CB La riforma conferisce a Europol anche il compito di sostenere la Commissione europea nell’individuazione delle priorità di ricerca nel campo dell’applicazione della legge e della sicurezza e di realizzare progetti attraverso la sperimentazione e lo sviluppo di algoritmi con i dati operativi conservati nei propri database. I rischi sono molteplici: i risultati dei progetti potrebbero portare alla diffusione di sistemi di sorveglianza biometrica di massa illegali o all’uso di sistemi algoritmici “predittivi” da parte di agenti di polizia nazionali e locali che codificano ipotesi razziali e altre discriminazioni e violenze sistematiche.

Quali sono le richieste di modifica proposte da EDRi su questo tema?
CB EDRi si è sostanzialmente opposto a tutte le misure contenute nella riforma e ha invece richiesto una valutazione del precedente mandato, adottato nel 2016, in particolare in termini di impatto sui diritti fondamentali. Nel 2022 avrebbe dovuto essere valutata l’efficacia di Europol nelle sue pratiche di lavoro ma la Commissione ha proposto una revisione delle norme del regolamento prima ancora della valutazione. Un fatto gravissimo. Questa riforma non è stata guidata da prove ma dall’ideologia, mettendo così in discussione la sua necessità e proporzionalità.

Come hanno reagito le principali istituzioni europee (Commissione e Consiglio) a questa richiesta?
CB Le istituzioni europee hanno ignorato gli avvertimenti della società civile. Il dossier è stato definito “tecnico” per evitare troppe discussioni politiche sulla proposta e un più ampio dibattito pubblico sul futuro desiderato di Europol. Il Parlamento europeo ha cercato di compensare l’ampliamento dei poteri con la creazione di nuovi meccanismi di controllo, come l’ufficio del Responsabile per i diritti fondamentali (Fundamental rights officer – Fro). Sappiamo però che questi non riusciranno a sanare un sistema fondamentalmente difettoso: il Fro sarà scelto dal consiglio di amministrazione di Europol tra il personale assunto. Anche con la migliore “formazione in diritto e pratica dei diritti fondamentali” questa persona non sarà in grado di prendere decisioni indipendenti o di chiedere conto in modo efficace alla “catena di comando” interna quando vengono individuate delle violazioni. Lo abbiamo già visto anche in Frontex (l’Agenzia che sorveglia le frontiere esterne europee ndr): si tratta di un meccanismo di controllo che non funziona.

Cosa ci dice questa posizione politica sulla protezione e la sorveglianza dei dati sul futuro dell’Unione europea?
CB La riforma di Europol mostra una tendenza generale verso la sorveglianza di massa e la polizia predittiva in Europa. Mette in luce l’obiettivo generale della comunità delle forze dell’ordine (e della sicurezza nazionale) di cercare di “identificare” gli individui che potrebbero essere coinvolti in reati, in particolare reati gravi o terrorismo, entrambi peraltro definiti in modo piuttosto variabile. Allo scopo di identificare potenziali criminali, parte della strategia dell’Ue consiste nel consentire la raccolta in modo generalizzato di vasti archivi di dati personali su persone innocenti, in particolare facilitando l’accesso in massa da parte delle forze dell’ordine e delle agenzie di intelligence nazionali a banche dati e insiemi di dati su larga scala detenuti dal settore privato. Il secondo elemento della polizia predittiva è l’analisi di grandi quantità di dati in base a “criteri predeterminati” (come il Paese d’origine, il sesso e così via), ossia mediante algoritmi di autoapprendimento basati sull’intelligenza artificiale per individuare le persone sospette. Questo tipo di trattamento dei dati soffre di difetti ineludibili che pongono grandi rischi per i diritti e le libertà delle persone: falsi positivi, risultati discriminatori, processi opachi impossibili da contestare e una cruciale mancanza di test o verifiche scientifiche. In altre parole, si tratta di una sorveglianza di massa di intere popolazioni “senza alcuna differenziazione, limitazione o eccezione”, senza tener conto dei gravi pericoli e delle carenze intrinseche delle tecnologie di estrazione dei dati, e in chiara violazione del diritto dell’Ue. È uno scandalo alla pari della sorveglianza indiscriminata da parte delle agenzie statunitensi, rivelata quasi un decennio fa da Edward Snowden.

Esistono meccanismi di controllo adeguati sull’uso dei dati da parte di Europol?
CB No. Il rafforzamento del mandato di Europol non ha migliorato il deficit democratico di cui soffre l’Agenzia. Ci sono voluti mesi prima che i membri del Parlamento europeo, che fanno parte del Gruppo parlamentare misto di controllo, venissero a conoscenza del fatto che Europol utilizza il software della società statunitense di analisi dei big data Palantir (coinvolta in diversi scandali e criticata per la sua assistenza all’Immigration and Customs Enforcement degli Stati Uniti) per “l’analisi operativa di tutti i dati relativi all’antiterrorismo”. I poteri di controllo del Garante per la protezione dei dati vengono poi ridotti: sarà consultato solo quando Europol avvierà “nuovi tipi di trattamento”, lasciando senza controllo attività operative specifiche. È impossibile per il Gepd sospendere l’utilizzo per fornire i propri pareri, anche nei casi in cui vi sia una richiesta di maggiori informazioni. Europol è quindi persino autorizzato ad avviare il trattamento subito dopo l’avvio della “consultazione preliminare” del Gepd, se ritiene che tale trattamento sia di “importanza sostanziale” per lo svolgimento dei suoi compiti. Una scappatoia di cui si può facilmente abusare. Per quanto riguarda la “sfida dei big data“, Europol sarà incaricato di valutare da solo se ha bisogno di trattare dati al di fuori delle categorie consentite nell’allegato II per sostenere un’indagine penale: il Garante viene “informato” di questa valutazione, senza possibilità di contestarla o modificarla, solo dopo che Europol smette di sostenere l’indagine (che può richiedere anni di procedimenti penali/giudiziari).

Un cittadino europeo che non ha commesso attività criminali e pensi di non essere interessato da queste riforme può disinteressarsi al tema? 
CB Non è necessario commettere alcun reato per essere colpiti. Se vi capitasse di utilizzare lo stesso servizio di comunicazione via internet di un criminale, ad esempio, i vostri dati personali potrebbero essere catturati nella rete e finire nei database interni di Europol, come se vi trovaste “nel posto sbagliato al momento sbagliato”. L’Agenzia potrà conservare i vostri dati per tutto il tempo necessario a indagare sul caso criminale e non avrebbe alcun obbligo di informarvi. Nel frattempo, i vostri dati sono accessibili per la consultazione e l’uso da parte del personale di Europol e di tutti i funzionari nazionali incaricati dell’applicazione della legge autorizzati ad accedere alle banche dati. Il rischio di abuso e di sorveglianza indebita è sproporzionato. Come nel caso dell’attivista olandese Frank van der Linde. È semplicemente ingiusto e ingiustificabile.

© riproduzione riservata