Europol borrará parte de su gigantesco fichero digital por infringir las normas de protección de datos

2

Apostolis Fotiadis, Ludek Stavinoha, Giacomo Zandonini et Daniel Howden (Lighthouse Reports)

Es una bofetada en la cara de Europol. La agencia policial europea tendrá que eliminar gran parte de su enorme base de datos. Esta es la decisión sin precedentes anunciada este lunes 10 de enero por el Supervisor Europeo de Protección de Datos (SEPD), la agencia de la Unión Europea (UE) encargada de la privacidad digital.

El SEPD ha ordenado a Europol que separe, en el plazo de un año, los datos que se utilizan legalmente (datos sobre sospechosos, testigos y determinadas víctimas) de todos los demás datos, que deben ser eliminados. En el futuro, cuando obtenga nuevos datos, Europol dispondrá de seis meses para "categorizarlos" y eliminar los datos que no pueda conservar.

Europol ha acumulado una base de datos de al menos cuatro millones de gigabytes, lo que equivale a una quinta parte del contenido de la Biblioteca del Congreso de Estados Unidos. La información procede de procedimientos judiciales y policiales presentados por los Estados miembros, del pirateo de teléfonos encriptados y de un programa de vigilancia de migrantes muy cuestionado.

En esta enorme cantidad de datos, hay información sensible sobre al menos 250.000 personas sospechosas de tener vínculos actuales o pasados con el terrorismo. Pero también, y este es el problema, sobre individuos que no son sospechosos de haber cometido ningún delito. La decisión del Supervisor Europeo de Protección de Datos constituye la primera vez que un organismo de la UE confirma que Europol ha infringido las normas de protección de datos personales.

Al ser preguntada, Europol niega haber actuado mal y cree que el SEPD ha sobreinterpretado las normas que rigen el funcionamiento de la agencia de cooperación policial: "Las normas de Europol no fueron concebidas por el legislador como un requisito imposible de cumplir en la práctica". 

La decisión del SEPD refuerza los temores de los defensores de la privacidad de que Europol, a través de la combinación de su base de datos y los algoritmos de inteligencia artificial, se convierta gradualmente en una agencia de vigilancia masiva en la línea de la NSA, la organización de espionaje digital estadounidense, cuyas prácticas fueron reveladas por el denunciante Edward Snowden.

El asunto también pone de manifiesto las profundas divisiones entre los responsables políticos y las agencias europeas sobre el equilibrio que debe alcanzarse entre la eficacia de la seguridad y la privacidad. Hemos podido reconstruir los entresijos de este tira y afloja, a partir de documentos internos de la UE obtenidos mediante solicitudes basadas en el Reglamento de Acceso a los Documentos Administrativos. Estos documentos muestran, por ejemplo, que Europol hizo todo lo posible por retrasar la decisión del SEPD sobre el uso de sus datos.

Al ser contactada, la comisaria Europea de Asuntos de Interior, Ylva Johansson, expresó su apoyo a la agencia. "Los organismos encargados de la aplicación de la ley necesitan las herramientas, los recursos y el tiempo necesarios para analizar los datos que se le transmiten legalmente", afirmó. En Europa, Europol es la plataforma que apoya a las autoridades policiales nacionales en esta hercúlea tarea.

La Comisión Europea ha propuesto modificar las normas de Europol. Si se aprueban esas nuevas normas, se legalizarían las actuales prácticas de retención de datos y el uso de la inteligencia artificial para su explotación en un futuro.

Sólo un puñado de europeos han llegado a saber que están en la base de datos. Ninguno de ellos ha conseguido acceder a su información personal ni hacerla desaparecer.

Europol se fundó como órgano de coordinación de las fuerzas policiales nacionales de la UE, pero a instancias de algunos Estados miembros se volcó en la lucha contra el terrorismo tras los atentados del 13 de noviembre de 2015 en París. 

En teoría, la agencia está sujeta a una estricta normativa sobre la naturaleza de los datos personales que puede almacenar y el tiempo que pueden conservarse. La información, presentada en particular por las fuerzas policiales nacionales, debe ser "categorizada", es decir, clasificada, de modo que sólo se conserve la información pertinente para la lucha contra el terrorismo o la delincuencia organizada.

Se desconoce el contenido de la base de datos. Sólo un puñado de europeos ha conseguido saber que está en la base de datos. Ninguno de ellos ha conseguido acceder a su información personal ni hacerla desaparecer. 

Uno de ellos es el activista político holandés Frank van der Linde. Su enfrentamiento más grave con la policía fue romper una ventana para entrar en un edificio con el objetivo de habilitarlo como casa ocupada para indigentes.

Fue incluido en una lista de sospechosos de ser extremistas y radicales en Holanda, pero fue retirado de la base de datos en 2019. Pero un año antes se había trasladado a Berlín, y sus datos fueron compartidos por la policía holandesa con su homóloga alemana y con Europol. 

Frank van der Linde se dio cuenta de ello cuando tuvo acceso a una versión parcialmente desclasificada de su expediente holandés. La policía de su país se negó a ayudarle para conseguir que fuera eliminado de la base de datos de Europol.

A continuación, se dirigió a la agencia europea. Para su sorpresa, Europol le dijo que no tenía datos a los que "tuviera derecho a acceder". El activista se dirigió entonces al SEPD. "Todavía no sé si borraron los datos después de que las autoridades holandesas les dijeran que no me consideran un extremista. Europol es una caja negra".

"La facilidad con la que uno puede acabar en esa lista es horrible", dice Van der Linde. "Es impactante la facilidad con la que la policía comparte información a través de las fronteras, y es aterrador ver lo difícil que es salir de estas listas". 

Otra operación potencialmente se refiere al pirateo por parte de la gendarmería francesa del servicio telefónico encriptado EncroChat, utilizado sobre todo por delincuentes. Esto dio a Francia acceso a 120 millones de mensajes y decenas de millones de registros de llamadas, fotos y notas, que se compartieron con Eurojust y Europol.

La operación, bautizada como Emma, ha sido aclamada como uno de los mayores éxitos de Europa en la lucha contra la delincuencia organizada. Sólo en el Reino Unido, unas 2.600 personas habían sido detenidas hasta diciembre de 2021, y Nikki Holland, directora de investigaciones de la Agencia Nacional contra el Crimen del Reino Unido, comparó el hackeo con "tener a alguien encubierto en cada uno de los principales grupos de crimen organizado del país".

Desde entonces, las acciones legales de los implicados en esa operación han ido en aumento. El abogado francés Robin Binsard está convencido de que la operación equivale a una vigilancia masiva. "Desmantelar todo un sistema de comunicación es como si la policía registrara todos los pisos de un edificio en busca de pruebas de un delito: viola la privacidad y es sencillamente ilegal".

La clientela de EncroChat también incluía a personas no relacionadas con la delincuencia, como abogados, periodistas y empresarios, cuyos mensajes se almacenan ahora en la base de datos de Europol.

Entre ellos se encuentra el abogado holandés Haroon Raza. Ha pedido que se borren sus datos, pero hasta ahora sin éxito: "Por lo que tengo entendido, una copia sigue en las bases de datos de Europol, donde podría permanecer para siempre".

Parece que Europol ha impulsado una nueva legislación de la UE que legalizaría sus prácticas a posteriori.

La preocupación por el manejo de datos sensibles por parte de Europol llevó al SEPD, el organismo europeo de control de la protección de datos, a investigar las prácticas de la agencia. Sus primeras conclusiones, en septiembre de 2019, mostraron que algunos datos fueron clasificados por Europol, pero que otros fueron almacenados sin los controles adecuados para comprobar si los individuos de la base de datos eran realmente dignos de ser vigilados.

Como el SEPD no recibió respuestas satisfactorias de Europol, amonestó públicamente a la agencia de cooperación policial en septiembre de 2020, pidiéndole que tomara medidas correctoras. "Las personas afectadas corren el riesgo de ser vinculadas erróneamente a una actividad delictiva en toda la UE, con todos los perjuicios potenciales que ello conlleva para su vida personal y familiar, su libertad de circulación y su profesión", subraya el organismo europeo de protección de datos".

Los documentos internos relacionados con este procedimiento muestran que Europol intentó entonces ganar tiempo, a pesar de que el SEPD le decía que todavía no había puesto fin a su "incumplimiento de las normas". Europol y sus partidarios en la jerarquía de la UE parecen haber impulsado una nueva legislación comunitaria, que legalizaría sus prácticas a posteriori.

La Comisión Europea se ha involucrado en este tira y afloja. Monique Pariat, directora general de Interior de la UE, organizó una reunión entre las agencias en diciembre de 2021, en la que se instó al SEPD a "suavizar" sus críticas públicas a Europol, según varias fuentes.

No había otra forma de resolver el problema que borrar los datos

Pero el jefe del SEPD, Wojciech Wiewiórowski, nos dijo que la reunión no condujo a ninguna solución. Por lo tanto, "no había otra forma de resolver el problema que borrar los datos [no clasificados] conservados durante más de seis meses", dijo.

Además de las prácticas ilegales de Europol, los defensores de la privacidad están preocupados por los planes de la agencia de realizar operaciones que, según ellos, equivalen a una vigilancia masiva.

Cuando la amonestación de Europol se debatió en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo en junio de 2021, algunos eurodiputados compararon a la agencia con la NSA. Wojciech Wiewiórowski sorprendió a los participantes al estar de acuerdo con esta comparación.

El jefe del SEPD señaló que Europol utiliza argumentos similares a los que emplea la NSA para defender las amplias operaciones de recopilación de datos y vigilancia masiva reveladas por Edward Snowden. Lo que la NSA dijo a los europeos tras el inicio del denominado escándalo Prism es que "no procesan los datos [inmediatamente], sólo los recogen y luego los procesan sólo si es necesario para sus investigaciones", dijo Wiewiórowski a los eurodiputados. "Esto no está en consonancia con el enfoque europeo del tratamiento de datos personales".

Cada vez estamos más cerca de una agencia similar a la NSA.

Desde 2016, Europol también lleva a cabo un programa de espionaje masivo en los campamentos de migrantes en Italia y Grecia, recopilando datos personales de decenas de miles de solicitantes de asilo, en busca de sospechosos de terrorismo.

Según un informe de inspección del SEPD que obtuvimos, estos "controles rutinarios" realizados por Europol a los inmigrantes que cruzan "no están permitidos", ya que no existe "ninguna base legal" para dicho programa: la información sobre los inmigrantes se almacena en una base de datos criminal, incluso si no hay vínculos con la delincuencia o el terrorismo. Cuando se le preguntó al respecto, Europol se negó a revelar ningún detalle operativo.

Eric Topfer, experto en vigilancia del Instituto Alemán de Derechos Humanos, ha estudiado el nuevo proyecto de reglamento que regula el trabajo de Europol. Dice que el texto permitiría a la agencia obtener datos directamente de bancos, aerolíneas, empresas privadas y correos electrónicos.

"Si Europol sólo tiene que pedir cierto tipo de información y que se la sirvan en bandeja de plata, entonces nos estamos acercando a una agencia similar a la NSA", teme.

La jefa de Europol, Catherine de Bolle, que anteriormente fue jefa de la policía belga, fue coautora de un artículo de opinión en julio de 2021 en el que argumentaba que la necesidad de que la policía extraiga pruebas de los teléfonos inteligentes debería prevalecer sobre las consideraciones de privacidad. Sostiene que las autoridades deberían poseer legalmente las claves de acceso a todos los servicios protegidos por criptografía, como los servicios de mensajería segura Signal o WhatsApp.

Catherine de Bolle no menciona en su artículo las revelaciones, publicadas una semana antes, sobre el uso del programa espía Pegasus, que demostró que muchos gobiernos, incluidos algunos de Europa, han pirateado (o intentado piratear) los teléfonos de defensores de los derechos humanos, periodistas o abogados.

Europol intentó poner en marcha su programa de inteligencia artificial sin la luz verde de la Autoridad de Protección de Datos.

La última preocupación es el plan de Europol de aplicar potentes algoritmos basados en la inteligencia artificial y el aprendizaje automático para aprovechar su enorme base de datos.

En septiembre de 2020, mientras estaba en curso la investigación del SEPD sobre los problemas de tratamiento de datos de Europol, la agencia de cooperación policial preguntó al SEPD si debía realizar una evaluación del impacto sobre la intimidad del uso de algoritmos.

La solicitud al Supervisor Europeo de Protección de Datos afirma que los algoritmos, que incluyen herramientas de reconocimiento facial, no estarían diseñados ni se utilizarían para recuperar datos sensibles como el estado de salud, el origen étnico, la orientación sexual o la orientación política. Sin embargo, Europol admitió que esos datos serían inevitablemente procesados por sus herramientas de inteligencia artificial, pero de una manera que "cumpla con el Reglamento de Europol".

Europol no obtuvo la luz verde del SEPD, pero aun así puso en marcha su proyecto, como se muestra en una carta de enero de 2021. El SEPD respondió que, por lo tanto, abriría un procedimiento formal de supervisión. Esto llevó a Europol a suspender su proyecto de uso de algoritmos a finales de febrero de 2021.

Europol recoge y acumula enormes cantidades de datos, pero es casi imposible saber para qué se utilizan.

Pero hay varios indicios de que este freno se levantará pronto. Europol ya ha puesto en marcha un proceso de contratación de expertos en inteligencia artificial y minería de datos. Y la Comisión Europea ha declarado que necesita "una capacidad a nivel de la UE para desarrollar herramientas informáticas modernas para las operaciones policiales, incluyendo la formación, las pruebas y la validación de algoritmos para el desarrollo de estas herramientas, respetando plenamente los derechos fundamentales y con la transparencia necesaria".

Algunos eurodiputados, como la belga Saskia Bricmont, se muestran preocupados por los planes de Europol: "En nombre de la lucha contra la delincuencia y el terrorismo, estamos asistiendo a la evolución de una agencia que realiza tareas muy importantes, pero que no se lleva a cabo de forma correcta. Esto dará lugar a problemas.

Chloé Berthélémy, experta de la red de ONG europeas European Digital Rights, teme que Europol siga el mismo camino que la NSA estadounidense: "Europol está absorbiendo y acumulando enormes cantidades de datos, pero es casi imposible saber para qué se utilizan, lo que la convierte en un agujero negro".

Apostolis Fotiadis, Ludek Stavinoha, Giacomo Zandonini y Daniel Howden (Lighthouse Reports)

Si tiene alguna información que compartir, póngase en contacto con nosotros en enquete@mediapart.fr. Si desea enviar documentos a través de una plataforma altamente segura, puede conectarse al sitio web frenchleaks.fr.

La UE gasta 276 millones en la construcción en Grecia de campamentos fortificados para refugiados

Ver más

Esta investigación fue realizada por los periodistas independientes Apostolis Fotiadis, Ludek Stavinoha y Giacomo Zandonini, en colaboración con la ONG periodística Lighthouse Reports. Los autores recibieron apoyo financiero del programa Investigative Journalism for Europe (IJ4U), que financia investigaciones periodísticas paneuropeas.

Este artículo fue publicado por Mediapart, The Guardian (Reino Unido), Der Spiegel (Alemania), Domani (Italia) y News 24/7 (Grecia).

Texto en francés:

Es una bofetada en la cara de Europol. La agencia policial europea tendrá que eliminar gran parte de su enorme base de datos. Esta es la decisión sin precedentes anunciada este lunes 10 de enero por el Supervisor Europeo de Protección de Datos (SEPD), la agencia de la Unión Europea (UE) encargada de la privacidad digital.

>