Camera dei deputati - Legislatura - Dossier di documentazione (Versione per stampa)
Autore: RUE - Ufficio SG - Ufficio Rapporti con l'Unione europea
Titolo: Audizione di rappresentanti di Europol presso il Comitato Parlamentare di controllo sull'attuazione dell'accordo di Schengen, di vigilanza sull'attività di Europol, di controllo e vigilanza in materia di immigrazione
Serie: Documentazione per le Commissioni - Audizioni e incontri in ambito UE   Numero: 21
Data: 28/01/2020
Organi della Camera: Comitato parlamentare di controllo sull'attuazione dell'accordo di Schengen, di vigilanza sull'attività di Europol, di controllo e vigilanza in materia d'immigrazione, XIV Unione Europea


+ maggiori informazioni sul dossier

Audizione di rappresentanti di Europol presso il Comitato Parlamentare di controllo sull'attuazione dell'accordo di Schengen, di vigilanza sull'attività di Europol, di controllo e vigilanza in materia di immigrazione

28 gennaio 2020


Indice
Il ruolo dell'Agenzia|L'Europol travel intelligence Centre (ETIC)|L'unità EC3|La protezione dei dati personali nell'ambito delle attività di Europol|Il Gruppo di controllo parlamentare congiunto sulle attività di Europol|


Il ruolo dell'Agenzia

Entrata in funzione nel 1998 sulla base della Convenzione Europol del 1995, e più volte giuridicamente riformata, da ultimo, con il regolamento n. 2016/794, l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto ( Europol) assiste le autorità degli Stati membri incaricate dell'applicazione della legge fornendo una piattaforma per lo scambio e l'analisi di informazioni su una serie di attività criminali gravi e a carattere transnazionale.
Il raggio di azione dell'Agenzia, previsto dall'articolo 88, paragrafo, 1, del Trattato sul funzionamento dell'UE, ricomprende la prevenzione e la lotta contro la criminalità grave che interessa due o più Stati membri, il terrorismo e le forme di criminalità che ledono un interesse comune oggetto di una politica dell'Unione. In particolare, l'allegato I del regolamento citato specifica le tipologie di reato di competenza dell'Agenzia: terrorismo, criminalità organizzata, traffico di stupefacenti, attività di riciclaggio del denaro, criminalità nel settore delle materie nucleari e radioattive, organizzazione del traffico di migranti, tratta di esseri umani, criminalità connessa al traffico di veicoli rubati, omicidio volontario e lesioni personali gravi, traffico illecito di organi e tessuti umani, rapimento, sequestro e presa di ostaggi, razzismo e xenofobia, rapina e furto aggravato, traffico illecito di beni culturali, compresi gli oggetti d'antiquariato e le opere d'arte, truffe e frodi, reati contro gli interessi finanziari dell'Unione, abuso di informazioni privilegiate e manipolazione del mercato finanziario, racket e estorsioni, contraffazione e pirateria in materia di prodotti, falsificazione di atti amministrativi e traffico di documenti falsi, falsificazione di monete e di altri mezzi di pagamento, criminalità informatica, corruzione, traffico illecito di armi, munizioni ed esplosivi, traffico illecito di specie animali protette, traffico illecito di specie e di essenze vegetali protette, criminalità ambientale, compreso l'inquinamento provocato dalle navi, traffico illecito di sostanze ormonali e altri fattori di crescita, abuso e sfruttamento sessuale, compresi materiale pedopornografico e adescamento di minori per scopi sessuali, genocidio, crimini contro l'umanità e crimini di guerra.
Con sede a L'Aia (Paesi Bassi), l'Agenzia funge da:
  • centro di sostegno per le operazioni di contrasto;
  • centro di informazioni sulle attività criminali;
  • centro di competenze in tema di applicazione della legge.
Oltre alla raccolta, conservazione, trattamento, analisi e scambio di informazioni, l'Agenzia può sostenere e rafforzare le azioni delle autorità competenti degli Stati membri svolgendo attività di coordinamento, organizzazione e svolgimento di indagini e azioni operative comuni. Tuttavia, Europol non applica misure coercitive nello svolgimento dei suoi compiti, trattandosi di competenza esclusiva delle pertinenti autorità nazionali.
 La struttura amministrativa e di gestione di Europol comprende: un consiglio di amministrazione; un direttore esecutivo; se del caso, altri organi consultivi istituiti dal consiglio di amministrazione.
In particolare, il consiglio di amministrazione è il principale organo di governance dell'Agenzia. Esso infatti è chiamato a stabilire gli orientamenti strategici e a verificare l'attuazione dei suoi compiti. Il consiglio inoltre adotta i programmi di lavoro annuali e pluriennali, nonché il bilancio annuale. Il board è composto da un rappresentante per ciascuno Stato membro dell'UE che partecipa al regolamento Europol e da un rappresentante della Commissione europea. La Danimarca ha lo status di osservatore. Il consiglio di amministrazione si riunisce in media quattro volte all'anno.
Il budget dell'Agenzia per il 2020 ammonta a oltre 154 milioni di euro.
La funzione di analisi delle attività criminali esercitata da Europol si traduce, tra l'altro, nella pubblicazione dei seguenti documenti periodici di valutazione:
  • la valutazione della minaccia rappresentata dalla criminalità organizzata e dalle forme gravi di criminalità nell'UE ( SOCTA);
  • la relazione sulla situazione e sulle tendenze del terrorismo nell'UE ( TE-SAT), recante un resoconto dettagliato dello stato del terrorismo nell'UE;
  • la relazione annuale dell'Agenzia, recante in linea di massima mezzi impiegati e risultati riconducibili alle attività di Europol;
  • l'Internet IOCTA (Internet Organized Crime Threat Assessment), relazione su minacce emergenti e sviluppi nel crimine informatico, e sulle attività di Europol in tale settore.
L'Agenzia riveste un ruolo centrale per quanto riguarda la condivisione di informazioni tra Stati membri in materia di criminalità. Al riguardo, il quadro giuridico di Europol disciplina le modalità di interrogazione della banca dati gestita dall'Agenzia (normalmente alimentata da informazioni inserite dalle autorità di contrasto degli Stati membri).
Nel corso degli anni sono stati costituiti, in seno all'Agenzia, una serie di centri specializzati nell'approfondimento di tipologie criminali ritenute di prioritaria importanza. Sono riconducibili a tali organismi, tra l'altro:
  • il Centro europeo per il cybercrime (EC3), costituito nel 2013 per rafforzare la risposta di polizia alle forme di criminalità cibernetiche, con particolare riguardo alla protezione dei cittadini, delle imprese e degli apparati pubblici dai reati online (vedi approfondimento infra);
  • il Centro europeo per il traffico di migranti, istituito all'inizio del 2016 a seguito della grave crisi dei flussi migratori, concernente in particolare la rotta del Mediterraneo orientale e dei Balcani occidentali. Tale organismo sostiene gli Stati membri nelle attività di individuazione e smantellamento delle reti internazionali che gestiscono i flussi irregolari migratori;
  • il Centro europeo antiterrorismo, istituito nel 2016, fornisce sostegno operativo richiesto delle autorità degli Stati membri nel settore delle indagini e del contrasto al fenomeno dei foreign fighters, delle forme di finanziamento del terrorismo, della propaganda terroristica ed estremistica online (avvalendosi della unità EU Internet Referral Unit), del traffico illegale di armi, cooperando altresì con le atre autorità antiterroristiche a livello internazionale;
  • l'Internet Referral Unit (EU IRU), costituita nel 2015 con il compito di ridurre il livello e l'impatto della propaganda online che inciti al terrorismo o all'estremismo violento. L'unità collabora a progetti in materia di individuazione e segnalazione di tali contenuti ai fornitori di servizi di Internet (ai fini della rapida cancellazione), sostenendo altresì gli Stati membri nelle analisi operative e strategiche concernenti di tale fenomeno.
Presso Europol sono, infine, istituite l'unità Intellectual Property Crime Coordinated Coalition (IPC3) e la rete Financial Intelligence Units – FIU.net, volte rispettivamente al contrasto al crimine contro la proprietà intellettuale, e al sostegno alle Unità di Informazione Finanziaria degli Stati membri in materia di riciclaggio e di finanziamento del terrorismo.

L'Europol travel intelligence Centre (ETIC)

In linea con il documento di programmazione 2018-2020, è prevista l'istituzione all'interno di Europol di un organismo specializzato per il sostegno agli Stati membri per quanto riguarda l'uso operativo e strategico delle informazioni e dell'intelligence in materia di viaggi forniti in base ai codici di prenotazione (PNR), dalle informazioni anticipate dei passeggeri (Advanced passengers information –API) e dal Sistema europeo di informazione e autorizzazione ai viaggi ( ETIAS).
I dati del codice di prenotazione (PNR) sono informazioni personali fornite dai passeggeri che vengono raccolte e conservate dai vettori aerei. Il PNR contiene informazioni quali il nome del passeggero, la data di viaggio, l'itinerario, il posto assegnato, i bagagli, i dati di contatto e le modalità di pagamento. Le API sono dati anagrafici (nome, luogo di nascita e cittadinanza dell'interessato, numero e data di scadenza del passaporto) e hanno una portata più limitata rispetto ai dati PNR; esse sono trasmesse dai vettori su richiesta delle autorità competenti per effettuare controlli sulle persone al momento dell'ingresso alle frontiere esterne di uno Stato membro Schengen. L'ETIAS è il sistema informatico automatizzato concepito per individuare qualsiasi rischio di migrazione irregolare e minaccia alla sicurezza rappresentato da visitatori esenti dall'obbligo del visto che si recano nello spazio Schengen.
Secondo la direttiva (UE) n. 2016/681, ogni Stato membro istituisce un'unità designata d'informazione sui passeggeri (UIP), responsabile della raccolta conservazione e trattamento dei codici PNR e dei risultati derivanti da tali dati, e del loro trasferimento e scambio alle autorità nazionali competenti nonché alle corrispondenti unità degli altri Stati membri e ad Europol.
L'istituzione dell'unità ETIC consentirà ad Europol l'analisi delle informazioni fornite dalle UIP in materia di viaggi ai fini sia del sostegno all'azione di contrasto degli Stati membri, sia della cooperazione con la Commissione europea e con altre Agenzie europee nell'ambito degli affari interni (in particolare Frontex e l'Agenzia EU-LISA sui sistemi IT nello spazio di libertà, sicurezza e giustizia).

L'unità EC3

Operativo dal gennaio del 2013, il Centro europeo per la lotta alla criminalità informatica (EC3) si concentra sulle attività illegali online, con particolare riguardo alle frodi e agli attacchi diretti contro l' e-banking e altre attività finanziarie online, allo sfruttamento sessuale dei minori online e ai reati che colpiscono i sistemi di informazione e delle infrastrutture critiche dell'UE.
Tali ambiti di intervento corrispondono a priorità individuate dal Consiglio dell'UE nel maggio del 2017 nell'ambito del cosiddetto Ciclo programmatico 2018-2021 per contrastare la criminalità organizzata e le forme gravi di criminalità internazionale.
Il centro sostiene le autorità nazionali di contrasto alla criminalità sul piano operativo, investigativo e forense.

La struttura funge da hub centrale per informazioni e intelligence criminali; sostiene le operazioni e le indagini degli Stati membri offrendo analisi operative e coordinamento; essa fornisce, inoltre, prodotti di analisi strategica e svolge attività di sensibilizzazione che colleghi le autorità di contrasto che affrontano la criminalità informatica con il settore privato, il mondo accademico e altri partner; la cellula sostiene infine la formazione e il rafforzamento delle capacità, in particolare per le autorità competenti negli Stati membri, e fornisce capacità di supporto tecnico legale e digitale.

Le attività dell'EC3 sono supportate dal Cyber Intelligence Team (CIT), i cui analisti raccolgono ed elaborano le informazioni relative al crimine informatico da fonti pubbliche, private e aperte e identificano le minacce e i modelli emergenti, e dalla Task Force congiunta di azione sulla criminalità informatica (J-CAT), che lavora sui più importanti casi internazionali di criminalità informatica che colpiscono gli Stati membri dell'UE e i loro cittadini.

Ogni anno l'EC3 pubblica l'Internet IOCTA (Internet Organized Crime Threat Assessment), il suo report strategico recante le minacce emergenti, gli sviluppi nel crimine informatico e i risultati chiave dell'attività del centro.

La protezione dei dati personali nell'ambito delle attività di Europol

In considerazione della significativa massa di informazioni trattate e scambiate nell'ambito delle attività di Europol (cui partecipano autorità di Stati membri per finalità legate al contrasto del crimine), il rinnovato quadro giuridico dell'Agenzia include un apparato di disposizioni a tutela dei dati personali.

Tale regime, previsto al capo VI del richiamato regolamento (UE) 2016/794 (regolamento Europol), si basa sui principi contenuti nella Convenzione n. 108 del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (approvata a Strasburgo nel 1981 e ratificata dall'Italia nel 1997), e sulla raccomandazione n. R(87) del Comitato dei Ministri del medesimo organismo in materia di uso dei dati personali nel settore della polizia.

La disciplina è, inoltre, coerente con quanto stabilito a livello UE dalla direttiva (UE) 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, nell'ambito di un disegno complessivo di riforma (caratterizzato da elevati standard di protezione armonizzati) che ha previsto anche l'adozione del nuovo regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE).

II pacchetto normativo, entrato in vigore nel maggio 2016 e diventato applicabile due anni dopo.
In sintesi, il Capo VI del regolamento Europol stabilisce, tra l'altro: i principi generali in materia di protezione dei dati personali trattati dall'Agenzia (articolo 28), anche con riferimento a particolari categorie di dati (cosiddetti dati sensibili), e di soggetti interessati al trattamento (articolo 30); i termini per la conservazione e la cancellazione dei dati (31); le disposizioni che vincolano l'Agenzia a garantire sotto diversi profili la sicurezza dei dati (articoli 32 e 33); la notificazione di una violazione dei dati personali alle autorità di controllo (articolo 34), e la relativa comunicazione (compresi i limiti dovuti ad esigenze connesse alla peculiare attività dell'Agenzia di sostegno alle attività di tutela della sicurezza) agli interessati (articolo 35). Disposizioni particolari sono altresì previste con riguardo, tra l'altro, al diritto di accesso dell' interessato ai propri dati (articolo 36), e ai connessi diritti di rettifica, cancellazione e limitazione dell' accesso ai dati (articolo 37), il cui esercizio è circoscritto in funzione delle citate esigenze di tutela della sicurezza.
La disciplina delinea, inoltre, il quadro delle responsabilità in materia di protezione dei dati personali, ripartendole in linea di massima tra Europol e gli Stati membri (articolo 38) viene altresì individuato tra i membri del personale dell'Agenzia un responsabile della protezione, nominato dal consiglio di amministrazione dell'organismo (articolo 41).
Il regime include inoltre un articolato sistema di vigilanza sul rispetto delle disposizioni in materia di protezione dei dati personali (articoli 41-45), che coinvolge significativamente il Garante europeo per la protezione dei dati personali e le autorità di controllo nazionali.
Da ultimo, è previsto un apparato di mezzi di ricorso e di responsabilità che, in estrema sintesi, prevede il diritto degli interessati di presentare reclamo al Garante citato e ricorso alla Corte di giustizia dell'UE, nonché il diritto al risarcimento, da parte di Europol o dello Stato membro (a seconda dei profili di responsabilità), del danno cagionato da un trattamento illecito di dati (articoli 47- 50).
La sorveglianza sulla protezione dei dati personali può altresì considerarsi inclusa nel monitoraggio politico dal Gruppo di controllo parlamentare congiunto delle attività di Europol anche per quanto riguarda l'impatto sui diritti e sulle libertà fondamentali delle persone fisiche.
Il regolamento prevede, tra l'altro, la figura di un responsabile della protezione dei dati personali nominato dal consiglio di amministrazione tra i membri del personale dell'Agenzia, dotato di specifiche garanzie di indipendenza, con il compito, tra l'altro di:
  • garantire l'applicazione delle disposizioni del regolamento Europol in materia di dati personali;
  • cooperare con il Garante europeo per la protezione dei dati personali;
  • tenere un registro delle violazioni dei dati.
Oltre al potere di accesso a tuti i dati trattati e tutti i locali dell'Agenzia, al responsabile è attribuita la facoltà di chiedere ai principali organi direttivi di Europol di porre rimedio alle violazioni delle regole sulla protezione dei dati, potendo altresì, in caso di diniego, rivolgersi direttamente al Garante citato (articolo 42).
Il Capo VI del regolamento Europol attribuisce al Garante europeo per la protezione dei dati personali (GEPD - in cooperazione con le autorità nazionali designate dagli Stati membri) le principali funzioni di sorveglianza sul legittimo trattamento dei dati personali nell'ambito delle attività dell'Agenzia.
Oltre ad un ruolo di tipo consultivo (di propria iniziativa o su richiesta di Europol, anche in via preventiva, rispetto a nuovi tipi di trattamento da effettuare), la disciplina conferisce a tale organismo poteri di indagine che il GEPD svolge, tra altro, esercitando il potere di accesso a tutti i dati personali e informazioni, nonché a tutti i locali di Europol.
Il GEPD può, tra l'altro:
  • ordinare che siano soddisfatte le richieste di esercizio di determinati diritti (accesso ai dati o modifiche nel trattamento);
  • ordinare a Europol di effettuare la rettifica, la limitazione dell'accesso, la cancellazione o la distruzione dei dati personali che sono stati trattati in violazione delle disposizioni sul trattamento dei dati personali e la notificazione di misure ai terzi ai quali tali dati sono stati comunicati;
  • vietare a titolo provvisorio o definitivo i trattamenti da parte di Europol che violano le disposizioni sul trattamento dei dati personali;
  • rivolgersi al Parlamento europeo, al Consiglio dell'UE e alla Commissione europea e adire la Corte di giustizia dell'Unione europea alle condizioni previste dal TFUE o intervenire nelle cause dinanzi alla stessa Corte (articolo 43).
La vigilanza del GEPD è svolta in collaborazione con le autorità nazionali designate, in particolare tramite il Consiglio di cooperazione, un forum cui sono attribuite funzioni consultive nel quale vengono principalmente discusse questioni di carattere comune e sviluppate linee guida e migliori pratiche (articolo 45). Da ultimo, si ricorda che le autorità nazionali svolgono la vigilanza sulla liceità del trasferimento, reperimento e comunicazione a Europol di dati personali da parte degli Stati membri interessati.
Il nuovo regime attribuisce all'interessato lo strumento del reclamo al GEPD ove si ritenga il trattamento dei dati non conforme alle disposizioni del regolamento Europol; su tale reclamo, a seconda dei casi, il GEPD decide autonomamente o in cooperazione con le autorità nazionali designate (articolo 47).
Avverso le decisioni del GEPD è possibile ricorrere innanzi alla Corte di giustizia dell'UE (articolo 48).
Infine, l'articolo 50 stabilisce che la persona fisica che subisca un danno cagionato da un trattamento illecito dei dati ha il diritto di ottenere il risarcimento del danno da Europol, conformemente all'articolo 340 TFEU, o dallo Stato membro in cui si è verificato il fatto generatore del danno, conformemente al diritto nazionale.
L'azione contro Europol è proposta dalle persone fisiche dinanzi alla Corte di giustizia dell'Unione europea, mentre quella contro lo Stato membro è da esse proposta dinanzi all'autorità giurisdizionale competente di tale Stato membro.

Il Gruppo di controllo parlamentare congiunto sulle attività di Europol

Dando attuazione a quanto disposto dall'articolo 88, paragrafo 2, del Trattato sul funzionamento dell'Unione europea, con l'approvazione del regolamento (UE) 2016/794, dell'11 maggio 2016 recante il nuovo quadro giuridico di Europol è stato introdotto un meccanismo di controllo delle attività dell'Agenzia da parte del Parlamento europeo in associazione con i Parlamenti nazionali; tale meccanismo si è tradotto nella costituzione del Gruppo congiunto di controllo parlamentare, che ha avviato i suoi lavori nel 2017.
In particolare, il Gruppo esercita un monitoraggio politico delle attività di Europol nell'adempimento della sua missione, anche per quanto riguarda l'impatto di tali attività sui diritti e sulle libertà fondamentali delle persone fisiche.
Circa la costituzione del Gruppo:
  • ciascun Parlamento nazionale (limitatamente agli Stati membri che abbiano aderito al regolamento Europol) deve essere rappresentato da un numero di membri fino a 4. Nel caso di Parlamenti bicamerali, ciascuna Camera può nominare fino a due membri. Il Parlamento europeo deve essere rappresentato con un numero massimo di 16 membri;
  • il Gruppo è presieduto congiuntamente dal Parlamento del Paese che detiene la Presidenza di turno del Consiglio dell'Unione europea e dal Parlamento europeo.
Il Gruppo si riunisce normalmente due volte l'anno, alternativamente nel Parlamento del Paese che detiene la Presidenza di turno del Consiglio dell'UE e nel Parlamento europeo (a determinate condizioni, sono possibili riunioni straordinarie).
Il regolamento Europol disciplina una serie di attività nell'ambito del monitoraggio del Gruppo. In particolare:
  1. il presidente del consiglio di amministrazione dell'Agenzia, il direttore esecutivo o i loro supplenti compaiono dinanzi al Gruppo, su richiesta di quest'ultimo, per discutere questioni riguardanti le attività dell'Agenzia, compresi gli aspetti di bilancio di tali attività, l'organizzazione strutturale e l'eventuale istituzione di nuove unità e centri specializzati, tenendo conto degli obblighi di segreto e riservatezza. Il Gruppo può decidere di invitare alle sue riunioni altre persone interessate, ove del caso;
  2. il Garante europeo per la protezione dei dati personali compare dinanzi al Gruppo, su richiesta di quest'ultimo, a cadenza almeno annuale per discutere le questioni generali relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare la protezione dei dati personali, nelle attività di Europol, tenendo conto degli obblighi di segreto e riservatezza;
  3. il Gruppo è consultato per quanto riguarda la programmazione pluriennale di Europol.
Europol trasmette al Gruppo, a titolo informativo, tra l'altro, i seguenti documenti, tenendo conto degli obblighi di segreto e riservatezza:
  • le valutazioni delle minacce, le analisi strategiche e i rapporti di situazione in relazione all'obiettivo di Europol, nonché i risultati degli studi e delle valutazioni commissionate da Europol;
  • le intese amministrative concluse ai sensi del regolamento di Europol
  • il documento contenente la programmazione pluriennale e il programma di lavoro annuale di Europol;
  • la relazione annuale di attività consolidata sulle attività di Europol;
  • la relazione di valutazione redatta dalla Commissione.
Il Gruppo di controllo parlamentare congiunto può redigere conclusioni sintetiche sul monitoraggio politico delle attività di Europol e presentarle al Parlamento europeo e ai Parlamenti nazionali. Il Parlamento europeo le trasmette, a titolo informativo, al Consiglio, alla Commissione e a Europol.