Il 21 dicembre 2021 lo EDPS (Europen Data Protection Supervisor) Wojciech Rafal WIEWIOROWSKI ha siglato la Decision on the retention by Europol of datasets lacking Data Subject Categorisation con la quale si intima a Europol, ai sensi dell’art.18 paragrafo 5 della Europol Regulation di cancellare entro sei mesi dalla ricezione della decisione i dati detenuti da Europol che non siano stati sottoposti alla Data Subjects Categorisation (DSC) come richiesto dall’Allegato II B ER e dalla Opening Decision Orders che specificano le attività di analisi delle diverse categorie di dati personali e di dati riferiti a specifici interessati in modo da rendere queste attività di archiviazione compatibili con l’art. 18 paragrafo 3 del Regolamento Europol.
Perché l’EDPS chiede a Europol di cancellare i dati
La Decision è stata assunta sulla base dell’art. 43, paragrafo 3 del Regolamento Europol che definisce i poteri dello EDPS, ivi compreso quello di ordinare l’eventuale cancellazione dei dati archiviati e conservati in contrasto con la normativa Europol. Non a caso, infatti, questa decisione del 21 dicembre 2021 prevede anche che, decorsi 6 mesi dalla data di recezione della decisione stessa da parte di Europol senza che sia stata data ad essa esecuzione, la Agenzia europea è tenuta a cancellare tutti i dati ancora conservati in modo illegittimo proprio perché non sottoposti a categorizzazione DSC.
Pizzetti: “La nuova era digitale europea ha un problema privacy, bene EDPB-EDPS”
Il tema è molto importante, come dimostra il fatto che la decisione in questione conclude per il momento una lunga vicenda iniziata già con la decisione del 30 aprile 2019 dello EDPS (all’epoca ancora Giovanni Buttarelli) di avviare una indagine sui trattamenti da parte di Europol dei Big data: the EDPS own initiative inquiry on Europol’s big data challenge (case 2019-0370). Iniziativa, questa, sfociata poi nella assunzione della Decisione del nuovo EDPS, Wojciech Wiewiorowski, del 17 Settembre 2020, che definisce sia il concetto di “large datasets” che la corretta interpretazione dell’art. 18 paragrafo 3 e dell’art.43, paragrafo 3 lettere e) ed f) della ER (Europol Regulation), che conteneva essenzialmente una ammonizione a Europol, considerato correttamente come il titolare dei trattamenti dei dati, affinché provvedesse rapidamente ad adottare misure che riducessero i rischi di illegittimi trattamenti dei dati personali conservati e allo stesso tempo non incidessero negativamente sulle capacità operative di Europol.
- Il nodo centrale delle osservazioni fatte dallo EDPS riguardava proprio il fatto che i dati erano conservati senza una adeguata applicazione dei criteri di archiviazione per finalità forensi (e quindi senza applicare i principi della SNC), con la conseguenza di rendere impossibile la verifica che i dati ricevuti dalle Autorità nazionali riguardassero effettivamente individui e comportamenti coinvolti in attività di interesse per le Autorità di sicurezza e dunque fossero raccolti e conservati in conformità al Regolamento Europol.
- Il secondo punto essenziale riguarda il fatto che i dati conservati senza essere adeguatamente catalogati (e quindi anche facilmente reperibili) rendevano e rendono molto difficile la verifica della perdurante attualità delle ragioni alla base della loro conservazione e raccolta e dunque molto complessa la applicazione del principio di minimizzazione che vale anche per Europol e il controllo sul suo rispetto. Infine, e nello stesso quadro, la mancata categorizzazione dei dati raccolti, ricevuti e conservati rende anche molto complessa e difficile l’attività di controllo da parte degli interessati circa il rispetto della normativa Europol che riguarda i dati conservati che si riferiscano a loro, con conseguente lesione del principio di controllo sui dati e di accountability nella loro conservazione nonché incide in misura rilevante anche sulla capacità di controllo delle attività di Europol da parte della Autorità nazionali di garanzia alle quali i singoli interessati si rivolgano per una verifica sulla modalità di raccolta e trattamento dei loro dati.
Nuovo mandato a Europol: può conservare i dati
Update febbraio 2022
Il consiglio ue, ignorando l’alert di EDPS, ha dato un nuovo mandato a Europol permettendole di conservare i vecchi dati a scopi investigativi, mentre i nuovi potranno esserlo per 18 mesi estendibili di altri 18.
Anche “Introduce la possibilità di scambiare dati personali con paesi in cui garanzie adeguate sono state previste tramite uno strumento giuridicamente vincolante o vigono in base all’autovalutazione di Europol”, si legge nella nota del consiglio.
Per alcuni parlamentari europei è una “legalizzazione retroattiva di qualcosa illegale” 8dice la socialdemocratica Brigit Sippel.
Va detto che il nuovo accordo, provvisorio, secondo il consiglio “Prevede inoltre requisiti rigorosi per garantire che qualsiasi trattamento dei dati da parte di Europol avvenga sempre nel rispetto dei diritti fondamentali, compreso il diritto al rispetto della vita privata. In tal modo il regolamento in oggetto si allinea a quello dell’UE in materia di protezione dei dati”.
Alessandro Longo
In ultima analisi, come già la decisione del 2020 metteva in rilievo, la mancanza di una adeguata categorizzazione dei dati conservati da parte di Europol (dati potenzialmente delicatissimi, relativi anche a profili biometrici raccolti per finalità di polizia) metteva (mette) in grave pericolo il principio di accountability, incentivando una diffidenza e un senso di pericolo potenziale da parte dei cittadini che contrasta direttamente proprio con lo scopo principale del GDPR e del principio di accountability su cui esso si basa: lo scopo cioè di incrementare la fiducia dei cittadini nella società digitale e nei trattamenti digitali dei dati che li riguardano.
Peraltro nella Decisione del 2020 lo EDPS rinunciò consapevolmente a imporre la cancellazione dei dati non catalogati presenti nelle banche dati Europol e stabilì che Europol adottasse con urgenza le misure appropriate per ridurre il rischio connesso alle attività di trattamento dei dati, compresa la loro conservazione, in possesso di Europol.
Il 17 novembre 2020 Europol inviò allo EDPS un Action Plan contenente le misure dettagliate che la Agenzia intendeva assumere per ridurre i rischi messi in rilievo dallo EDPS.
Il piano contendeva cinque linee di attività, legate a quella di sostituire la piattaforma denominata CFN con quella, di nuova concezione, definita NFE (New Forensic Environment). Tra queste nuove linee la prima concerneva la possibilità (e il dovere) di segnare con appositi flag i “large data sets” privi di DCS; la seconda l’obbligo di etichettare i data sets in possesso di Europol prima di avviare la estrazione da essi di dati; la terza prevedeva la definizione di “strict access” come elemento per limitare l’accesso ai large data sets solo alle persone formalmente incaricate di estrarre i dati; la quarta la implementazione dell’attività di controllo rispetto ai large data sets oggetto di processi di estrazione dei dati per verificare se i dati estratti sono stati conservati o cancellati; la quinta e ultima linea di azione, infine, riguardava la nomina di un Data Quality Control Coordinator che potesse monitorare strettamente i processi di data review.
Il 4 Dicembre 2020 lo EDPS manifestò i suoi dubbi sul piano presentato e chiese ulteriori chiarimenti sul processo di revisione di large data sets privi di catalogazione DSC e informazioni sui limiti previsti per la piena messa a punto della task incaricata di sovraintendere alla estrazione dei dati. A questi punti interrogativi se ne aggiunsero altri relativi alla cancellazione dei dati rimanenti successivamente all’estrazione dei dati ritenuti necessari.
Le repliche di Europol
Successivamente il 17 marzo 2021 Europol inviò all’EDPS un Progress Report che lo EDPS non giudicò sufficiente a fornire le risposte alle sue domande. Il 19 Aprile 2021 lo EDPS inviò una nuova lettera a Europol sottolineando seri dubbi circa la mancanza di chiarezza riguardo il criterio adottato per garantire la minimizzazione e la disciplina della conservazione dei dati privi di DSC. In particolare lo EDPS sottolineò ancora una volta la mancanza della indicazione del termine massimo di conservazione dei dati privi di DSC, chiedendo che tale termine fosse specificato con il chiarimento che scaduto tale termine i dati avrebbero dovuto essere cancellati immediatamente.
Il 2 giugno 2021 Europol replicò allo EDPS, puntando l’attenzione proprio sull’obbligo di cancellare i dati privi di DSC. In sostanza Europol ribadì che tali dati sarebbero stati oggetto di una nuova review per verificare la necessità e la proporzionalità della loro conservazione tenendo conto degli scopi investigativi come elemento per definire il tempo di DSC quando questo sia richiesto dagli Stati membri.
Lo EDPS rispose ribadendo la necessità di stabilire un tempo massimo di conservazione per i dati non catalogati secondo il DSC e indicando che tale tempo avrebbe potuto essere, a suo giudizio, stabilito in sei mesi.
Il 20 ottobre 2021 Europol inviò un secondo progress report circa l’implementazione del Piano, segnalando che a giudizio dell’Agenzia sei mesi non erano un tempo sufficiente per consentire una analisi adeguata dei dati conservati. In quella occasione Europol contestò anche che la Europol Regulation non permettesse l’uso dei dati inviati dagli Stati membri per attività di analisi e, in generale, per operational analysis, ripetendo la tesi che i dati conservati da Europol potessero essere usati solo nei limiti dell’art. 18 paragrafi 3 e 5 del Regolamento Europol.
Secondo Europol, infatti, i dati in suo possesso potevano essere conservati e trattati pe ogni attività di “criminal intelligence” ed è questo il parametro sul quale verificare la conformità dei trattamenti (compresa la conservazione dei dati) agli art. 31 e 28 della ER.
Più specificamente Europol, nella nota del 20 ottobre 2021, ha sottolineato che, in assenza di un termine esplicito di conservazione dei dati indicato nello ER, è necessario trovare una soluzione che concili il rispetto del principio di necessità e proporzionalità nella conservazione anche dei large data sets per rispettare i diritti degli interessati con le necessità operative degli Stati membri che fanno pare di Europol.
Sulla base di queste considerazioni, e tenendo conto che è in corso una attività normativa di riforma del Regolamento Europol, la Agenzia ha chiesto all’EDPS di differire ogni decisione relativa alla cancellazione di questi dati a dopo che il nuovo Regolamento sia entrato in vigore, lasciando così sorgere il dubbio che Europol ritenga che un diverso termine di conservazione dei dati stabilito nel nuovo Regolamento possa essere applicato anche ai dati raccolti e archiviati durante la vigenza di quello attuale. Inoltre Europol ha chiesto allo EDPS di rinviare ogni decisione in merito al termine massimo di conservazione dei dati a dopo che il nuovo Regolamento sarà entrato in vigore. Infine ha chiesto allo EDPS di tener conto anche del ruolo di colegislatore che egli e lo stesso Europol hanno di fatto assunto in questa vicenda e dunque di voler individuare un minimo denominatore comune fra le esigenze che guidano le due istituzioni fissando in almeno dodici mesi il termine di conservazione dei dati non organizzati secondo il DSC per dare tempo di rispettare le disposizioni previste dal DSC. Ovviamente, secondo Europol, anche questo più ampio periodo di tempo non varrebbe comunque per i dati raccolti nell’ambito di specifiche indagini criminali svolte da Euopol nell’ambito di Joint Investigation Team o di Operational Task Force. In questi ultimi casi, infatti, secondo Europol i dati dovrebbero essere conservati legittimamente fino a che la stessa Europol concorre a tali attività di indagine.
Essendo queste le posizioni espresse da Europol il 20 ottobre 2021 lo EDPS, nella decisione che qui si commenta adottata il 21 dicembre 2021 prende innanzitutto atto che nell’applicazione dell’Action Plan richiesto dallo stesso EDPS Europol ha implementato il numero dei controlli tecnici nel quadro del c.d. SIENA (Secure Information Exchange Network Application e del NEF (la regolazione che ha preso il posto del precedente CFN). Inoltre lo EDPS constata che Europol ha adottato regole che integrano il quadro di trattamento dei dati conservati per mitigare il rischio del loro trattamento anche al di fuori del quadro DSC.
In sostanza lo EDPS prende atto che i nuovi accorgimenti posti in atto impongono ai contributori di indicare se hanno o no applicato le norme e il sistema DSC e se il sistema DSC è completo o incompleto o non applicabile ai dati trattati. Inoltre Europol si impegna a verificare quanto dichiarato e solo dopo la verifica a decidere se i dati inviati e raccolti possono essere ulteriormente processati; se i dati sottoposti al secondo DSC assesment dichiarato “non completed” sono accettabili e con quali limiti per quanto riguarda l’accesso; se tutti i dati trattati comunque anche nel secondo assessment senza applicare il DSC devono essere accettati fra i dati conservati in quanto non contengono dati personali.
Lo EDPS inoltre prende atto dell’impegno di Europol di non trattare più dati conservati senza il rispetto del DSC per ulteriori analisi, di non utilizzarli in ricerche generali in contrasto con nuove informazioni ricevute da Europol o condivise con gli Stati membri o terze parti.
Lo EDPS specifica anche ulteriori raccomandazioni per quanto riguarda le attività di estrazione, conservazione o distruzione di large data sets of data conservati senza rispetto del DSC, confermando così la decisione del 17 settembre 2020. Raccomanda che comunque ove si trattino dati conservati senza DSC si affidi a un gruppo di lavoro apposito il compito di applicare il DSC almeno durante le attività di estrazione dei dati e di sottoporre questo lavoro a un ulteriore controllo di analisti e specialisti di Analisi dei processi al fine di ridurre il numero dei dati trattati e di garantire il rispetto delle regole per quanto possibile.
Solo dopo queste analisi e questi controlli, dice lo EDPS, i dati possono essere considerati accessibili e utilizzabili da gruppi numerosi di utenti attraverso lo USE (Union Search Engine) o lo EAS (European Analysis System).
Tuttavia lo EDPS ricorda che nel Regolamento Europol ancora in vigore in base all’Allegato II.B i dati trattati da Europol devono riguardare o concernere individui che abbiano un chiaro collegamento con attività criminali come sono quelli che le autorità nazionali possono considerare “sospetti”, “potenziali futuri criminali”, “testimoni”, “vittime”, “contatti”, informatori” ecc.
L’eventuale trattamento di dati non riferibili a queste categorie di persone, operato anche attraverso l’incrocio con dati provenienti da autorità nazionali diverse aumenta i rischi dei trattamenti molto oltre il livello di rischio che questi trattamenti hanno comunque a livello nazionale.
La contro-replica di EDPS
Lo EDPS dichiara inoltre di comprendere gli argomenti esposti da Europol anche per dimostrare di aver necessità di maggiore tempo per assicurare che tutti i dati trattati siano conservati in modo conforme al DSC. Tuttavia, sottolinea lo EDPS, i rischi sono troppo elevati per consentire una conservazione che vada oltre il limite indicato nel periodo massimo di sei mesi dall’art. 18 paragrafo 6 dello ER.
Di conseguenza in presenza di un limite normativo di sei mesi indicato nell’art. 18 (6) dello ER lo EDPS conferma il limite di sei mesi come limite massimo di conservazione dei dati Europol non rispettosi del DSC già stabilito nei precedenti provvedimenti.
Il periodo va calcolato dal momento della ricezione dei dati dalle Autorità nazionali e riguarda ogni attività di conservazione o trattamento dei dati ricevuti e conservati senza rispettare le regole DSC.
A seguito di tutto questo lo EDPS ordina che Europol, dalla data di comunicazione della decisione dello EDPS, debba procedere alla analisi e alla categorizzazione di tutte le informazioni ricevute ai sensi dello ER entro sei mesi dalla ricezione del provvedimento. Rispetto ai dati già raccolti da Europol al momento della comunicazione della presente decisone lo EDPS concede ulteriori dodici mesi per le attività di categorizzazione dei dati. Al termine di questi ulteriori dodici mesi i dati non analizzati e categorizzati dovranno essere cancellati. Inoltre Europol dovrà comunicare l’avvenuta cancellazione ai contributori che avevano fornito questi dati.
In ogni caso, fino a che la categorizzazione dei dati non sia completata Europol non può trattare tali dati se non per le finalità necessarie alla loro categorizzazione.
Ogni tre mesi Europol dovrà inoltre fornire reports sulla applicazione della decisione dello EDPS. I Reports dovranno essere divisi in due sezioni delle quali la prima relativa alla identificazione dei dati trattati e dei relativi contributori e la seconda contente informazioni sullo stato di avanzamento dei lavori di categorizzazione dei dati o delle cancellazioni di dati messe in atto.
Infine la decisone dello EDPS ricorda che contro la decisione stessa può essere proposto ricorso alla Corte di giustizia della UE entro due mesi dalla adozione della decisione stessa.
Come si vede il caso è estremamente complesso e di difficile comprensione, intrecciato come esso è al succedersi di varie decisioni dello EDPS e della stessa Europol.
Il nocciolo della vicenda EDPS-Europol
Il nocciolo di tutta la vicenda è però chiaro.
Europol è una Agenzia istituita nell’ambito delle cooperazioni rafforzate tra Stati che l’ordinamento europeo consente e la sua vigilanza, con la riforma del 2016 è affidata allo EDPS, organo della Unione a garanzia dei dati trattati da Istituzioni europee.
La Agenzia è stata istituita in una ottica di supporto alle Autorità nazionali di sicurezza sia interna che esterna e per lungo tempo ha vissuto di un proprio ordinamento del tutto autonomo che prevedeva tuttavia già un complesso sistema di tutela dei dati e di applicazione delle regole europee in materia di protezione dei dati personali, al quale partecipavano le Autorità nazionali di protezione dati che svolgevano questa funzione (come altre analoghe nell’ambito di Eurodac, Eurojust, ecc.) nello specifico contesto ordinamentale del settore.
Con il Regolamento del 2016, non a caso entrato in vigore quasi contemporaneamente al GDPR, anche Europol è stata in qualche modo ulteriormente “normalizzata” come dimostra il fatto che la vigilanza sulla sua attività è stata affidata allo EDPS mentre per le Autorità nazionali la competenza è rimasta ai Garanti dei singoli Paesi membri.
Quello che più conta però è che la vicenda che abbiamo ricostruito mostra in tutta la sua complessità e anche nello sviluppo che ha avuto, e che non è ancora terminato, uno de punti più complessi della protezione dei dati personali. Il punto riguarda la difficoltà di trovare un giusto punto di equilibrio fra le ragioni della tutela nazionale della sicurezza degli individui e della società nel suo complesso e la tutela dei diritti individuali dei cittadini, particolarmente a rischio quando, in un comprensibile e anche lodevole intento di aumentare la capacità di controllo delle strutture di sicurezza nazionale, si voglia incrementare lo scambio di informazioni e di dati tra le agenzie di sicurezza dei diversi paesi membri.
Una difficoltà che riguarda in primo luogo il giusto equilibrio tra sicurezza e sorveglianza, da un lato e tutela dei diritti e libertà dall’altro, mentre, coinvolge anche, in secondo luogo, il modo di concepirsi e di essere dei diversi Paesi chiamati a misurarsi in concreto coi pericoli posti dalla società della sorveglianza. Pericoli che crescono a dismisura quando ciascun Paese possa utilizzare, come ora rischia di avvenire con Europol, i dati raccolti dalle diverse Autorità nazionali sulla base delle leggi nazionali che, senza le adeguate verifiche e garanzie, finiscono per poter essere usati anche da Autorità di altri Paesi, istituite e organizzate secondo i modelli culturali propri di ciascuno di essi. Concetti culturali che possono variare anche in un contesto come quello europeo, pur tenuto insieme da una comune civiltà e da una Carta dei diritti fondamentali dei cittadini europei che ha un valore fortemente unificante.
Tuttavia la preoccupazione che emerge chiara da tutti i provvedimenti dello EDPS che si sono richiamati relativamente all’uso che le singole Autorità nazionali possano fare di dati personali raccolti e fatti circolare senza le dovute garanzie la dice lunga su quanto non basti la Carta dei diritti della UE per garantire davvero i cittadini europei di vivere in una società omogenea e guidata dagli stessi valori, nella quale anche il punto di equilibrio tra sorveglianza e sicurezza sia omogeneo e uniforme su tutto il territorio dell’Unione.
Per questo la vicenda qui sommariamente ricostruita, che certamente avrà ancora evoluzioni importanti, è così rilevante e meritevole di attenzione.
Si aggiunga infine una ultima considerazione.
Necessario ripensare la struttura giuridica dell’UE
Questa vicenda, tutta incentrata su Europol e la normativa che regola questa Agenzia, basata su una cooperazione rafforzata, ci conferma che anche sul piano dei diritti (come accade anche e molto di più su quello delle tecnologie) la Unione Europea dimostra sempre di più che la sua evoluzione nella Digital Age richiede anche un ripensamento della struttura giuridica stessa della Unione.
L’idea, tuttora essenziale, che la Unione abbia la sua base fondativa e la sua ragione d’essere nel Mercato Unico e che questo basti, con l’aggiunta della Carta dei diritti e del crescente sforzo economico comune tipo Recovery fund a rafforzare anche in futuro l’Unione e renderla forte e resiliente quanto è necessario essere nella competizione globale della Epoca Digitale, è sempre più difficile da sostenere.
Al contrario sempre più diventa evidente che non può passare ancora molto tempo prima che si prenda atto della necessità di far fare all’idea stessa di Unione e alla sua struttura giuridica un decisivo passo avanti, ampliandone anche formalmente la base giuridica, le competenze comuni, il funzionamento istituzionale e gli strumenti di tutela dei cittadini che vivono sul suo territorio.
Se la si legge in questa ottica allora anche la vicenda che qui si è cercato di ricostruire appare in tutta la sua rilevanza e nel suo spessore non solo giuridico ma persino istituzionale o, meglio ancora, “storico”.
La presidenza francese dell’UE nodo di svolta per l’Europa digitale
