Un archivio – o “grande arca di dati”, com’è stata chiamata – contenente oltre 4 petabyte di dati sensibili. Per dare una idea, si tratta di una mole di informazioni equivalente grosso modo a 3 milioni di Cd-rom, oppure a un quinto dell’intera biblioteca del Congresso degli Stati Uniti. È la dimensione di un archivio di dati personali raccolti dall’Europol, l’agenzia di polizia dell’Ue, che dovrà ora smantellarla almeno in gran parte. La scoperta, che il Guardian definisce senza precedenti, è stata fatta dal Garante europeo della protezione dei dati (Gepd). Quanto alla provenienza di questi dati, essi sarebbero stati estratti da rapporti criminali, ma anche hackerati da servizi telefonici criptati e campionati da richieste di asilo di soggetti mai coinvolti in alcun reato.

La sentenza

In mezzo agli archivi dell’Europol ci sono dati sensibili riguardanti almeno 250mila soggetti attualmente o precedentemente sospettati di terrorismo o di crimini gravi, e di molte altre persone con cui questi sono venuti in contatto. Tutti questi dati sono stati accumulati dalle autorità nazionali nel corso degli ultimi 6 anni. Secondo i difensori della privacy, il volume di informazioni raccolte nei sistemi dell’agenzia può definirsi una vera e propria sorveglianza di massa.

Il Gepd ha così ingiunto all’Europol di cancellare i dati conservati da più di 6 mesi, dando all’agenzia un anno di tempo per valutare cosa potesse essere legittimamente conservato e cosa va invece distrutto. Il confronto mette il garante in rotta di collisione con la potente agenzia di polizia dell’Unione, che sta lavorando per diventare il centro del machine learning e dell’intelligenza artificiale nelle attività poliziesche all'interno dell'Ue. Ma la sentenza mette anche a nudo le profonde divisioni politiche tra i decisori europei su uno dei più classici compromessi, emerso con forza nell’era digitale post-11 settembre: quello tra sicurezza e privacy. L’esito finale di questo confronto avrà implicazioni rilevanti per il futuro della privacy in Ue e non solo.

Il garante europeo aveva sollevato le questioni relative al trattamento dei dati sensibili nel 2019. A settembre di quell’anno, aveva scoperto che i dataset condivisi dalle autorità nazionali con l’Europol venivano archiviati senza che venissero effettuati gli adeguati controlli per verificare se i soggetti interessati dovessero essere effettivamente monitorati e i loro dati conservati.

Ma l’agenzia non è stata apparentemente in grado di rispondere in modo convincente alle preoccupazioni del Gepd, portando quest’ultimo ad ammonirla pubblicamente nel settembre 2020, paventando i rischi per gli interessati di venire erroneamente associati con attività criminose su tutto il territorio dell’Ue, il che potrebbe risultare in serie limitazioni della libertà di movimento nonché nella violazione ingiustificata della loro sfera personale e familiare.

La risposta di Europol

Dal canto suo, l’Europol ha negato di aver commesso qualsiasi illecito, sostenendo che il Gepd stia interpretando le regole in modo troppo restrittivo. E ha tenuto a ricordare che l’agenzia ha lavorato in collaborazione proprio con il garante europeo “per trovare un equilibrio tra il mantenimento della sicurezza dell’Ue e dei suoi cittadini, pur aderendo ai più alti standard di protezione dei dati”.

L’Europol, che ha sede all’Aja, è nata come organismo di coordinamento delle forze di polizia degli Stati membri, ma dopo gli attentati del 2015 alcuni Paesi Ue hanno spinto per dotarla di poteri nell’ambito della lotta al terrorismo, incoraggiandola a raccogliere una vasta mole di dati. Attualmente, l’agenzia è sottoposta a un regolamento piuttosto stringente circa quali tipi di dati personali può conservare e per quanto tempo. Sulla carta, i dati dovrebbero essere rigorosamente classificati e conservati solo qualora abbiano una potenziale rilevanza per questioni importanti come appunto l’antiterrorismo. Tuttavia non si conosce con esattezza il contenuto completo degli archivi.

Il ruolo della Commissione

A difeda dell'Europol è intervenuta la commissaria Ue per gli Affari interni, Ylva Johansson: “Le autorità di polizia hanno bisogno di strumenti, risorse e tempo per analizzare i dati che vengono legalmente trasmessi loro”, ha dichiarato, sottolineando che si tratta di una “fatica di Ercole”. Ma ha anche aggiunto che le preoccupazioni sollevate dal Gepd sotto il profilo legale costituiscono “una seria sfida” alla capacità dell’Europol di adempiere al proprio mandato.

L’anno scorso, la Commissione ha proposto una riforma radicale dei poteri dell’agenzia, che se approvata potrebbe portare alla legalizzazione retrospettiva delle attività “incriminate” dell’Europol e al mantenimento, tra le altre cose, dei dati raccolti in questi anni. Ma secondo Niovi Vavoula, esperta legale della Queen Mary University di Londra, “la nuova legislazione è in realtà uno sforzo per aggirare il sistema”. “L’Europol e la Commissione hanno tentato una rettifica ex-post dei dati conservati illegalmente per anni. Ma mettere in atto delle nuove regole non risolve legalmente una condotta precedentemente illegale. Non è così che funziona lo stato di diritto”, ha aggiunto.

Monique Pariat, direttore generale del dipartimento della Commissione per gli Affari interni, ha organizzato lo scorso dicembre un incontro tra l’agenzia e il garante europeo, dove il Gepd sarebbe stato incoraggiato a “smorzare” le sue accuse nei confronti dell’Europol. Secondo il direttore del Gepd, Wojciech Wiewiórowski, il meeting non ha dissipato i dubbi relativi alle preoccupazioni legali, dunque è stato necessario emettere una sentenza di cancellazione dei dati raccolti da più di 6 mesi.

Spiare gli europei?

Ma secondo gli esperti, non si tratta solo di violare le regole sulla conservazione dei dati. Il rischio concreto è quello l’Aja conduca operazioni di sorveglianza di massa proprio come la Nsa, l'agenzia per la sicurezza degli Stati Uniti finita al centro di un grosso scandalo internazionale a seguito delle rivelazioni di Snowden di 9 anni fa.

In un’audizione al Parlamento europeo dello scorso giugno, Wiewiórowski ha evidenziato come gli argomenti usati dall’Europol fossero simili a quelli addotti dall’agenzia americana per difendere le proprie operazioni di spionaggio. “Quello che la Nsa ha detto agli europei dopo l’inizio dello scandalo Prism è che non stavano elaborando i dati, li stavano solo raccogliendo e li avrebbero elaborati solo nel caso fosse necessario per l’indagine in corso”, ha sostenuto il direttore del Gepd, aggiungendo che questo metodo “non è conforme all’approccio europeo al trattamento dei dati personali”.

Chloé Berthélémy, esperta della rete di Ong European Digital Rights, ha dichiarato che “la capacità dell’Europol di raccogliere enormi quantità di dati e di accumularli, in quella che si potrebbe chiamare una grande arca di dati” di cui non si conoscono gli utilizzi successivi, rende l’agenzia “un buco nero”.

Sicurezza batte privacy: l’affaire EncroChat e i campi profughi

Non è la prima volta che l’Europol finisce al centro del dibattito sul fragile equilibrio tra sicurezza e privacy. La stessa dirigente dell’agenzia, Catherine De Bolle, già a capo della polizia federale belga, ha sostenuto lo scorso luglio che l’esigenza delle forze dell’ordine di estrarre prove direttamente dagli smartphone dovrebbe prevalere sulle considerazioni legate alla riservatezza. De Bolle si è spinta ad auspicare l’introduzione di un diritto legale in seno alla polizia per poter “scassinare” tutti i servizi crittografati.

Nel 2020, l’Europol ha collaborato con la polizia francese e olandese nell’hackeraggio del servizio telefonico criptato EncroChat, in un’operazione inizialmente segreta e successivamente salutata dall’Eurojust (l’agenzia giudiziaria Ue) come uno dei più grandi successi nella lotta al crimine organizzato in Europa. L’Europol ha messo le mani sui dati estratti da oltre 120 milioni di messaggi criptati (nonché da decine di milioni di chiamate, foto e note), distribuendoli poi alle forze di polizia nazionali.

In quell’occasione, le prove schiaccianti del traffico di droga e di altri reati ottenute per mezzo di azioni legalmente dubbie ha fatto passare in secondo piano le possibili implicazioni per la privacy derivanti da un’azione così intrusiva dell’agenzia. Di fatto, l’operazione ha trasformato i dispositivi EncroChat in spie che agivano contro i propri utenti, proprio come i malware di sorveglianza (è della scorsa estate il cosiddetto caso Pegasus). Secondo l’avvocato Robin Binsard, “smantellare un intero sistema di comunicazione è come quando la polizia perquisisce tutti gli appartamenti di un condominio per trovare le prove di un crimine: viola la privacy ed è semplicemente illegale”.

Dal 2016, l’Europol ha anche condotto un programma di screening di massa in diversi campi profughi in Italia e in Grecia, raccogliendo i dati di decine di migliaia di richiedenti asilo in cerca di presunti combattenti stranieri e terroristi. Stando al Gepd, questi “controlli di routine” da parte dell’agenzia “non sono consentiti” dal momento che non esiste alcuna base giuridica per un’operazione del genere. Da parte sua, l’Europol non ha rivelato alcun dettaglio operativo sulla faccenda.