El CFN hauria processat informació delicada sense les salvaguardes bàsiques establertes pel Reglament General de Protecció de Dades

Una investigació internacional publicada per Computer Weekly juntament amb Solomon i Correctiv, signada pels periodistes Apostolis Fotiadis, Gaicomo Zandonini, Ludek Stavinoha, Frida Thurm, Lydia Emmanouilidou, Bill Goodwin i Sebastian Klovig Skelton ha destapat l’existència d’un sistema informàtic paral·lel dins l’Europol que hauria operat durant anys amb grans volums de dades personals.

Segons aquesta investigació, l’agència policial europea hauria desenvolupat i utilitzat una infraestructura interna anomenada Computer Forensic Network (CFN), concebuda inicialment com un entorn per a l’anàlisi de dades forenses complexes. Tot i això, documents interns, correus electrònics filtrats i testimonis d’antics funcionaris apunten que aquest sistema va acabar convertint-se en la plataforma principal d’anàlisi de dades d’Europol, on hi havia emmagatzemada informació altament delicada i que operava al marge dels controls habituals.

El 2019, el sistema hauria arribat a contenir almenys 2 petabytes de dades, incloent-hi registres telefònics, documents d’identitat i informació de geolocalització. Part d’aquesta informació correspondria fins i tot a persones no sospitoses d’haver comès delictes, cosa que planteja dubtes seriosos sobre la seva adequació al marc del Reglament General de Protecció de Dades (RGPD).

Els antics responsables citats a la investigació descriuen el CFN com un «entorn informàtic paral·lel» que no tenia mesures bàsiques de seguretat, com ara controls efectius d’accés, registre d’activitat o supervisió sobre la modificació de les dades. A la pràctica, això hauria permès que grans volums d’informació fossin consultats i reutilitzats en investigacions sense prou garanties.

Un dels testimonis més contundents recollits a la investigació resumeix la situació amb una frase atribuïda a un exalt funcionari de l’agència: «Protegeixen la llei mentre la infringeixen.»

L’origen del sistema es remunta al 2012, quan l’Europol el va crear per donar suport a l’anàlisi de dades complexes en investigacions criminals. Tot i això, el seu ús s’hauria expandit significativament després dels atemptats de París del 2015, quan l’agència va rebre una pressió creixent per millorar la seva capacitat d’anàlisi de grans volums d’informació en investigacions antiterroristes.

En aquest context, es va crear el Grup de Treball Fraternité, al qual els estats membres van començar a enviar grans quantitats de dades, incloent-hi registres telefònics i material d’intel·ligència. Part d’aquesta informació va acabar sent processada al CFN, que segons la investigació va evolucionar fins a convertir-se en un sistema central per a l’anàlisi operativa de l’agència.

Compte amb les dades

A més a més, els documents interns revelen l’existència d’un segon entorn conegut com l’«olla de pressió», utilitzat per la unitat antiterrorista d’Europol per analitzar dades de fonts obertes a Internet al marge dels sistemes oficials de l’agència.

La investigació sosté que tots dos sistemes operaven amb nivells de supervisió limitats i de vegades fora del coneixement del principal organisme de control de la privadesa de la Unió Europea fins al 2019.

Un informe intern del responsable de protecció de dades d’Europol, Daniel Drewer, va alertar aquell mateix any que fins al 99 % de les dades de l’agència podrien estar emmagatzemades al CFN sense les garanties exigides per la normativa europea. El document advertia, a més, que el sistema presentava errors estructurals de seguretat i que el seu ús podria derivar en una intervenció del supervisor europeu de protecció de dades (SEPD), amb el risc extrem de paralitzar l’activitat d’Europol.

Entre els problemes detectats hi havia l’absència de controls adequats d’accés, la manca de registres d’auditoria, la instal·lació no restringida de programari i la proliferació de comptes amb privilegis d’administrador, cosa que, segons els experts esmentats, augmentava el risc d’abusos interns i atacs externs.

El catedràtic d’enginyeria de seguretat Steven Murdoch, de l’University College de Londres, va advertir que la manca de controls podia comprometre tant la integritat de les investigacions com el valor probatori de les dades en processos judicials. En la mateixa línia, l’expert en informàtica forense Peter Sommer va assenyalar que la concentració de privilegis administratius és una vulnerabilitat crítica tant des del punt de vista de la seguretat com de la integritat dels sistemes.

La investigació també apunta que, davant la impossibilitat d’abandonar el sistema per la seva integració en les operacions diàries, Europol va optar per intentar adaptar-lo a la normativa europea, cosa que va donar lloc a anys de negociació amb el SEPD.

Com a resposta a tot plegat, un portaveu de l’agència ha negat que aquesta amagués informació a les autoritats de supervisió i ha defensat que la CFN era un entorn regulat i conegut pel regulador europeu des del 2019. L’agència sosté que ha actuat amb transparència i que treballa en la substitució del sistema per una nova infraestructura alineada amb els requisits de protecció de dades.

El cas arriba en un moment especialment delicat, atès que la Comissió Europea estudia ampliar el mandat i pressupost d’Europol en el marc de la seva estratègia per reforçar la capacitat operativa de les agències policials europees. Paral·lelament, la dimissió de la directora executiva, Catherine De Bolle, l’1 de maig passat, afegeix un nou element d’incertesa institucional.

L’exdiputat britànic David Davis ha qualificat les troballes com a indicatives de «greus errors de supervisió, legalitat i protecció de dades», i ha demanat aclariments sobre el possible ús de dades de ciutadans innocents en sistemes utilitzats per les forces de seguretat del Regne Unit en col·laboració amb l’Europol.

Per altra banda, organitzacions de drets digitals han reclamat una revisió urgent dels mecanismes de control de l’agència, tot alertant que la fiabilitat de les proves i la protecció de drets fonamentals podrien veure’s compromeses si no es reforcen els sistemes de supervisió.