Según el Supervisor Europeo de Protección de Datos (SEPD), la Europol habría estado almacenando una ingente cantidad de datos personales de ciudadanos sin necesidad de que estuvieran de forma vinculados con ninguna actividad delictiva.
La fuente de los datos se encontraría en investigaciones delictivas llevadas a cabo por la organización, a través de informes, escuchas, entre otros orígenes.
En total, la cantidad de datos almacenados por la Europol de manera indebida alcanzaba los 4 petabytes, lo cual sin duda implica un enorme riesgo para los derechos fundamentales de los interesados.
Ante estos hechos, el SEPD ha emitido una orden por la cual se impone a la Europol a adoptar concretas medidas para adecuar sus actividades de tratamiento de datos a los establecido en el Reglamento General de Protección de Datos (RGPD) y, en concreto, al principio de limitación del plazo de conservación de los datos personales.
La investigación se inició en 2019 y ya en 2020 el SEPD amonestó a la Europol por llevar a cabo la práctica descrita anteriormente. Tras dicha amonestación, no obstante, la sancionada no implantó un sistema de cumplimiento del principio de limitación del plazo de conservación de los datos, de manera que esta información personal quedaba almacenada en sus bases de datos durante un plazo de tiempo que no se conocía y que, en todo caso, era muy superior al necesario.
En la orden emitida recientemente por el SEPD, este impone a la Europol la obligación de suprimir los datos personales de las personas no vinculadas a actividades delictivas en un plazo máximo de 6 meses. Para cumplir con la orden, se da a la Europol un plazo de 12 meses.