Los datos de 45 víctimas de pederastia en la Iglesia estuvieron disponibles durante 18 días en la página web de la Conferencia Episcopal Española (CEE), entre diciembre de 2023 y enero de 2024, según ha adelantado este jueves El País. Se trata de un fragmento del informe encargado al despacho de abogados Cremades & Calvo-Sotelo.

Los obispos no informaron del incidente a los afectados ni a la Agencia Española de Protección de Datos (AEPD). Además, aunque lo retiraran de su página web, la información continuó rastreable cuatro meses más. De este modo, la CEE podría haber incurrido en un delito contra el derecho a la protección de datos, que contempla multas de hasta 20 millones de euros.

Ni la Conferencia ni el bufete asumen responsabilidades y se culpan el uno al otro de lo ocurrido. De acuerdo con la legislación vigente, es el encargado de la brecha de seguridad quien debe notificar a la AEPD del asunto y a las personas afectadas cuando se trata de información sensible, en un plazo máximo de 72 horas tras conocer el incidente.

La AEPD no ha aclarado si abrirá diligencias para esclarecer la actuación de los obispos. La Agencia llevará a cabo una investigación si recibe una denuncia, pero también puede hacerlo de oficio.

El informe del bufete Cremades incluía nombres y apellidos de las 45 víctimas de pederastia y un breve relato, con la fecha y el lugar en el que tuvieron lugar los abusos y agresiones. Esta información forma parte de la auditoría que la CEE encargó al despacho de abogados en 2022 para investigar la pederastia en la Iglesia.

Los obispos publicaron el informe en un archivo PDF de 956 páginas el pasado 20 de diciembre. Este no incluía el anexo con los datos confidenciales de las víctimas. Sin embargo, la CEE cambió más tarde el comunicado, que esta vez incluía un archivo con 984 páginas de extensión. Este documento sí incluía información sensible.

El informe con los datos personales de las víctimas estuvo disponible en la página web de la entidad episcopal al menos hasta el 28 de diciembre. Su eliminación tampoco tuvo una gestión adecuada, ya que ha podido rastrearse en internet hasta el mes de mayo.

De acuerdo con la CEE, el bufete Cremades & Calvo-Sotelo solicitó cambiar el documento que estaba disponible por el que, por error, incluía los datos de las víctimas. Según El País, las diferencias entre ambos archivos son indistinguibles, a excepción del anexo adjunto en el segundo PDF.

Por su parte, el despacho asegura que fueron ellos quienes descubrieron que la información sensible estaba disponible en la página web y que avisaron a los obispos para que lo corrigieran. Aunque la CEE eliminó el PDF del comunicado, mantuvo un enlace que dirigía al documento hasta el 9 de enero, cuando los abogados avisaron a la entidad.

En cuanto a las víctimas, ninguna de ellas era conocedora del incidente y estudian llevar a cabo acciones legales. Entre las personas afectadas, una todavía es menor de edad, otra es sacerdote y varias de ellas declaraban en el texto que les preocupaba que esta información saliera a la luz, ya que en algunos casos ni siquiera la familia estaba al tanto del caso.