La Conferencia Episcopal Española (CEE) ha tenido publicada en su página web durante al menos 18 días la identidad de 45 víctimas de pederastia en la Iglesia católica y los detalles de los casos, recogidos en un documento confidencial. Según explica El País, la información estuvo disponible entre diciembre del 2023 y enero del 2024, y aunque la entidad la eliminó, el documento se ha podido consultar en internet hasta cuatro meses después.
Los datos forman parte de un informe-auditoría encargado por la CEE para contrastar los abusos sexuales a menores en el ámbito de la Iglesia recogidos en el informe del Defensor del Pueblo y determinar cuántos ocurrieron "en realidad". En él se revelaron los nombres, apellidos y edades de las víctimas, las descripciones de los abusos que sufrieron y la fecha en la que ocurrieron. El estudio en cuestión, elaborado por el despacho de abogados Cremades & Calvo-Sotelo, debía ser confidencial. Los datos de las víctimas se incluyeron en una tabla anexa al informe final.
La CEE utilizó la auditoría para elaborar el informe ‘Para dar Luz’, un documento formado por más de 1.300 páginas y nueve volúmenes anexos documentales, contrastando los datos del Defensor del Pueblo con los de la investigación de Cremades. El 20 de diciembre del 2023 la institución eclesiástica publicó dicho informe en su página web sin los datos sensibles, y el 28 de diciembre se modificó y se incluyó el anexo con los detalles de las víctimas para después enmendar el error y volver al documento inicial.
Y aún conscientes del desafortunado hecho, no se comunicó a la Agencia Española de Protección de Datos (AEPD), que otorga 72 horas para informar del incidente. Tampoco se esmeraron en solucionarlo como Dios manda. Según informa El País, el informe ha sido localizable en internet hasta este mes de abril y ha sido el propio periódico el que ha interpuesto la denuncia para la retirada.
Las versiones de lo ocurrido han traído la discordia. Desde la Conferencia Episcopal culpan al bufete de abogados, a pesar de que la información fue gestionada y subida a su web por ellos mismos, y se escudan en que "mandaron una segunda versión" una vez publicada la primera, por lo que la sustituyeron al considerar que sería la definitiva, porque, según alegan venía acompañada de la orden de "que se subiera". Ni la revisaron, ni les resultó llamativa la aparición de una nueva versión, días después de ya estar publicada. Según El País, las diferencias entre ambos archivos son indistinguibles, a excepción del anexo adjunto en el segundo PDF.
Desde Cremades & Calvo-Sotelo culpan a la CEE, pues fueron los obispos quienes cometieron el error de publicar material sensible, y hacer los cambios que consideraron en el informe. Señalan también que una vez fueron conocieron el fallo, avisaron a Josetxo Vera, director de comunicación de la CEE y responsable de todas las informaciones y noticias entrantes y salientes de la entidad. Un sacerdote que ya acumula otros infortunios en su historial.
Fue entonces cuando se borró el documento pero no se eliminó el enlace que llevaba al PDF que acompañaba a la nota de prensa. Al parecer, los abogados se toparon con él a través de una simple búsqueda en Google 18 días después de dar el aviso.
Multa de cientos de miles de euros
Al ser la Conferencia quien divulgó los datos privados de las víctimas, se arriesga a una importante sanción. La ley prevé multas de entre 300.000 euros y hasta los 20 millones, aunque nunca se ha alcanzado esta cifra máxima. De acuerdo con la legislación vigente, es el encargado de la brecha de seguridad quien debe notificar a la AEPD del asunto y a las personas afectadas cuando se trata de información sensible, en un plazo máximo de 72 horas tras conocer el incidente, pero mientras los obispos y los abogados no se ponen de acuerdo en quién obró el tremendo error, ya han pasado cuatro meses.
A raíz de la filtración denunciada por El País, La Agencia Española de Protección de Datos (AEPD) ha abierto una investigación de oficio y se han iniciado ya las actuaciones previas, por las que se solicitará información acerca del incidente a la institución y al resto de entidades y personas involucradas. El procedimiento llevará más de dos años, ya que dichas actuaciones previas pueden alcanzar hasta los 18 meses y el procedimiento sancionador, de darse el caso, otros 12 meses más.
Además, varias de las víctimas dañadas por la filtración han expresado su indignación y anuncian su intención de emprender una demanda colectiva contra los obispos. La AEPD precisa que también pueden presentar una reclamación en la propia agencia, que se incorporaría a la investigación ya abierta.