Il mondo FQ

“Ecco il sistema-ombra con cui Europol scheda illegalmente i dati personali”

Iftach Cohen, avvocato della Ong Front-Lex: "Questi 'ambienti paralleli' dell'agenzia della Ue per la lotta al crimine sono stati creati intenzionalmente per aggirare controlli e garanzie, consentendo il trattamento illecito dei dati personali di ciascuno, specie dei difensori dei diritti umani per facilitarne la criminalizzazione. Abbiamo presentato un reclamo al Garante europeo della privacy. Pronti ad andare anche alla Corte di Giustizia Europea"
“Ecco il sistema-ombra con cui Europol scheda illegalmente i dati personali”
Icona dei commenti Commenti

Europol, l’agenzia della Ue per la lotta al crimine, ha utilizzato un sistema IT (Information Tecnology) illegale per indagare e archiviare i dati di migliaia di persone, inclusi alcuni attivisti che hanno svolto attività di volontariato a favore dei migranti. Lo ha rivelato una recente inchiesta giornalistica pubblicata dalle testate di settore Solomon, Correctiv e Computer Weekly.

In seguito a queste rivelazioni, l’organizzazione no-profit Front-Lex, che si batte per i diritti dei migranti e sorveglia il corretto svolgimento delle funzioni di sorveglianza delle frontiere da parte dell’agenzia Frontex, ha presentato un reclamo per conto di tre difensori dei diritti umani, indagati e poi assolti. Front-Lex sostiene che Europol abbia illegalmente archiviato ed elaborato informazioni sensibili su di loro in ambienti IT non regolamentati, in violazione della legge europea.

Abbiamo chiesto al responsabile del team legale dell’Ong, l’avvocato Iftach Cohen, di spiegarci in cosa consiste la sua azione.

“Abbiamo presentato un reclamo al Garante europeo della protezione dei dati, Wojciech Wiewiórowski, chiedendogli di imporre un divieto temporaneo o definitivo su tutti gli ambienti paralleli ombra illegali di Europol. Questi sistemi operano senza controlli e garanzie ICT di base, consentendo il trattamento illecito dei dati personali di ciascuno di noi. In pratica, vengono utilizzati per conservare illegalmente dati personali appartenenti, ad esempio, a difensori dei diritti umani e facilitarne la criminalizzazione negli Stati membri dell’Unione europea. Il GEPD è stato specificamente investito del potere normativo di imporre un simile divieto per una buona ragione: proteggere i nostri diritti e garantire che le istituzioni dell’Unione europea rispettino il diritto dell’UE in materia di protezione dei dati. Eppure, il GEPD non sta svolgendo adeguatamente il proprio compito. Il candidato italiano, Bruno Gencarelli, è uno dei principali contendenti alla carica di prossimo GEPD. Giustamente incontra una forte opposizione perché lavora presso la Commissione europea e potrebbe quindi non essere in grado di agire in modo indipendente. L’ironia è che l’attuale GEPD non presenta alcun evidente conflitto di interessi, ma agisce come se lo avesse. Chiediamo semplicemente al GEPD di fare il proprio lavoro. In caso contrario, lo porteremo dinanzi alla Corte di giustizia. Al di fuori del GEPD, soltanto i giudici dell’Unione europea possono imporre un divieto sui sistemi illegali di Europol.

Cosa significa un ambiente “Shadow IT ?

Un ambiente parallelo ombra. È, in sostanza, un sistema clandestino e pirata di trattamento dei dati. Consente a qualsiasi analista eccessivamente ‘zelante’ di Europol di conservare illecitamente i dati personali di qualunque individuo, comprese persone innocenti non sospettate di alcun reato, per tutto il tempo che desidera. L’analista può inoltre condividere quei dati con altri, modificarli o nasconderli sotto un nome diverso, rendendo il trattamento stesso semplicemente non rilevabile e noto soltanto a lui. È importante ricordare che il legislatore ha limitato le competenze di Europol: l’Agenzia può trattare e conservare soltanto i dati personali di un sospettato o di una persona di contatto, nell’ambito di un’indagine penale in corso, e solo finché tale trattamento persegue una finalità legittima. I sistemi operativi regolari di Europol sono progettati e disciplinati da garanzie, controlli degli accessi e registri di log che permettono di verificare esattamente se Europol abbia trattato i dati personali di un individuo in modo lecito o illecito. Gli ambienti paralleli ombra sono stati creati intenzionalmente per aggirare tali controlli, consentendo agli analisti che non possono trattare legalmente i dati personali di una persona di farlo comunque.

Può spiegarci meglio in cosa consistono le violazioni?

In generale i dati personali sottratti possono comprendere qualsiasi informazione, dai nostri nomi fino a dati altamente sensibili relativi alle nostre opinioni politiche, alle nostre condizioni di salute o al nostro orientamento sessuale. I nostri dati personali possono essere trattati lecitamente soltanto se sono pertinenti alle attività di Europol nell’ambito di un’indagine penale in corso. Le garanzie e i controlli ICT installati nei sistemi operativi ‘regolari’ di Europol mirano a garantire, in primo luogo, il nostro diritto di accesso ai dati personali trattati da Europol e, in secondo luogo, la nostra capacità di comprendere se tali dati siano stati trattati lecitamente e, in caso contrario, di esercitare il nostro diritto a un ricorso effettivo e portare Europol dinanzi a un giudice.

Se non otterrà risposta come procederà?

Se il GEPD non inizierà a fare il proprio lavoro, tra tre mesi lo porteremo dinanzi alla Corte di Giustizia dell’Unione Europea (CGUE ) con sede in Lussemburgo. Se Europol ha l’audacia di violare i più elementari diritti degli interessati e di contribuire alla criminalizzazione di persone innocenti unicamente a causa delle loro attività politiche, è solo perché il GEPD non adempie ai propri doveri di proteggere i nostri diritti e di garantire che le istituzioni dell’Unione europea operino esclusivamente entro i limiti delle loro competenze legali. È ora che il GEPD inizi a fare il proprio lavoro. Altrimenti, saranno i giudici a costringerlo a farlo.

Gentile lettore, la pubblicazione dei commenti è sospesa dalle 20 alle 9, i commenti per ogni articolo saranno chiusi dopo 72 ore, il massimo di caratteri consentito per ogni messaggio è di 1.500 e ogni utente può postare al massimo 150 commenti alla settimana. Abbiamo deciso di impostare questi limiti per migliorare la qualità del dibattito. È necessario attenersi Termini e Condizioni di utilizzo del sito (in particolare punti 3 e 5): evitare gli insulti, le accuse senza fondamento e mantenersi in tema con la discussione. I commenti saranno pubblicati dopo essere stati letti e approvati, ad eccezione di quelli pubblicati dagli utenti in white list (vedere il punto 3 della nostra policy). Infine non è consentito accedere al servizio tramite account multipli. Vi preghiamo di segnalare eventuali problemi tecnici al nostro supporto tecnico La Redazione