L’European Data Protection Board (EDPS – Il “Garante Privacy Europeo”) ha fatto ricorso contro il regolamento dell’Europol (l’Agenzia Comunitaria di Polizia) che attribuisce alle forze di polizia eccessiva libertà nell’uso dei dati e delle informazioni.

A questo punto la domanda che ci sorge è: l’Unione, dopo aver assunto il ruolo di leader sul tema con il GDPR, ha ancora interesse a primeggiare sul tema della privacy?

L’antefatto

L’EDPS si è rivolto alla Corte di Giustizia dell’Unione Europea, e l’ha fatto per la prima volta nei confronti di un altro organo dell’Unione.

Già dall’inizio dell’anno si intravedevano alcuni attriti: a gennaio l’EDPS aveva caldamente invitato l’Europol a cancellare dai propri sistemi i dati di tutti i cittadini che non fossero in alcun modo connessi a indagini, reati o condanne. Di tutta risposta, l’Europol ha ignorato l’invito, ritenendo che un gesto di tale portata avrebbe fortemente compromesso le capacità di indagine delle forze di polizia, comprimendone le potenzialità di analisi dei dati.

A fine giugno poi, le tre principali istituzioni europee, Commissione, Consiglio e Parlamento, hanno scelto di schierarsi a fianco dell’Agenzia di Polizia, dando il via libera all’emanazione del Regolamento aggiornato dell’Europol, al quale venivano così conferite grandi libertà sull’uso delle informazioni.

Nel regolamento, infatti, si riconosce all’Europol la possibilità di sfruttare grandi banche dati, contenenti anche dati di cittadini estranei a qualsiasi attività o implicazione criminale, esattamente in contrasto con quanto richiesto a inizio anno dall’EDPS.

Per questo motivo l’Autorità Garante ha impugnato il regolamento davanti alla Corte di Giustizia dell’Unione Europea: a far scalpore però, non è solo il ricorso alla Corte in sé, dove l’EDPS ha già una decina di casi incagliati nei procedimenti in corso…

Privacy vs sicurezza: “è nato prima l’uovo o la gallina?”

Il bilanciamento tra privacy e sicurezza è sicuramente un tema annoso e delicato: da un lato c’è l’Unione, che vanta l’emanazione del regolamento europeo per la protezione dei dati personali, il GDPR, diventato un modello per tutto il mondo, ma che fatica poi ad applicarlo per le poche risorse disponibili. Dall’altro c’è l’Europa bramosa di sicurezza e di confini rigidamente sorvegliati, di un “Panopticon” che continua ad investire in tecnologie di sorveglianza.

In questo tiro alla fune, è la seconda Europa ad avere la meglio, come si può vedere dalle alleanze frontaliere tra Europol e Frontex, o più semplicemente da dove vengono destinate maggiori risorse dalla Commissione stessa: se l’Europol può contare su una flotta di migliaia di persone, l’EDPS nel proprio staff non arriva al centinaio.

Gli articoli del regolamento dell’Europol che l’EDPS proprio non digerisce, sono due: il 74a e il 74b: l’art. 74a autorizza l’Europol a maneggiare i dati personali di persone che non sono sospettate né condannate per reati se ottenuti entro il 28 giugno se si ritiene che siano necessari per portare avanti un’inchiesta. Il 74b aggiunge che, qualora non siano necessari per finalità di indagine, i dati debbano essere analizzati entro un anno e mezzo dalla ricezione per verificare se l’Europol abbia una ragione per trattenerli, e in caso di risposta positiva, possono essere conservati e ulteriormente analizzati per i successivi tre anni.

Le istituzioni europee si trovano quindi a un bivio: garantire che i dati di una persona siano analizzati a prescindere dall’interesse che possano avere in un’indagine, o tutelare i cittadini e i dati che li riguardano rischiando di compromettere le investigazioni dell’Agenzia?

Una situazione che ricorda, se non addirittura che imita, quanto accaduto negli USA portando poi all’invalidazione del Privacy Shield

Tutti contro tutti

Si è così delineato esattamente lo scenario che l’Autorità Garante voleva evitare quando ha invitato l’Agenzia a cancellare i dati slegati da indagini e reati: di tutta risposta, poi, Commissione, Parlamento e Consiglio hanno approvato e licenziato il nuovo regolamento, autorizzando così Europol a trattenere e analizzare informazioni senza alcuna apparente limitazione.

Il forte indebolimento delle garanzie che l’EDPS ha rafforzato negli ultimi anni ha portato così il Garante ad impugnare il regolamento di fronte alla Corte di Giustizia: un attacco nemmeno troppo velato a quelle istituzioni che con una mano disegnavano l’impianto di un’UE leader nella protezione dei dati, e con l’altra remavano nella direzione opposta.

Wiewiórowski, presidente dell’EDPS, ha dichiarato di aver agito con un duplice interesse: in primo luogo, garantire sicurezza del diritto delle persone in un campo delicato come quello della sicurezza, e in secondo luogo per assicurarsi che le istituzioni europee non arretrassero sul tema, indebolendo un impianto già traballante ma ancora riconosciuto come il più garantista nei confronti dei cittadini e dei loro dati.

Arrivederci, Privacy?

A questo punto, e alla luce di queste considerazioni, la domanda è: l’Unione Europea ha ancora l’interesse e la voglia di dedicare una parte del suo processo legislativo a proteggere i dati?

Come se le incertezze sul tema non fossero sufficienti poi, l’EDPS ha dovuto inviare a Consiglio e Parlamento una lettera, lamentando lo scarso budget allocato all’Autorità per il 2023, che, se non incrementato, sarebbe insufficiente anche solo per le attività ordinarie.

Infine, l’EDPS è coinvolto anche nella delicata definizione dell’accordo per un trasferimento sicuro dei dati tra UE e USA, ma non con Wiewiórowski non ha recentemente mancato di ricordare come un accordo sia possibile soltanto con una stretta collaborazione con le altre istituzioni europee.

Ma di questo se ne riparlerà probabilmente in primavera…

Che fare in attesa della primavera?

È noto che molte delle decisioni che riguardano i cittadini vengono calate dall’alto senza che ci sia per gli stessi la possibilità di esprimere una posizione, che peraltro rischierebbe di mettere in stallo il sistema, o rallentare lo stesso, come ad esempio avvenuto con i 3000 e più emendamenti presentati all’avvio dell’iter legislativo dell’AI Act.

Però sui temi della privacy qualcosa ognuno di noi lo può già fare, così da prepararsi a ciò che poi vedremo sorgere, in tema di decisioni, nel 2023.

Noi quello che possiamo fare, e facciamo, è di dare un nostro contributo a chi vuole acquisire consapevolezza per poter valutare l’impatto delle persone, e di conseguenza dei regolamenti, sulle tecnologie.

Informare le persone per aiutarle ad acquisire gli strumenti per poter prendere decisioni consapevoli, e conoscere quanto si discute ai tavoli legislativi.

Per restare aggiornato sulle evoluzioni rimaniamo in contatto, e se non ricevi la nostra redopenletter puoi iscriverti qui.

Nel frattempo ti invitiamo
a segnare sull’agenda il 26 gennaio… ci sarà la terza edizione del “Bicocca Privacy Day”!