Il Garante europeo della Privacy (Edps) ha messo un’ordinanza nei confronti dell’Europol per la cancellazione dei dati relativi a persone che non hanno alcun legame accertato con un’attività criminale. La decisione mette il punto all’indagine avviata dalla Gepd nel 2019. A settembre del 2020 l’autorità aveva già ammonito l’Europol in merito alla conservazione di ingenti volumi di dati senza categorizzare gli interessati, pratica considerata rischiosa e lesiva dei diritti fondamentali delle persone. Sebbene da allora Europol abbia adottato alcune misure, secondo l’autorità non sono state sufficienti: l’autorità aveva chiesto in particolare di stabilire un periodo di conservazione dei dati adeguato per filtrare ed estrarre i dati personali consentiti per l’analisi ai sensi del regolamento Europol. Ma Europol ha conservato i dati più a lungo del necessario, contrariamente ai principi di minimizzazione dei dati e limitazione della conservazione, sanciti dal regolamento Europol.
Il Garante Ue ha quindi deciso di avvalersi dei propri poteri correttivi e di imporre un periodo di conservazione di 6 mesi (per filtrare ed estrarre i dati personali). I set più vecchi di 6 mesi devono essere cancellati. Europol non sarà dunque più autorizzato a conservare dati su persone che non sono state collegate a un reato o ad un’attività criminale. E nel provvedimento l’autorità ha concesso a Europol un periodo di 12 mesi per conformarsi alla decisione per i set di dati già ricevuti prima della notifica del provvedimento (in data 3 gennaio).
“Europol ha affrontato molti dei rischi per la protezione dei dati individuati nell’indagine iniziale dell’Edps. Tuttavia, non sono stati compiuti progressi significativi nell’affrontare la preoccupazione principale che Europol conservi continuamente i dati personali delle persone se non ha stabilito che il trattamento è conforme ai limiti stabiliti dal regolamento Europol – commenta Wojciech Wiewiórowski dell’autorità- . Tale raccolta ed elaborazione di dati può comportare un enorme volume di informazioni, il cui contenuto preciso è spesso sconosciuto a Europol fino al momento in cui viene analizzato ed estratto, un processo che spesso dura anni. Un periodo di 6 mesi per la pre-analisi e il filtraggio di grandi set di dati dovrebbe consentire a Europol di soddisfare le richieste operative degli Stati membri dell’Ue che si affidano a Europol per il supporto tecnico e analitico, riducendo al minimo i rischi per i diritti e le libertà delle persone. Inoltre, comprendendo le esigenze operative di Europol e la quantità di dati raccolti finora, abbiamo deciso di concedere a Europol un periodo di 12 mesi per garantire il rispetto della decisione per i set di dati già in possesso di Europol.”
Secondo il Garante il provvedimento garantirà il rispetto da parte di Europol degli obblighi previsti dal regolamento Europol.
