La sorveglianza di massa di Frontex scavalca ogni regola

Lo scorso novembre, quando Hervé Yves Caniard entra nell’ampia sala conferenze al quattordicesimo piano del quartier generale di Frontex, l’agenzia europea per il controllo delle frontiere, gli occhi dell’opinione pubblica internazionale sono puntati sull’ennesima crisi lungo un confine europeo. A poche ore di macchina da Varsavia, dove ha sede l’agenzia, centinaia di persone sfidano un inverno anticipato per attraversare la frontiera militarizzata tra Bielorussa e Polonia. Pochi giorni prima, un quattordicenne curdo era morto di ipotermia, mentre le forze di sicurezza polacche respingevano i viaggiatori, in gran parte cittadini di Afghanistan, Iraq e Siria, con lacrimogeni e cannoni ad acqua. Sul tavolo della riunione dell’organismo decisionale di Frontex, a cui partecipano rappresentanti di ogni paese membro e della Commissione Ue, c’è però un altro dossier, tanto urgente quanto delicato: l’espansione di un programma di sorveglianza di massa di chi attraversa i confini esterni dell’Ue. Aumentare il controllo PeDRA, che sta per “Processing Personal Data for Risk Analysis” (“Processare dati personali per l’analisi dei rischi”), era stato lanciato a inizio 2016, subito dopo gli attentati firmati da sigle jihadiste a Parigi, per facilitare lo scambio di dati tra Frontex e Europol, l’agenzia di polizia dell’Ue. L’idea di fondo, abbracciata da diversi leader populisti e conservatori, era che tra rifugiati e migranti che arrivavano in Grecia e Italia, fuggendo da conflitti e violenza, si nascondessero presunti terroristi. In quell’incontro di novembre 2021, Caniard e il suo diretto superiore, l’allora direttore generale di Frontex Fabrice Leggeri, propongono di potenziare enormemente il programma. Le guardie di frontiera dell’agenzia, destinate a diventare 10mila nei prossimi anni, vengono autorizzate a raccogliere dati personali particolarmente sensibili di migranti e richiedenti asilo, come il Dna e l’orientamento sessuale, per poi analizzarli e condividerli con Europol. L’obiettivo è di combattere terrorismo e migrazioni irregolari. Per farlo, viene anche autorizzato il monitoraggio delle pagine social media di chi attraversa i confini europei. Una volta espanso, PeDRA avrebbe consentito di immagazzinare i dati di persone sospettate di reati transnazionali come la tratta di persone, ma anche quelli di testimoni e vittime di reati. Caniard, il funzionario che gestisce il dossier, è a capo da anni dell’Unità Legale di Frontex. Solo nell’agosto 2021 però, era stato investito dal connazionale francese Leggeri del compito di predisporre le nuove regole del programma PeDRA. In quel momento era anche direttore ad interim del Centro di Supporto alla Governance, un altro dipartimento di Frontex che fa riferimento direttamente a Leggeri. Una posizione privilegiata per controllare tutte le fasi di stesura del nuovo programma. Le prove degli abusi Grazie a una serie di documenti interni ottenuti attraverso richieste di accesso civico (quelle che negli Stati Uniti sono le richieste FOIA, da Freedom Of Information Act) e ai leak di alcuni verbali degli incontri di Frontex, un consorzio di media europei di cui Domani fa parte, è in grado di mostrare come questo processo sia stato pesantemente viziato. I documenti ottenuti da Domani mostrano come - pur di adottare PeDRA - la dirigenza di Frontex, appoggiata dalla Commissione europea, abbia aggirato i controlli sul rispetto della privacy e messo ai margini le autorità garanti, che avevano già avevano avvertito dei rischi di minare la protezione dei dati personali, criminalizzare i migranti e violare una serie di norme europee. Nayra Perez, la Data protection officer di Frontex, ovvero la funzionaria incaricata di monitorare il rispetto delle norme sulla privacy, quindi una sorta di garante interno dell’agenzia, aveva segnalato ripetutamente che l’espansione di PeDRA «non possa essere portata a termine senza violare la legislazione dell’UE» e che il programma ponesse «un serio rischio di usare i dati in modo improprio rispetto al mandato di Frontex». Le sue osservazioni sono però state ignorate, come rivelano documenti interni. Scavalcare ogni tutela Perez aveva messo in guardia contro la possibilità che i dati raccolti da Frontex potessero essere trasmessi in toto ad Europol. Appena alcuni mesi fa, come rivelato da un’altra inchiesta di Domani, l’agenzia di polizia era infatti finita nel mirino del garante per la privacy dell’Ue (Edps), che le aveva ordinato di cancellare gran parte di un enorme archivio di dati personali, raccolti in modo illegale. Sostenuta dalla Commissione Ue, Frontex ha ignorato la raccomandazione, da parte dell’ufficio di Perez, di consultare l’Edps, guidato dal polacco Wojciech Wiewiórowski, rispetto alla nuova versione di PeDRA. Il garante Ue ha confermato a Domani che il programma comporta rischi di processare dati in modo illegale. Tanto che nel giugno 2022, ha chiesto a Frontex di apportare una serie di modifiche al nuovo programma di sorveglianza, per allinearlo con le norme europee sulla protezione dei dati. Sempre a giugno, quando Domani ha chiesto a Frontex come mai i vertici dell’agenzia avessero sistematicamente ignorato le posizioni e raccomandazioni del proprio Data protection officer (Dpo), nella persona di Nayra Perez, Frontex ha ammesso che l’ufficio di Perez «avrebbe potuto essere coinvolto più strettamente nella redazione e incaricata di dirigere il comitato decisionale». Frontex ha aggiunto che aveva incaricato Perez di riscrivere «alcune decisioni centrali del management board allineandosi alle raccomandazioni dell’Edps e agli insegnamenti appresi». Sorvegliare e discriminare Secondo Niovi Vavoula, esperta di privacy e diritto penale della Queen Mary University di Londra, l’espansione di PeDRA apre le porte a una «criminalizzazione discriminatoria» di persone innocenti, creando un pregiudizio negativo, all’interno di procedimenti penali, verso persone etichettate come sospette dagli agenti di frontiera di Frontex. PeDRA, sostiene la ricercatrice, «è un altro pezzo di un puzzle della crescente sorveglianza dei movimenti di migranti e rifugiati e della criminalizzazione di questa parte di popolazione in Europa». Per Fabrice Leggeri, l’ex direttore di Frontex, costretto a dimettersi nell’aprile 2022 dopo una serie di inchieste giornalistiche e indagini da parte di organismi di vigilanza europei, l’agenzia non doveva limitarsi alla gestione dei confini. Frontex doveva diventare un partner centrale di Europol, adottando funzioni di pubblica sicurezza e polizia. Per farlo, entrambe le agenzie hanno reso sempre più facile e rapido lo scambio di dati personali di cittadini extra-europei. Sei anni prima dell’incontro in cui si decidevano le sorti del programma PeDRA, il 14 novembre 2015, Parigi si risvegliava nel terrore, dopo una serie di attacchi coordinati, in cui militanti islamisti avevano ucciso 130 persone. Un mese più tardi, Leggeri firmava un accordo con l’allora direttore di Europol, il britannico Richard Wainwright, aprendo le porte allo scambio di dati personali tra le due agenzie. Durante un’udienza al parlamento del Regno Unito, Wainwright descriveva la relazione tra le due agenzie come «simbiotica» e volta alla protezione dei confini dell’UE. Nasceva così PeDRA, che a inizio 2016 viene lanciato come progetto pilota, prima in Italia e quindi in Grecia e Spagna. In contemporanea, Europol lanciava un programma parallelo, i cosiddetti Secondary Security Checks (controlli secondari di sicurezza), con cui l’agenzia raccoglie e analizza dati, usando anche sistemi di riconoscimento facciale, di migranti e rifugiati chiusi negli hotspot, i centri di prima identificazione in Italia e Grecia. Controlli che, nei mesi scorsi, sono stati estesi ai rifugiati in fuga dall’Ucraina, posizionando agenti di Europol alle frontiere con Lituania, Polonia, Romania, Slovacchia e Moldavia, «per identificare sospetti terroristi e criminali». Europol non ha però rivelato quali siano i criteri per determinare chi sia soggetto ai controlli e come vengano poi gestiti i dati personali ottenuti. Dal lancio di PeDRA in poi, gli agenti di Frontex hanno interrogato migranti appena arrivati, raccogliendo informazioni su persone sospettate di essere aver facilitato l’attraversamento delle frontiere o di essere legate alla tratta e al terrorismo. Questi pacchetti di dati personali sono trasferiti ad Europol, che li inserisce nei propri database criminali, in cerca di omonimie, corrispondenze, legami. Secondo le statistiche dell’agenzia, tra il 2016 e il 2021, Frontex ha condiviso con Europol i dati personali di 11.254 persone. Nuove regole anti diritti Quella lanciata nel 2015 è però la prima incarnazione di PeDRA. Fino al 2019 infatti, il regolamento di Frontex poneva limiti stringenti alla sua capacità di raccolta e scambio di dati personali. Entrambe le agenzie adottano però nuovi regolamenti: Frontex nel 2019 ed Europol nel 2022. La versione rinforzata di PeDRA viene approvata dal Management Board di Frontex a dicembre 2021, a conclusione di anni di dispute legali e politiche, confinate nei corridoi del quartier generale dell’agenzia. Le nuove regole, che ancora devono entrare in vigore, autorizzano gli agenti di Frontex a raccogliere dati sensibili di tutti i migranti: dal Dna alle impronte digitali, quindi fotografie, informazioni su appartenenza politica, fede religiosa e orientamento sessuale. L’agenzia ha spiegato a Domani che non ha ancora iniziato a processare dati «relativi all’orientamento sessuale» ma che si tratta di informazioni che potrebbero servire a «determinare se dei sospetti che hanno somiglianze siano effettivamente la stessa persona». Dal sesso ai social La possibilità di monitorare le pagine dei social media, un altro degli ingredienti del programma, non è ancora stata utilizzata, sostiene Frontex. I verbali di una riunione di aprile mostrano però come Europol e Frontex abbiano deciso di «rafforzare la cooperazione sul social media monitoring». Un precedente tentativo di sorvegliare i social media di migranti e rifugiati, includendo la «società civile e le comunità della diaspora», era stato abbandonato nel 2019 dopo che l’ong Privacy International aveva sollevato dubbi sulla legalità del progetto. Secondo la ricercatrice Niovi Vavoula, però, le nuove norme di PeDRA autorizzano gli agenti di Frontex a entrare nei profili social «senza limitazioni». Vavoula mette in dubbio l’impianto complessivo di un programma che, spiega, viola una serie di garanzie di protezione dei dati personali, in particolare di minori, persone anziane e vulnerabili, categorie per le quali la legislazione prevede trattamenti ad hoc. «Sembra che il programma sia stato redatto da qualcuno che ha una conoscenza limitata della normativa sulla protezione dei dati personali», ha detto a Domani. «Per processare i dati personali dei bambini, devono essere previste una serie di garanzie a tutela dei loro diritti fondamentali», e garanzie simili devono essere previste per i dati genetici, «molto più sensibili di quelli biometrici». Garanzie di cui, spiega, non c’è traccia nel testo del programma. A mancare è anche la previsione di un periodo massimo di trattenimento dei dati. «Frontex potrebbe trattenerli per sempre», avverte la ricercatrice. Mettere a tacere il dissenso I documenti interni, ottenuti da Domani, mostrano come Hervé Yves Caniard, il funzionario incaricato da Leggeri di supervisionare la redazione della nuova versione di PeDRA, abbia ignorato sistematicamente le obiezioni sollevate dall’ufficio di Nayra Perez, la garante per la privacy dell’agenzia. Avvocata spagnola, Perez dirige un minuscolo ufficio che ha un compito enorme: monitorare il rispetto delle norme sulla protezione dei dati da parte dell’agenzia, nei confronti sia delle persone migranti i cui dati vengono raccolti da Frontex, sia del crescente numero di impiegati e agenti. Questi ultimi sono di fatto il primo corpo di polizia dell’Ue: 1900 agenti in servizio, destinati a diventare 10mila. Come tale, l’avvocata lavora a delle bozze iniziali del PeDRA 2.0 già nel 2018. Quando però Leggeri chiede a Caniard di impadronirsi del dossier, nell’agosto 2021, Perez è messa da parte. Nell’ottobre 2021, quando riceve una bozza semi-definitiva del nuovo programma, l’avvocata scrive subito che «la redazione delle nuove norme rientra de facto nei compiti assegnati dalla legge al Data protection officer (Dpo)» ovvero al suo ufficio. «Quando il Dpo esprime un’opinione – continua – il suo punto di vista non può essere rovesciato o modificato». Il Dpo propone oltre cento modifiche alla bozza, segnalando come quel testo iniziale permetterebbe a Frontex di «arrogarsi il compito di sorvegliare internet» e che le vittime e i testimoni di reati, i cui dati vengano condivisi con Europol, potrebbero affrontare «conseguenze indesiderabili» per il solo fatto di essere registrate in un «database criminale paneuropeo». Negli ultimi mesi del 2021, quando si avvicina la data di approvazione delle nuove regole, le discussioni interne si fanno più tese e Perez fa notare come la dirigenza di Frontex non abbia ancora chiarito in modo inequivocabile l’utilità di allargare la raccolta dei dati personali all’appartenenza etnica o all’orientamento sessuale. «C’è una soglia di legalità da raggiungere, che non è un abbellimento – scrive in un documento interno – ma una stretta necessità». Versioni fake A novembre, quando la bozza finale di PeDRA arriva sul tavolo del Management Board di Frontex, è evidente come la maggior parte delle raccomandazione della Dpo siano state ignorate. In quel momento, l’agenzia era già stata messa sotto indagine da Olaf, l’ufficio Ue antifrode, per il suo ruolo nei respingimenti illegali di migranti nel Mar Egeo. Un’indagine che avrebbe portato alle dimissioni di Fabrice Leggeri, nell’aprile di quest’anno. In un primo momento, rispondendo ad una serie di domande poste dalle testate che hanno realizzato questa inchiesta, Frontex sosteneva che il Dpo «ha avuto un ruolo attivo e centrale nelle deliberazioni» su PeDRA, e che il suo «ruolo di consulenza e monitoraggio è stato rispettato» nel corso del processo decisionale. Dichiarazioni che sono però contraddette dai verbali dell’incontro di novembre, ottenuti in seguito a diverse richieste di accesso civico. Caniard, viene riportato, ammette che la Dpo sia stata consultata «due volte con un preavviso molto breve» e che, visto che Perez aveva inviato la sua opinione solo il giorno prima della riunione, «non c’era possibilità di considerarla». Perez - che aveva inviato il suo file il 16 novembre in vista della riunione del Management Board del 17 e 18 - esorta quindi l’organismo decisionale a «lavorare sulla bozza attuale per eliminare le contraddizioni» e invita a «consultare l’Edps prima di adottarla». Rispondendo a una successiva richiesta di informazioni, a giugno 2022, Frontex ha ritirato le dichiarazioni rese in precedenza, sottolinenando che avrebbe dovuto coinvolgere in modo più forte la Dpo e che la avrebbe incaricata di riscrivere il programma. Il dissenso non era però limitato all’ufficio di Perez. I rappresentanti di Danimarca e Paesi Bassi al Management Board, avevano chiesto infatti di «fare tutto il possibile per evitare una situazione in cui sarà necessario modificare regole appena adottate, solo perché Edps esprime un’opinione contraria». Lo stesso rappresentante della Commissione Ue, secondo i verbali della riunione, liquida l’obiezione, sostenendo che il testo sia «più che maturo per essere adottato» e che non ci sia bisogno di consultare l’Edps, in quanto non obbligatorio. Il ruolo della Commissione Ue Una serie di email scambiata tra Frontex e la Commissione Ue conferma l’urgenza, la pressione da parte dell’esecutivo europeo: subito prima del meeting, il 14 novembre 2021, il rappresentante della Commissione scrive a Frontex che «nonostante sia giusto consultare l’Edps su tutto, ora è più importante che siano adottate almeno le due prime decisioni» sul programma. In uno scambio del luglio precedente, rivolto al direttore Leggeri, la Commissione parlava invece della «assoluta priorità politica di mettere a norma il quadro di protezione dei dati dell’agenzia, senza ulteriori ritardi». Quando Domani ha chiesto alla Commissione perché avesse appoggiato il rafforzamento di un programma di sorveglianza senza farlo prima esaminare dall’Edps, la risposta è stata che la Commissione non commenta gli incontri interni di Frontex. Gli irregolari sono i dati L’Edps, che è l’autorità per la protezione dei dati personali più importante dell’UE, ha potuto visionare una copia delle decisioni sul nuovo PeDRA solo nel gennaio 2022, e ha dichiarato a Domani di essere «preoccupata che che le regole adottate non specifichino con sufficiente chiarezza come saranno processati i dati, né definiscano con precisione come implementare le garanzie di protezione dei dati personali». Il trattamento di dati di categorie estremamente vulnerabili di persone, come chi chiede asilo, pone «rischi elevati per i diritti e le libertà fondamentali», incluso lo stesso diritto d’asilo, ha detto il garante, evidenziando anche come il trasferimento di dati personali tra Frontex ed Europol non possa essere fatto di routine, in modo sistematico, ma debba avvenire «caso per caso». Diversi esperti, consultati nel corso dell’inchiesta, hanno messo in discussione l’efficacia di un programma di sorveglianza così esteso rispetto agli stessi obiettivi che si pone, ovvero combattere la criminalità. Per Douwe Korff, professore emerito di diritto internazionale alla London Metropolitan University, c’è un problema evidente di assenza di risultati concreti e quindi di trasparenza. «Le autorità di pubblica sicurezza non devono sottostare a nessun requisito minimo che mostri come questa espansione dei poteri di sorveglianza sia efficace e proporzionale», ha spiegato Korff, che già si era occupato del caso di Edward Snowden, il whistleblower che ha rivelato il sistema segreto di sorveglianza messo a punto dall’Nsa statunitense. «Se chiedessimo quante persone arrestate grazie a questi dati si siano poi rivelate innocenti, nessuno ci risponderebbe: si preferisce continuare con queste politiche di raccolta di dati in massa, con un fervore religioso», dice Korff. Nel gennaio di quest’anno, quando l’Edps ha ordinato a Europol di cancellare dai suoi immensi archivi i dati di persone che non avevano legami con attività criminali, gli stati membri e la Commissione Ue sono venuti in soccorso della potente agenzia di polizia, adottando una serie di norme che di fatto le permettono di aggirare l’ordine. Raccogliere e condividere dati personali sembra dunque rimanere una priorità, in un contesto segnato da una corsa globale ai dati, con la conseguente moltiplicazione di database nello spazio europeo. Tanto che nel maggio 2022, un gruppo di lavoro tra Frontex ed Europol, chiamato suggestivamente “The Future Group”, ha proposto di lanciare un altro, innovativo, programma di sorveglianza, che dovrebbe profilare in massa chi attraversa le frontiere esterne dell’Unione europea e di paesi aderenti all’accordo di Schengen, utilizzando l’intelligenza artificiale per monitorare e analizzare i dati di cittadini extraeuropei. Questa pubblicazione è parte di un progetto d’inchiesta supportato da European Journalism Center tramite il fondo IJ4EU - Investigative Journalism for Europe e pubblicato da diverse testate europee, tra cui Domani, Der Spiegel, The Guardian, Mediapart, Balkan Investigative Reporting Network, News 24/7, Reporters United. Il primo capitolo è stato pubblicato da Domani a gennaio 2022.