Una investigación conjunta de Computer Weekly, Solomon y Correctiv destapa que Europol operó durante años un sistema informático paralelo llamado Computer Forensic Network (CFN). Esta plataforma almacenaba grandes volúmenes de datos personales sin cumplir las salvaguardas legales y técnicas exigidas por la Unión Europea.
El CFN eludió los controles europeos de privacidad
La agencia creó el CFN en 2012 con fines de análisis forense. Sin embargo, se transformó en la herramienta principal de procesamiento de información tras los atentados de París de 2015. Para 2019, el sistema ya acumulaba al menos 2 petabytes de información recopilada de diversas fuentes.
Este repositorio incluía registros telefónicos, documentos de identidad y datos de geolocalización. La mayoría pertenecían a personas que no eran sospechosas de cometer delitos. Un ex alto funcionario de la agencia resumió la contradicción institucional con una frase contundente.
"Protegen la ley mientras la infringen" - Ex alto funcionario de Europol
Los agentes utilizaban además un segundo entorno informal conocido como "olla a presión". La unidad antiterrorista empleaba este espacio para analizar datos de fuentes abiertas en Internet al margen de los canales oficiales. Esta práctica escapaba a cualquier supervisión externa directa.
Las alertas internas advertían de fallos estructurales
Daniel Drewer, responsable de protección de datos de Europol, lanzó una voz de alarma en un informe interno de 2019. El documento señalaba que hasta el 99% de los datos de la agencia podrían residir en el CFN sin las garantías normativas pertinentes. Drewer advirtió sobre fallos estructurales de seguridad y el riesgo real de intervención del Supervisor Europeo de Protección de Datos (SEPD).
Los sistemas carecían de controles de acceso básicos y registros de auditoría. Además, permitían la instalación no restringida de software y mostraban una proliferación de cuentas con privilegios de administrador. Steven Murdoch, catedrático de ingeniería de seguridad del University College de Londres, señaló que esta falta de controles podía comprometer la integridad de las investigaciones.
Murdoch añadió que ello afectaría al valor probatorio de los datos en procesos judiciales. Peter Sommer, experto en informática forense, coincidió en que la concentración de privilegios administrativos constituye una vulnerabilidad crítica para la seguridad.
Europol inició negociaciones con el SEPD para adaptar el CFN a la normativa vigente. La agencia argumentó que el sistema ya estaba integrado en sus operaciones diarias. Un portavoz negó haber ocultado información a las autoridades de supervisión y afirmó que el regulador europeo conocía el entorno desde 2019.
El portavoz anunció que trabajan en sustituir el sistema por una nueva infraestructura alineada con los requisitos de protección de datos. Estos hallazgos ocurren mientras la Comisión Europea estudia ampliar el mandato y el presupuesto de Europol. La directora ejecutiva, Catherine De Bolle, presentó su dimisión el 1 de mayo.
David Davis, exdiputado británico, calificó los hechos como graves fallos de supervisión y legalidad. Davis solicitó aclaraciones sobre el posible uso de datos de ciudadanos inocentes por las fuerzas de seguridad del Reino Unido en colaboración con la agencia europea.