Il nuovo regolamento di #Europol mette a rischio la #privacy di milioni di persone mentre #Frontex, chiamata a controllare le frontiere, punta sull’intelligenza artificiale e la biometria per fermare i migranti. Provando a eludere la legge.
C’è una lotta interna nel cuore delle istituzioni europee il cui esito toccherà da vicino il destino di milioni di persone. Lo scontro è sul nuovo regolamento di Europol, l’Agenzia europea di contrasto al crimine, entrato in vigore a fine giugno 2022 con la “benedizione” del Consiglio europeo ma che il Garante per la protezione dei dati (Gepd) definisce un “colpo allo Stato di diritto”. “La principale controversia riguarda la possibilità per l’Agenzia di aggirare le proprie regole quando ha ‘bisogno’ di trattare categorie di dati al di fuori di quelli che può raccogliere -spiega Chloé Berthélémy, policy advisor dell’European digital rights (Edri), un’organizzazione che difende i diritti digitali nel continente-. Uno scandalo pari a quanto rivelato, quasi un decennio fa, da Edward Snowden sulle agenzie statunitensi che dimostra una tendenza generale, a livello europeo, verso un modello di sorveglianza indiscriminata”.
Con l’obiettivo di porre un freno a questa tendenza, il 22 settembre di quest’anno il presidente del Gepd, Wojciech Wiewiórowski, ha comunicato di aver intentato un’azione legale di fronte alla Corte di giustizia dell’Unione europea per contestare la legittimità dei nuovi poteri attribuiti a Europol. Un momento chiave di questa vicenda è il gennaio 2022 quando l’ufficio del Gepd scopre che proprio l’Agenzia aveva conservato illegalmente un vasto archivio di dati sensibili di oltre 250mila persone, tra cui presunti terroristi o autori di reati, ma soprattutto di persone che erano entrate in contatto con loro. Secondo quanto ricostruito dal Guardian esisteva un’area di memoria (cache) detenuta dall’Agenzia contenente “almeno quattro petabyte, equivalenti a tre milioni di cd-rom” con dati raccolti nei sei anni precedenti dalle singole autorità di polizia nazionali. Il Garante ordina così di cancellare, entro un anno, tutti i dati più “vecchi” di sei mesi ma con un “colpo di mano” questa previsione viene spazzata via proprio con l’entrata in vigore del nuovo regolamento. “In particolare, due disposizioni della riforma rendono retroattivamente legali attività illegali svolte dall’Agenzia in passato -continua Berthélémy-. Ma se Europol può essere semplicemente esentata dai legislatori ogni volta che viene colta in flagrante, il sistema di controlli ed equilibri è intrinsecamente compromesso”.
L’azione legale del Gepd ha però un ulteriore obiettivo. In gioco c’è infatti anche il “modello” che l’Europa adotterà in merito alla protezione dei dati: da un lato quello americano, basato sulla sorveglianza pressoché senza limiti, dall’altro il diritto alla protezione dei dati che può essere limitato solo per legge e con misure proporzionate, compatibili con una società democratica. Ma proprio su questo aspetto le istituzioni europee vacillano. “Il nuovo regolamento esplicita l’obiettivo generale della comunità delle forze dell’ordine: quello di poter utilizzare metodi di ‘polizia predittiva’ che hanno come finalità l’identificazione di individui che potranno potenzialmente essere coinvolti nella commissione di reati”, sottolinea ancora la ricercatrice. Significa, in altri termini, l’analisi di grandi quantità di dati predeterminati (come sesso e nazionalità) mediante algoritmi e tecniche basate sull’intelligenza artificiale che permetterebbero, secondo i promotori del modello, di stabilire preventivamente la pericolosità sociale di un individuo.
“Questo approccio di polizia predittiva si sviluppa negli Stati Uniti a seguito degli attentati del 2001 -spiega Emilio De Capitani, già segretario della Commissione libertà civili (Libe) del Parlamento europeo dal 1998 al 2011 che da tempo si occupa dei temi legati alla raccolta dei dati-. Parallelamente, in quegli anni, inizia la pressione da parte della Commissione europea per sviluppare strumenti di raccolta dati e costruzione di database”.
“Il nuovo regolamento esplicita l’obiettivo generale della comunità delle forze dell’ordine: quello di poter utilizzare metodi di ‘polizia predittiva’” – Chloé Berthélémy
Fra i primi testi legislativi europei che si fondano sulla raccolta pressoché indiscriminata di informazioni c’è la Direttiva 681 del 2016 sulla raccolta dei dati dei passeggeri aerei (Pnr) come strumento “predittivo” per prevenire i reati di terrorismo e altri reati definiti come gravi. “Quando ognuno di noi prende un aereo alimenta due archivi: l’Advanced passenger information (Api), che raccoglie i dati risultanti dai documenti ufficiali come la carta di identità o il passaporto permettendo così di costruire la lista dei passeggeri imbarcati, e un secondo database in cui vengono versate anche tutte le informazioni raccolte dalla compagnia aerea per il contratto di trasporto (carta di credito, e-mail, esigenze alimentari, tipologia dei cibi, annotazioni relative a esigenze personali, etc.) -spiega De Capitani-. Su questi dati legati al contratto di trasporto viene fatto un controllo indiretto di sicurezza filtrando le informazioni in relazione a indicatori che potrebbero essere indizi di pericolosità e che permetterebbero di ‘sventare’ attacchi terroristici, possibili dirottamenti ma anche reati minori come la frode o la stessa violazione delle regole in materia di migrazione. Questo perché il testo della Direttiva ha formulazioni a dir poco ambigue e permette una raccolta spropositata di informazioni”. Tanto da costringere la Corte di giustizia dell’Ue, con una sentenza del giugno 2022 a reinterpretare in modo particolarmente restrittivo il testo legislativo specificando che “l’utilizzo di tali dati è permesso esclusivamente per lo stretto necessario”.
L’esempio della raccolta dati legata ai Pnr è esemplificativo di un meccanismo che sempre di più caratterizza l’operato delle Agenzie europee: raccogliere un elevato numero di dati per finalità genericamente collegate alla sicurezza e con scarse informazioni sulla reale utilità di queste misure indiscriminatamente intrusive. “Alle nostre richieste parlamentari in cui chiedevamo quanti terroristi o criminali fossero stati intercettati grazie a questo sistema, che raccoglie miliardi di dati personali, la risposta è sempre stata evasiva -continua De Capitani-. È come aggiungere paglia mentre si cerca un ago. Il cittadino ci rimette due volte: non ha maggior sicurezza ma perde in termini di rispetto dei suoi diritti. E a perderci sono soprattutto le categorie meno protette, e gli stessi stranieri che vengono o transitano sul territorio europeo”.
“Il cittadino ci rimette due volte: non ha maggior sicurezza ma perde in termini di rispetto dei suoi diritti. Soprattutto le categorie meno protette” – Emilio De Capitani
I migranti in particolare diventano sempre più il “banco di prova” delle misure distopiche di sorveglianza messe in atto dalle istituzioni europee europee attraverso anche altri sistemi che si appoggiano anch’essi sempre più su algoritmi intesi a individuare comportamenti e caratteristiche “pericolose”. E in questo quadro Frontex, l’Agenzia che sorveglia le frontiere esterne europee gioca un ruolo di primo piano. Nel giugno 2022 ancora il Garante europeo ha emesso nei suoi confronti due pareri di vigilanza che sottolineano la presenza di regole “non sufficientemente chiare” sul trattamento dei dati personali dei soggetti interessati dalla sua attività e soprattutto “norme interne che sembrano ampliare il ruolo e la portata dell’Agenzia come autorità di contrasto”.
Il Garante si riferisce a quelle categorie speciali come “i dati sanitari delle persone, i dati che rivelano l’origine razziale o etnica, i dati genetici” che vengono raccolti in seguito all’identificazione di persone potenzialmente coinvolte in reati transfrontalieri. Ma quel tipo di attività di contrasto non rientra nel mandato di Frontex come guardia di frontiera ma ricade eventualmente nelle competenze di un corpo di polizia i cui possibili abusi sarebbero comunque impugnabili davanti a un giudice nazionale o europeo. Quindi, conclude il Garante, il trattamento di questi dati dovrebbe essere protetto con “specifiche garanzie per evitare pratiche discriminatorie”.
Ma secondo Chris Jones, direttore esecutivo del gruppo di ricerca indipendente Statewatch, il problema è a monte. Sono le stesse istituzioni europee a incaricare queste due agenzie di svolgere attività di sorveglianza. “Frontex ed Europol hanno sempre più poteri e maggior peso nella definizione delle priorità per lo sviluppo di nuove tecnologie di sicurezza e sorveglianza”, spiega. Un peso che ha portato, per esempio, a finanziare all’interno del piano strategico Horizon Europe 2020, che delinea il programma dell’Ue per la ricerca e l’innovazione dal 2021 al 2024, il progetto “Secure societies”. Grazie a un portafoglio di quasi 1,7 miliardi di euro è stata commissionata, tra gli altri, la ricerca “ITFlows” che ha come obiettivo quello di prevedere, attraverso l’utilizzo di strumenti di intelligenza artificiale, i flussi migratori. Il sistema predittivo, simile a quello descritto da Berthélémy, è basato su un modello per il quale, con una serie di informazioni storiche raccolte su un certo fenomeno, sarebbe possibile anticipare sugli eventi futuri.
“Se i dati sono cattivi, la decisione sarà cattiva. Se la raccolta dei dati è viziata dal pregiudizio e dal razzismo, lo sarà anche il risultato finale” – Chris Jones
“Se le mie previsioni mi dicono che arriveranno molte persone in un determinato confine, concentrerò maggiormente la mia sorveglianza su quella frontiera e potrò più facilmente respingerli”, osserva Yasha Maccanico, ricercatore di Statewatch. Sempre nell’ambito di “Secure societies” il progetto “iBorderCtrl” riguarda invece famigerati “rilevatori di bugie” pseudoscientifici che dedurrebbe lo stato emotivo, le intenzioni o lo stato mentale di una persona in base ai suoi dati biometrici. L’obiettivo è utilizzare questi strumenti per valutare la credibilità dei racconti dei richiedenti asilo nelle procedure di valutazione delle loro richieste di protezione. E in questo quadro sono fondamentali i dati su cui si basano queste predizioni: “Se i dati sono cattivi, la decisione sarà cattiva -continua Jones-. Se la raccolta dei dati è viziata dal pregiudizio e dal razzismo, lo sarà anche il risultato finale”. Per questi motivi AccessNow, che si occupa di tutela dei diritti umani nella sfera digitale, ha scritto una lettera (firmata anche da Edri e Statewatch) a fine settembre 2022 ai membri del consorzio ITFlows per chiedere di terminare lo sviluppo di questi sistemi.
Anche sul tema dei migranti il legislatore europeo tenta di creare, come per Europol, una scappatoia per attuare politiche di per sé illegali. Nell’aprile 2021 la Commissione europea ha proposto un testo per regolamentare l’utilizzo dell’intelligenza artificiale e degli strumenti basati su di essa (sistemi di videosorveglianza, identificazione biometrica e così via) escludendo però l’applicazione delle tutele previste nei confronti dei cittadini che provengono da Paesi terzi. “Rispetto ai sistemi di intelligenza artificiale quello che conta è il contesto e il fine con cui vengono utilizzati. Individuare la presenza di un essere umano al buio può essere positivo ma se questo sistema è applicato a un confine per ‘respingere’ la persona diventa uno strumento che favorisce la lesione di un diritto fondamentale -spiega Caterina Rodelli analista politica di AccessNow-. Si punta a creare due regimi differenti in cui i diritti dei cittadini di Paesi terzi non sono tutelati come quelli degli europei: non per motivi ‘tecnici’ ma politici”. Gli effetti di scarse tutele per gli uni, i migranti, ricadono però su tutti. “Per un motivo molto semplice. L’Ue, a differenza degli Usa, prevede espressamente il diritto alla tutela della vita privata nelle sue Carte fondamentali -conclude De Capitani-. Protezione che nasce dalle più o meno recenti dittature che hanno vissuto gli Stati membri: l’assunto è che chi è o si ‘sente’ controllato non è libero. Basta questo per capire perché sottende l’adozione di politiche ‘predittive’ e la riforma di Europol o lo strapotere di Frontex, stiano diventando un problema di tutti perché rischiano di violare la Carta dei diritti fondamentali”.
