Una investigació conjunta de Computer Weekly, Solomon i Correctiv destapa que Europol va operar durant anys un sistema informàtic paral·lel anomenat Computer Forensic Network (CFN). Aquesta plataforma emmagatzemava grans volums de dades personals sense complir les salvaguardes legals i tècniques exigides per la Unió Europea.
El CFN va eludir els controls europeus de privacitat
L'agència va crear el CFN el 2012 amb finalitats d'anàlisi forense. No obstant això, es va transformar en l'eina principal de processament d'informació després dels atemptats de París del 2015. Per al 2019, el sistema ja acumulava almenys 2 petabytes d'informació recopilada de diverses fonts.
Aquest repositori incloïa registres telefònics, documents d'identitat i dades de geolocalització. La majoria pertanyien a persones que no eren sospitoses de cometre delictes. Un ex alt funcionari de l'agència va resumir la contradicció institucional amb una frase contundent.
"Protegeixen la llei mentre la infringeixen" - Ex alt funcionari d'Europol
Els agents utilitzaven a més un segon entorn informal conegut com a "olla a pressió". La unitat antiterrorista emprava aquest espai per analitzar dades de fonts obertes a Internet al marge dels canals oficials. Aquesta pràctica escapava a qualsevol supervisió externa directa.
Les alertes internes advertien de fallades estructurals
Daniel Drewer, responsable de protecció de dades d'Europol, va llançar una veu d'alarma en un informe intern de 2019. El document assenyalava que fins al 99% de les dades de l'agència podrien residir al CFN sense les garanties normatives pertinents. Drewer va advertir sobre fallades estructurals de seguretat i el risc real d'intervenció del Supervisor Europeu de Protecció de Dades (SEPD).
Els sistemes queien de controls d'accés bàsics i registres d'auditoria. A més, permetien la instal·lació no restringida de programari i mostraven una proliferació de comptes amb privilegis d'administrador. Steven Murdoch, catedràtic d'enginyeria de seguretat de l'University College de Londres, va assenyalar que aquesta manca de controls podia comprometre la integritat de les investigacions.
Murdoch va afegir que això afectaria al valor probatori de les dades en processos judicials. Peter Sommer, expert en informàtica forense, va coincidir que la concentració de privilegis administratius constitueix una vulnerabilitat crítica per a la seguretat.
Europol va iniciar negociacions amb el SEPD per adaptar el CFN a la normativa vigent. L'agència va argumentar que el sistema ja estava integrat en les seves operacions diàries. Un portaveu va negar haver ocultat informació a les autoritats de supervisió i va afirmar que el regulador europeu coneixia l'entorn des del 2019.
El portaveu va anunciar que treballen a substituir el sistema per una nova infraestructura alineada amb els requisits de protecció de dades. Aquestes troballes ocorren mentre la Comissió Europea estudia ampliar el mandat i el pressupost d'Europol. La directora executiva, Catherine De Bolle, va presentar la seva dimissió l'1 de maig.
David Davis, exdiputat britànic, va qualificar els fets com a greus fallades de supervisió i legalitat. Davis va sol·licitar aclariments sobre el possible ús de dades de ciutadans innocents per les forces de seguretat del Regne Unit en col·laboració amb l'agència europea.