Conoscete il progetto PeDRA?

Conoscete il progetto PeDRA?

Questo progetto, gestito da Europol e FRONTEX, mira ad acquisire una serie di dati personali, compreso il DNA, di migranti e rifugiati, per proteggere la popolazione europea da elementi sovversivi. Ma non è tutto oro quello che luccica.

PeDRA è l’acronimo di Processing personal data for risk analysis.

Ci troviamo davanti ad un gigantesco database, sviluppato da uno scambio di informazioni fra Europol e FRONTEX, in grado di acquisire una enorme quantità di dati personali, afferenti a soggetti che entrano nel territorio dell’unione europea, sia in qualità di migranti, sia in qualità di rifugiati, sia con altre vesti.

Il motivo per cui è stato impostato ed è continuamente accresciuto questo database è evidentemente legato alla necessità di tenere sotto controllo soggetti, che potenzialmente potrebbero essere elementi terroristici o comunque essere elementi di disturbo al regolare sviluppo dell’attività dei cittadini europei.

Una recente indagine ha però messo in evidenza come queste finalità cercano di essere raggiunte con metodi, sui quali molti esperti di protezione dei dati hanno avanzato delle perplessità.

Vediamo i fatti.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

I motivi per cui questo database è nato, e poi si è sviluppato in maniera esponenziale, sono legati al timore, più o meno legittimo, che tra i migranti in arrivo in Italia da vari paesi extra europei di potessero essere dei presunti terroristi.

Questo è il motivo per cui, nel 2021, l’allora direttore generale di FRONTEX, decise di avviare questa raccolta di dati. Successivamente viene stipulato un accordo con Europol e la base dei dati, che già Europol utilizzava, è stata incorporata in un’unica base dei dati.

È evidente che un’attività così intensa di raccolta di dati personali, molti dei quali assai particolari, potesse destare l’attenzione dei due organismi, che il regolamento generale europeo pone a vigilanza di queste entità.

Ricordo ai lettori che le agenzie europee, che trattano dati personali, non sono poste sotto il controllo del comitato europeo per la protezione dei dati, ma del supervisore europeo per la protezione dei dati. Quest’ultimo organismo ha il compito esclusivo di tenere sotto controllo le attività di trattamento dei dati da parte delle agenzie europee; inoltre, come è del tutto naturale in un contesto così delicato, nella analisi di questa raccolta dei dati è stata coinvolta anche la responsabile della protezione dei dati di FRONTEX, un brillante avvocato spagnolo, Nayra Perez.

Ritengo oltremodo utile ai lettori illustrare i rapporti tra il titolare del trattamento, l’autorità di supervisione ed il responsabile a protezione dei dati, perché questa situazione può rispecchiarsi in numerosi altri contesti, seppur di più ridotta dimensione.

Ricordiamo ancora una volta che esiste un obbligo, per tutti i titolari di trattamenti di dati, siano essi agenzie europee od altre aziende, pubbliche o private, designare un responsabile della protezione dei dati, quando si verificano delle particolari circostanze, come ad esempio una mole estremamente elevata di dati trattati, oppure una particolare criticità dei dati trattati, oppure entrambe le circostanze.

Obbedendo a queste indicazioni, il titolare, FRONTEX, ha designato questo responsabile della protezione dei dati. Ricordo ancora una volta che il responsabile della protezione dei dati non ha una funzione online, in un organigramma aziendale, ma una funzione di supporto e consulenza a latere.

Obbligo del DPO è quindi quello di esaminare le modalità di trattamento dei dati del titolare di riferimento, ed avanzare proposte e suggerimenti, per garantire che tale trattamento avvenga in modo pienamente allineato alle disposizioni del regolamento generale europeo.

Non rientra quindi fra gli obblighi di un DPO adottare provvedimenti correttivi, ma solo segnalarli al titolare; è questo un aspetto fondamentale del ruolo del DPO, che spesso non viene correttamente compreso, portando quindi a malintesi e possibili anomalie nel trattamento dei dati stessi.

Quando il DPO di FRONTEX ha preso in esame le modalità di raccolta e trattamento dei dati dei migranti e dei rifugiati, ha preparato un ponderoso documento, illustrando numerosissimi aspetti, che non sembravano essere allineati con le indicazioni del regolamento generale europeo.

Apparentemente, il titolare prese atto di queste segnalazioni, ma non reagì in alcun modo.

Venne allora coinvolto il supervisore europeo per la protezione dei dati, che nel giugno 2022 ha chiesto a FRONTEX di apportare una serie di modifiche a questo programma di sorveglianza.

Al momento, non si hanno informazioni sulle modalità con cui le indicazioni del supervisore europeo verranno in pratica attuate.

A proposito delle osservazioni presentate dal DPO, è bene ricordare come il DPO deve, per esplicita pronunzia del regolamento europeo, operare in piena autonomia ed avere diretto contatto con la direzione generale e con il titolare, in caso di necessità. Appare evidente quindi ruolo di controllore terzo assegnato al DPO, nei confronti del titolare che lo ha designato, indipendentemente dal fatto che il DPO possa ricevere un compenso per la sua attività.

Ecco il motivo per cui il regolamento europeo ha più volte sottolineato la assoluta indipendenza del DPO, che oltre tutto, salvo casi gravi da dimostrare, non può nemmeno essere sostituito dal titolare per almeno due anni dalla sua designazione. Questa misura precauzionale evidentemente è dettata dal fatto che si vuole proteggere il DPO da possibili pressioni effettuate dal suo titolare, come sembra sia successo nella fattispecie.

Mi auguro che i lettori potranno prendere buona nota di questa situazione, per avere sempre ben chiaro il rapporto fra titolare e DPO, che deve avvenire in un contesto di assoluta indipendenza del DPO e di protezione da possibili pressioni, ove le osservazioni al DPO possano andare in netto contrasto con gli obiettivi e desideri del titolare del trattamento.

In caso, il tribunale di ultima istanza è sempre il supervisore europeo per la protezione dei dati, nel caso di agenzie europee, e il comitato europeo per la protezione dei dati, in tutti gli altri casi.

Adalberto Biasiotti

Licenza Creative Commons