Il servizio di intelligence europeo ha accumulato una mole di dati sensibili su migliaia di persone sospettate di terrorismo e anche senza legami con reti criminali. Ora interviene il garante europeo

Il primo allarme era arrivato a giugno del 2021, quando era emerso che l’Europol, il servizio di intelligence dell’Ue, stava raccogliendo dati biometrici dei cittadini europei, senza che vi fosse alcuna correlazione con eventi di natura criminale. Già allora si era parlato di un tentativo da parte dell’Europol di diventare simile alla più nota Nsa americana (National Security Agency), laddove la notorietà dipende in gran parte dalle nefandezze rivelate da Edward Snowden nel 2011 a proposito della sorveglianza di massa attuata su cittadini americani e non solo.

 

Nel 2021 Chloé Berthélémy, consulente politica e responsabile della sorveglianza presso European Digital Rights, una rete europea che difende i diritti e le libertà online, su Euractiv aveva scritto che «l’archiviazione delle comunicazioni sensibili di persone innocenti per mesi o addirittura anni nelle banche dati di Europol aggraverà la reputazione di Europol come agenzia potente ma oscura e irresponsabile».

 

 

Nei giorni scorsi il garante della privacy europeo (Edps, European Data Protection Supervisor) ha finalmente ordinato la cancellazione, entro un anno, di tutti i dati archiviati in modo illecito da più di sei mesi su cittadini che non hanno alcun collegamento con un’attività criminale. La decisione ha scoperchiato quanto ha fatto l’Europol in questi anni, rivelando una mole di dati impressionante. A visionarli è stato il Guardian, secondo il quale sarebbero stati conservati circa 4 petabyte di dati, «equivalenti a 3 milioni di CD-Rom o un quinto dell’intero contenuto della Biblioteca del Congresso degli Stati Uniti».

 

All’interno ci sarebbero dati sensibili su migliaia di persone sospettate di terrorismo e crimini gravi attuali o passati, raccolti dalle polizie nazionali negli ultimi sei anni tra database e inchieste penali. La richiesta di cancellazione dei dati è tanto più importante in vista di nuove decisioni europee circa le attività di Europol e le garanzie di privacy, benché per Chloé Berthélémy, nonostante il passo rilevante compiuto, «sfortunatamente, la riforma di Europol che sarà adottata a breve annullerà tutti questi sforzi come previsto per legalizzare le stesse pratiche che minano la protezione dei dati e i diritti a un processo equo». Il problema di questa immensa miniera di dati è che tra i sospettati dell’agenzia europea ci è finito chiunque, anche chi non aveva alcun collegamento con reti criminali, dimostrando una pesca a strascico nella raccolta dei dati che finisce per non garantire nessuno.

 

La genesi di questa storia lo dimostra: tutto ha inizio nel 2014 e dipende in gran parte dalla tenacia di un attivista olandese, Frank van der Linde. Secondo la sua ricostruzione, nel 2014, la polizia e l’organo di anti-terrorismo olandese hanno iniziato a indagare su di lui, registrando anche i suoi post su Twitter. Dal 2017 al 2019 hanno aggiunto i suoi dati personali a un elenco di sospetti terroristi e hanno condiviso queste informazioni con Europol e Interpol. Da allora, la polizia ha segnalato le attività di Frank con un codice Cter (Counter Terrorism Extremism and Radicalization).

 

Nell’ottobre 2018, per la prima volta, van der Linde chiede alla polizia di fornirgli le informazioni che avevano memorizzato su di lui. Nel febbraio 2019, le agenzie di polizia, inclusa l’anti-terrorismo, riconoscono l’attivismo di Frank come “non violento” rimuovendolo dalla lista. Ma il suo nome continua a essere presente nelle liste Europol. Van der Linde, per fortuna, si rivolge direttamente a Wojciech Wiewiórowski, che dal 2019 è a capo di Edps. Wiewiórowski prende a cuore il caso: il 30 aprile 2019 Edps, come scritto sul proprio sito, avvia un’indagine di propria iniziativa sul trattamento dei dati da parte di Europol; il 17 settembre 2020 Edps conclude la sua indagine con un ammonimento a Europol «poiché permangono problemi strutturali, in particolare per quanto riguarda il rispetto dei principi di minimizzazione dei dati», chiedendo a Europol di attuare «tutte le misure necessarie e appropriate per attenuare i rischi per le persone derivanti da tali attività di trattamento dei dati personali». Edps all’epoca si era rivolta direttamente a Catherine De Bolle, direttrice esecutiva di Europol, con un documento dal titolo “Edps decision on the own initiative inquiry on Europol’s big data challenge” nel quale chiedeva risposte circa la raccolta dei dati. Senza ottenere risposte. Catherine De Bolle del resto sembra avere una posizione piuttosto chiara al riguardo: nel 2020 sul sito di Europol era apparso un suo articolo dal titolo “How to catch bad guys with the help of data - the right way” nel quale evidenziava l’importanza della privacy, lasciando però intendere che non sempre poteva essere l’unica guida nelle attività di polizia, anzi. E nel luglio del 2021, insieme a Cyrus Vance Jr., procuratore distrettuale della contea di New York, ha chiarito ancora meglio le sue idee, in un appello dal titolo “The last refuge of the criminal: Encrypted smartphones”.

 

In questo testo i due vanno molto oltre il concetto di privacy, «La tecnologia si sta muovendo rapidamente e il suo abuso criminale non fa eccezione. I dispositivi digitali sono sempre più gli strumenti chiave con cui i crimini vengono pianificati e perpetuati; e spesso detengono le prove necessarie per risolvere un crimine. Troppo spesso, però, all’interno di uno smartphone quell’evidenza è inaccessibile», scagliandosi infine contro i servizi di crittografia. In sostanza si richiede o si auspica la possibilità di utilizzare quei software, come ad esempio Pegasus della israeliana Nso, considerati pericolosi nelle mani degli Stati che possono usarli per sorvegliare anche attivisti e giornalisti. Dopo la decisione dell’Edps la Commissaria europea per gli affari interni europei Ylva Johansson ha affermato a Politico che «il potenziale rischio della decisione, che impone un periodo di conservazione dei dati di sei mesi e ordina a Europol di cancellare i dati su persone senza alcun legame criminale stabilito, è enorme».

 

L’Europol a sua volta ha risposto con un comunicato nel quale sostiene che la decisione dell’Edps «avrà un impatto sulla capacità di Europol di analizzare set di dati complessi e di grandi dimensioni su richiesta delle forze dell’ordine dell’Ue. Si tratta di dati di proprietà degli Stati membri dell’Ue e dei partner operativi e forniti a Europol in relazione alle indagini sostenute nell’ambito del suo mandato e comprende, tra gli altri, il terrorismo, la criminalità informatica, il traffico internazionale di droga e gli abusi sui minori. Il lavoro di Europol comporta spesso un periodo superiore a sei mesi, così come le indagini di polizia che supporta. Ciò è illustrato da alcuni dei casi più importanti di Europol negli ultimi anni».

 

Si ripropone dunque l’antico dilemma tra sicurezza e privacy e contemporaneamente la logica che sembra guidare quello che Shoshana Zuboff ha chiamato «capitalismo di sorveglianza», ovvero la smodata raccolta di dati, elemento che accomuna ormai aziende e Stati. E se si mette giustamente in evidenza l’uso spregiudicato delle grandi corporation e piattaforme nella raccolta dei nostri dati, che spesso forniamo gratuitamente, mettendo a profitto delle aziende la nostra vita privata, si sottolinea meno questa attività da parte di Stati, o più Stati. Con il rischio di finire nelle stesse dinamiche kafkiane dell’attivista olandese.