Agentia de politie a UE, Europol, va fi fortata sa sterga o mare parte dintr-un vast depozit de date cu caracter personal pe care s-a constatat ca le-a strans ilegal organul de supraveghere al protectiei datelor. Descoperirea fara precedent din partea Autoritatii Europene pentru Protectia Datelor (AEPD) vizeaza ceea ce expertii in confidentialitate numesc o „arca mare a datelor” care contine miliarde de puncte de informatii. Datele sensibile din arca au fost extrase din rapoartele privind infractiunile, piratate din serviciile telefonice criptate si prelevate de la solicitantii care nu au fost implicati niciodata in vreo infractiune.
Potrivit documentelor interne vazute, memoria cache a Europol contine cel putin 4 petaocteti – echivalentul a 3 milioane de CD-Rom-uri sau o cincime din intregul continut al Bibliotecii Congresului SUA. Sustinatorii protectiei datelor sustin ca volumul de informatii detinute pe sistemele Europol echivaleaza cu supraveghere in masa si este un pas in drumul sau spre a deveni omologul european al Agentiei de Securitate Nationala a SUA (NSA), organizatia a carei spionaj online clandestin a fost dezvaluit de denuntatorul Edward Snowden. .
Printre cvadrilioanele de octeti detinute se numara date sensibile despre cel putin un sfert de milion de suspecti actuali sau fosti de teroare si infractiuni grave si o multitudine de alte persoane cu care au intrat in contact. Acesta a fost acumulat de la autoritatile nationale de politie in ultimii sase ani, intr-o serie de depozite de date dintr-un numar necunoscut de anchete penale.
Organismul de paza a ordonat Europol sa stearga datele detinute timp de mai mult de sase luni si i-a acordat un an pentru a rezolva ceea ce ar putea fi pastrat in mod legal.
Confruntarea confrunta organul de paza al UE pentru protectia datelor cu o puternica agentie de securitate pregatita sa devina centrul invatarii automate si al inteligentei artificiale in politie.
Hotararea expune, de asemenea, diviziuni politice profunde intre factorii de decizie din Europa cu privire la compromisurile dintre securitate si confidentialitate. Rezultatul final al confruntarii lor are implicatii pentru viitorul confidentialitatii in Europa si nu numai.
Comisarul european pentru afaceri interne, Ylva Johansson, a sustinut ca Europol sprijina autoritatile nationale de politie cu „sarcina herculeana” de a analiza datele transmise in mod legal.
Comisarul UE pentru afaceri interne, Ylva Johansson, a parut sa apere Europol. „Autoritatile de aplicare a legii au nevoie de instrumente, resurse si timp pentru a analiza datele care le sunt transmise in mod legal”, a spus ea. „In Europa, Europol este platforma care sprijina autoritatile nationale de politie in aceasta sarcina herculeana.”
Comisia spune ca preocuparile juridice ridicate de AEPD ridica „o provocare serioasa” pentru capacitatea Europol de a-si indeplini atributiile. Anul trecut, a propus modificari radicale ale regulamentului care sta la baza competentelor Europol. Daca vor fi legi, propunerile ar putea legaliza retroactiv memoria cache a datelor si ar putea pastra continutul acestuia ca un teren de testare pentru noi instrumente de inteligenta artificiala si de invatare automata.
Europol neaga orice abatere si a spus ca organul de paza ar putea interpreta regulile actuale intr-un mod nepractic: „Regulamentul Europol nu a fost intentionat de catre legiuitor ca o cerinta care este imposibil de indeplinit de operatorul de date in practica.”
Europol a lucrat cu AEPD „pentru a gasi un echilibru intre mentinerea securitatii UE si a cetatenilor sai, respectand in acelasi timp cele mai inalte standarde de protectie a datelor”, a spus agentia.
Fondat ca organism de coordonare al fortelor nationale de politie din UE si cu sediul la Haga, Europol a fost impins de unele state membre ca o solutie la preocuparile legate de terorism in urma atacurilor Bataclan din 2015 si incurajat sa colecteze date pe mai multe fronturi.
In teorie, Europol este supus unei reglementari stricte cu privire la tipurile de date personale pe care le poate stoca si pentru cat timp. Inregistrarile primite sunt menite sa fie strict clasificate si procesate sau pastrate numai atunci cand au o potentiala relevanta pentru lucrari de mare valoare, cum ar fi combaterea terorismului. Dar continutul complet al continutului pe care il detine este necunoscut, in parte din cauza modului intamplator in care AEPD a constatat ca Europol trateaza datele.
Doar o mana de europeni au devenit constienti de faptul ca propriile lor date sunt stocate si nu se stie ca niciunul nu a fost capabil sa forteze divulgarea. Frank van der Linde, care a fost inclus pe o lista de urmarire a terorismului in Tarile de Jos natale si ulterior eliminat, este unul dintre rarele fire vizibile dintr-o plasa altfel nevazuta.
Activistul politic, ale carui singure infruntari serioase cu politia echivaleaza cu spargerea unei ferestre pentru a intra intr-o cladire si pentru a crea un loc ghemuit pentru persoanele fara adapost, a fost eliminat de pe lista de supraveghere olandeza de autoritati in 2019. Dar cu un an inainte de aceasta inlaturare, el s-a mutat la Berlin, ceea ce, necunoscut lui Van der Linde la acea vreme, a determinat politia olandeza sa-si impartaseasca datele omologilor germani si Europol. Activistul si-a descoperit legatura cu Europol doar cand a vazut un dosar partial desecretizat la primaria Amsterdam.
Pentru a-si elimina datele personale din bazele de date internationale, a apelat la Europol. A fost surprins cand, in iunie 2020, a raspuns spunand ca nu avea nimic la care „avea dreptul sa aiba acces”. Activistul si-a depus plangerea la AEPD. „Nu stiu daca au sters datele dupa ce autoritatile olandeze le-au actualizat [ca] nu ma considera un extremist… Europol este o cutie neagra.”
„Usurinta de a intra pe o astfel de lista este ingrozitoare”, a spus Van der Linde. „Este socant cat de usor impartaseste politia informatii peste granite si este terifiant cat de dificil este sa reusesti sa te stergi din aceste liste.”
Ingrijorarile legate de tratarea datelor sensibile de catre Europol l-au determinat pe organul de paza sa isi ridice propriile intrebari in 2019. Constatarile sale initiale din septembrie a aceluiasi an au aratat ca seturile de date partajate cu Europol au fost stocate fara verificarile adecvate pentru a verifica daca persoanele colectate in ele ar trebui sa sa fie monitorizate sau datele acestora pastrate. Accesul la arca este restrictionat personalului autorizat si o mare parte din continutul acesteia a fost examinat, curatat si utilizat in mod legal.
Cand Europol nu a reusit sa raspunda in mod convingator ingrijorarilor cainelui de paza, AEPD a avertizat public agentia de politie in septembrie 2020, clarificand miza: „Persoanele vizate risca sa fie legate in mod gresit de o activitate criminala in intreaga UE, cu tot potentialul. prejudicii pentru viata lor personala si de familie, libertatea de miscare si ocupatie pe care aceasta le implica.”
Cercetarea care a urmat este surprinsa intr-o serie de documente interne obtinute in temeiul legilor privind libertatea de informare. Acestia arata ca Europol tine timp, iar organul de paza le spune ca nu au reusit sa rezolve „incalcarea legala”. Agentia de politie pare sa astepte ca o noua legislatie a UE sa ofere o acoperire retroactiva pentru ceea ce a facut fara un temei legal timp de sase ani.
Nervozitatea Comisiei Europene cu privire la o ciocnire publica a fost suficienta pentru a-l trage pe directorul general al UE pentru afaceri interne, la o intalnire intre cele doua agentii in decembrie 2021. Surse au spus ca organismul de paza a fost incurajat sa-si „atenueze” criticile publice la adresa Europol.
Dar seful AEPD, a declarat ca intalnirea a fost „ultimul moment pentru ca Europol sa adauge informatii care nu au fost adaugate in ultimele raspunsuri la scrisoarea noastra”.
Intrucat reuniunea nu a raspuns in niciun fel preocuparilor lui Wiewiorowski cu privire la pastrarea legala a datelor, „nu a existat alta modalitate de a rezolva problema, pentru noi”, a spus el, „decat sa emitem o decizie de stergere a datelor care este de peste sase luni”.
Niovi Vavoula, expert juridic la Universitatea Queen Mary din Londra, a declarat: „Noua legislatie este de fapt un efort de a folosi sistemul. Europol si comisia incearca de ani de zile o rectificare ex-post a datelor pastrate ilegal. Dar introducerea de noi reguli nu rezolva legal comportamentul anterior ilegal. Nu asa functioneaza statul de drept.”
Preocuparile expertilor nu se limiteaza la incalcarea de catre Europol a normelor privind pastrarea datelor. Ei vad, de asemenea, o agentie de aplicare a legii care aspira sa efectueze operatiuni de supraveghere in masa.
Membrii comisiei pentru libertati civile, justitie si afaceri interne a parlamentului european, in timpul unei audieri din iunie 2021, au comparat agentia cu NSA. Wiewiorowski a surprins participantii sustinand comparatia in legatura cu practica Europol de a pastra datele. El a subliniat ca Europol folosea argumente similare cu cele folosite de NSA pentru a apara operatiunile de colectare a datelor in vrac si supravegherea in masa, dupa cum a dezvaluit Snowden.
„Ceea ce NSA le-a spus europenilor dupa ce a inceput scandalul Prism a fost ca ei nu proceseaza datele, ci doar le colecteaza si le vor procesa doar in cazul in care este necesar pentru ancheta pe care o fac”, a spus Wiewiorowski europarlamentarilor. „Acesta este ceva care nu respecta abordarea europeana a prelucrarii datelor cu caracter personal.”
Eric Topfer, expert in supraveghere la Institutul German pentru Drepturile Omului, a studiat noul regulament Europol propus si a spus ca prevede ca agentia va prelua date direct de la banci, companii aeriene, companii private si e-mailuri. „Daca Europol va trebui sa ceara doar anumite tipuri de informatii pentru a le servi pe un platou de argint, atunci ne apropiem de o agentie asemanatoare NSA”.
Lupta cu AEPD in ceea ce priveste stocarea datelor este cea mai recenta dovada a faptului ca Europol a favorizat solutiile tehnologice pentru problemele de securitate cu privire la drepturile la confidentialitate. Seful Europol, anterior politist de top al Belgiei, a co-scris un articol de opinie in iulie 2021, care a sustinut ca nevoile agentiilor de aplicare a legii de a extrage dovezi de pe smartphone-uri ar trebui sa depaseasca considerentele de confidentialitate. Articolul pledeaza pentru un drept legal la cheile tuturor serviciilor de criptare.
Nu s-a mentionat nicio dezvaluire a programelor spion Pegasus care sa arate ca multe guverne, inclusiv unele din Europa, incercau in mod activ sa intercepteze comunicarile aparatorilor drepturilor omului, ale jurnalistilor si ale avocatilor pentru care criptarea le ofera singura protectie.
Sefa Europol, Catherine de Bolle, a sustinut ca nevoile agentiilor de aplicare a legii de a extrage dovezi de pe telefoanele inteligente ar trebui sa prevaleze pe considerentele de confidentialitate.
In 2020, Europol si-a trambitat implicarea impreuna cu politia franceza si olandeza in piratarea serviciului de telefonie criptata EncroChat, dezlantuind un torent de date personale in arca. Cand operatiunea secreta a fost dezvaluita de Europol si de omologul sau judiciar, Eurojust, a fost salutata drept unul dintre cele mai mari succese in lupta impotriva crimei organizate din istoria Europei. Numai in Marea Britanie, aproximativ 2.600 de persoane au fost arestate pana in august 2021, iar Nikki Holland, directorul de investigatii la Agentia Nationala pentru Crima din Regatul Unit, a comparat hack-ul cu „a avea o persoana din interior in fiecare grup de crima organizata de top din tara”.
Europol a copiat datele extrase din 120 de milioane de mesaje EncroChat si zeci de milioane de inregistrari de apeluri, imagini si note, apoi le-a impartit fortelor nationale de politie. Fluxul de dovezi privind traficul de droguri si alte infractiuni a inecat nemultumirile cu privire la implicatiile operatiunii. Operatia de hacking care a transformat telefoanele EncroChat in spioni mobili care actioneaza impotriva utilizatorilor lor are asemanari importante cu programele malware de supraveghere precum Pegasus.
Avocati din Germania, Franta, Suedia, Irlanda, Regatul Unit, Norvegia si Tarile de Jos, toti reprezentand clienti prinsi in urma consecintelor, s-au intalnit la Utrecht in noiembrie 2021. Ei au constatat ca cazurile se construiau in intreaga Europa pe baza dovezilor despre care autoritati au fost nedorind sa dezvaluie provenienta. „Anchetatorii si procurorii au ascuns sau deformat faptele”, a spus avocatul german Christian Lodden. „Suntem cu totii de acord ca acestia nu sunt cei mai buni oameni din lume, dar ce suntem gata sa sacrificam pentru a condamna inca o persoana?
Clientela EncroChat includea non-criminali, oameni precum avocati, jurnalisti si oameni de afaceri. Avocatul olandez Haroon Raza a fost unul dintre ei si a spus ca a cumparat un telefon EncroChat de la un magazin de telefonie din Rotterdam. A cerut ca datele lui sa fie sterse. „Din cate am inteles, o copie se afla inca in bazele de date ale Europol, unde ar putea ramane pentru totdeauna.”
Avocatul francez Robin Binsard este convins ca intreaga operatiune echivaleaza cu supraveghere in masa. El a spus: „Dezmontarea unui intreg sistem de comunicatii este ca si cum politia cauta toate apartamentele dintr-un bloc pentru a gasi dovada unei infractiuni: incalca intimitatea si este pur si simplu ilegal”.
Din 2016, Europol desfasoara si un program de screening in masa in taberele de refugiati din Italia si Grecia, culegand date de la zeci de mii de solicitanti de azil in cautare de presupusi luptatori straini si teroristi. Potrivit unui raport de inspectie al AEPD partial declasificat, obtinut in temeiul legilor privind libertatea de informare, „verificarile de rutina” de catre Europol ale migrantilor care trec granitele UE „nu sunt permise”, deoarece nu exista „nu exista nicio baza legala” pentru un astfel de program. Verificarea poate avea ca rezultat stocarea datelor cu caracter personal ale migrantilor intr-o baza de date criminala, indiferent de legaturile gasite catre infractiuni sau terorism. Europol a refuzat sa dezvaluie orice detalii operationale.
Documentele interne indica clar ca Europol isi dezvolta propriul program de invatare automata si inteligenta artificiala, chiar daca organul de supraveghere a datelor din UE ii trecea pe urme. Gasindu-se cu un cache in crestere de date, agentia a apelat la algoritmi pentru a intelege totul. La o luna dupa ce supraveghetorul de date a avertizat public Europol, agentia a revenit cu o intrebare: daca dorea sa antreneze algoritmi cu privire la datele pentru care fusese deja avertizat pentru retinere, ar putea incepe procesul de evaluare a impactului privind protectia datelor pentru acest lucru fara supravegherea AEPD?
Solicitarea precizeaza clar ca algoritmii, care includeau instrumente de recunoastere faciala, nu vor fi conceputi si nici utilizati pentru a prelua date sensibile, cum ar fi starea de sanatate, originea etnica, orientarea sexuala sau politica, chiar daca, asa cum a admis Europol, astfel de date ar fi inevitabil. prelucrate de instrumente: „Recunoastem ca rezultatele obtinute vor contine date sensibile si prelucrarea acestora va fi in conformitate cu Regulamentul Europol”.
Cand organul de paza nu a dat unda verde, Europol a decis de fapt sa retraga AEPD si sa continue indiferent, confirmand acest lucru intr-o scrisoare din ianuarie 2021.
Organismul de paza a raspuns spunand ca va deschide o procedura oficiala de monitorizare. Pana la sfarsitul lunii februarie 2021, Europol a tras frana programului sau de invatare automata. Europol a declarat ca, pana in prezent, „nu a folosit propriile modele de invatare automata pentru analiza operationala si, de asemenea, nu a efectuat „instruire” de invatare automata”.
Dar exista semne clare ca frana va fi eliberata in curand. Europol a inceput deja o runda de recrutare a expertilor care sa ajute la dezvoltarea IA si extragerea datelor.
Forma emergenta a Europol ii alarmeaza pe unii deputati europeni, precum Saskia Bricmont din Belgia. „In numele luptei impotriva criminalitatii si terorismului avem o evolutie a unei agentii, care indeplineste misiuni foarte importante, dar nu sunt executate in mod corect. Acest lucru va duce la probleme”, a spus ea.
Chloe Berthelemy, expert in reteaua europeana a ONG-urilor pentru drepturile digitale, a spus ca, desi Europol este in urma cu SUA in ceea ce priveste capacitatea tehnologica, se afla pe aceeasi cale ca NSA.
„Capacitatea Europol de a colecta cantitati uriase de date si de a le acumula, in ceea ce s-ar putea numi o arca mare de date, dupa care este aproape imposibil sa stii pentru ce sunt folosite, o face o gaura neagra.”
