Los obispos divulgaron por error la identidad y detalles de las agresiones sexuales de 45 víctimas de pederastia en la Iglesia

EL PAÍS puso en marcha en 2018 una investigación de la pederastia en la Iglesia española y tiene una base de datos actualizada con todos los casos conocidos. Si conoce algún caso que no haya visto la luz, nos puede escribir a: abusos@elpais.es. Si es un caso en América Latina, la dirección es: abusosamerica@elpais.es.

───────────

La Conferencia Episcopal Española (CEE) publicó en su web entre diciembre y enero, durante al menos 18 días, la identidad de 45 víctimas de pederastia en la Iglesia y los detalles de sus casos en un documento que debía ser confidencial, parte del informe de la auditoría encargada al despacho de abogados Cremades & Calvo-Sotelo. Luego lo retiró, pero este diario ha constatado que incluso cuatro meses después seguía siendo rastreable y accesible en internet. EL PAÍS lo verificó ante notario el pasado 18 de abril y luego, el 22 de abril, lo denunció a la Agencia Española de Protección de Datos (AEPD) para que ordenara borrarlo, de modo que el documento ya no pueda ser localizado. La AEPD confirmó que hasta ese momento nadie lo había notificado y ante la gravedad de los hechos envió una orden de medida cautelar a la empresa que gestiona los servidores que aún contenían la información para que eliminaran este contenido altamente sensible. Y que finalmente ha sido acatada este mes. La CEE y el bufete de abogados se culpan mutuamente de lo ocurrido.

Según la ley, cuando se produce una brecha de seguridad es el responsable del incidente quien debe notificarlo a la AEPD en un plazo de 72 horas después de conocerlo, e incluso advertir a los afectados cuando se trata de datos extremadamente sensibles. La AEPD, por el momento, no hace valoraciones sobre los hechos, ni aclara si abrirá una investigación sobre la actuación de los obispos. Lo hará si recibe alguna denuncia sobre lo ocurrido, aunque a veces lo hace también de oficio tras conocer los detalles del incidente a través de la prensa.

La información filtrada revelaba los datos personales de 45 personas y el contenido de las denuncias que comunicaron al bufete Cremades & Calvo-Sotelo. El documento incluye los nombres y apellidos de las víctimas, y, entre otros detalles, un breve relato de los hechos, la fecha y lugar en que sucedieron, la edad que tenían las víctimas cuando fueron agredidas y el tipo de abusos que sufrieron.

El despacho Cremades & Calvo-Sotelo fue el encargado por la CEE en 2022 de elaborar una auditoría interna sobre la pederastia en la Iglesia y, tras hablar con víctimas que se pusieron en contacto con su equipo de trabajo, seleccionó para el estudio 45 testimonios válidos. Sus datos y detalles se incluyeron en una tabla en un anexo de su informe final, entregado a los obispos el pasado mes de diciembre. La CEE hizo público ese estudio en su portal el 20 de diciembre, en una nota de prensa que incluía un PDF de 956 páginas, una versión donde no figuraba el anexo de datos confidenciales. Sin embargo, después, en algún momento, la CEE modificó su comunicado y publicó el PDF de otra versión de la auditoría, con una portada distinta y de 984 páginas, que incluía esos datos sensibles. Hasta que se percató del error y lo retiró. Pero no lo comunicó a la AEPD. Y en realidad tampoco gestionó adecuadamente la eliminación de los datos: este diario ha comprobado que el documento permaneció en la página de la CEE al menos hasta el 28 de diciembre y, es más, ha seguido siendo rastreable en internet durante cuatro meses, hasta este mes de mayo, y así lo localizó este periódico.

Las versiones sobre lo ocurrido de la CEE y el despacho de abogados chocan. La entidad episcopal echa la culpa al bufete, aunque la información estaba colgada en su portal. Explica que el despacho entregó su auditoría el 16 de diciembre, pero luego, “a lo largo de la semana”, no precisa la fecha, envió “una segunda versión del informe de auditoría, con el mandato de que esta nueva versión se subiera a la página web, sustituyendo a la anterior, por considerarla el despacho como la versión definitiva”, y asegura que así se hizo el 22 de diciembre. Esta explicación no aclara por qué, en todo caso, las dos versiones que hizo públicas la CEE, la primera y la definitiva, solo difieren aparentemente en ese anexo con información reservada y por lo demás parecen idénticas. Es decir, por qué iba a exigir el bufete la sustitución de un documento por otro igual y con el único añadido de información privada que no se podía divulgar.

En todo caso los obispos atribuyen al estudio jurídico la responsabilidad del fallo, y añaden: “El día 23 de diciembre el despacho Cremades & Calvo-Sotelo, advirtiendo y reconociendo su error, detecta que, al final de la segunda versión del informe de auditoría remitido, después de la bibliografía, aparecían datos de una serie de personas que no constaban en la primera versión del informe”. La CEE asegura que entonces “hizo todo lo posible para solventar la incidencia, tomando rápidamente las medidas técnicas y organizativas pertinentes, y retirando los enlaces de acceso”. Gestión que, en realidad, fue realizada de forma deficiente, porque el documento siguió siendo accesible.

El bufete madrileño, consultado al respecto, explica que es la CEE quien cometió el error al hacer cambios en su nota de prensa y sustituir un informe sin los datos confidenciales, el que estaba en un principio, por otro donde no se habían suprimido. Señala que fue el propio despacho el que lo descubrió al consultar la web episcopal y avisó a los obispos el 23 de diciembre por la tarde. Asegura que advirtió al director de comunicación de la CEE, Josetxo Vera, y al vicesecretario para Asuntos Económicos, Fernando Giménez Barriocanal. La CEE retiró el PDF con información confidencial y lo sustituyó por la otra versión. Sin embargo, asegura el despacho, no se eliminó otro enlace de la web de los obispos que seguía llevando al PDF con información de las víctimas. Lo descubrió, de nuevo, el bufete, según afirma en su relato de lo ocurrido. Fue el 9 de enero, al hacer una búsqueda en Google y toparse todavía con el documento reservado. Es decir, la información sensible estuvo al menos 18 días en la web de los obispos. El despacho tuvo que avisar otra vez a la CEE, que se apresuró de nuevo a borrar también ese enlace, señala el despacho. Pero tampoco en esa ocasión se hizo un trabajo cuidadoso para suprimir eficazmente el acceso a los datos privados, pues el documento ha seguido siendo accesible hasta este mes en algunos servidores que ya lo habían copiado, según ha comprobado este diario. Por su parte, la AEPD invita a las víctimas o a cualquier persona que pueda encontrar datos privados a denunciarlo en la web de la entidad, a través del canal prioritario de notificaciones.

La CEE, que es quien divulgó los datos privados, se arriesga a afrontar serias consecuencias por este incidente. Tanto por parte de la Agencia Española de Protección de Datos, que puede abrir una investigación e imponer una sanción, como por parte de las propias víctimas, que pueden emprender acciones legales. Según el artículo 33 del Reglamento General de Protección de Datos, cuando se descubre una filtración grave de datos personales que afecta a derechos fundamentales, como en este caso, se debe comunicar de inmediato a la autoridad competente, la AEPD. Según indica la norma, “debe realizarse sin dilación y a más tardar en las 72 horas siguientes”. Además, según el artículo 34, se debe informar a los propios afectados lo antes posible, “sin dilación indebida”, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. Son dos cosas que la CEE no ha hecho, según confirma la entidad pública y algunas de las víctimas que aparecen en el listado, que se han enterado de lo ocurrido por este periódico.

Multas de cientos de miles de euros

Por todo ello la CEE puede arriesgarse a una multa, cuyo importe puede ser elevado. La ley prevé sanciones de entre 300.000 y 20 millones de euros, pero nunca se ha alcanzado la cifra máxima. Como referencia, la compañía aérea Air Europa fue castigada en 2021 con dos multas de la AEPD por un total de 600.000 euros, tras una brecha de seguridad que afectó a los datos personales y bancarios de miles de usuarios. La primera multa fue de 100.000 euros, por el tipo de datos filtrados, pero la segunda fue de 500.000 euros, precisamente porque la compañía no comunicó el problema a la AEPD en las 72 horas siguientes a que se descubriera, como es preceptivo. Air Europa tardó 41 días en hacerlo. La CEE, a día de hoy, más de cuatro meses después, aún no lo ha notificado a la autoridad.

La CEE, por su parte, asegura que “en relación a los datos contenidos en el informe de auditoría, la responsabilidad sobre los mismos corresponde al despacho Cremades & Calvo-Sotelo, que es el que envió la información a la Conferencia Episcopal Española, solicitando su publicación a esta, y sin advertir en ningún momento a la Conferencia Episcopal de su existencia ni de que no contaba con la autorización de los afectados para su publicación”. También afirma que “corresponde jurídicamente” al despacho adoptar las medidas para proteger la confidencialidad de los datos, “dado que la titularidad del fichero de datos personales corresponde al despacho (…), y son ellos los responsables frente a terceros, incluyendo a los afectados, la AEPD y la propia Conferencia Episcopal”. Por último, la CEE sostiene que no puede contactar con las personas que aparecen en el documento: “Su contacto es información reservada que, ni conocemos, ni podemos utilizar”.

En cuanto a las víctimas afectadas por la filtración, 20 ya habían contactado en el pasado con este diario para comunicar sus casos. Consultadas varias de ellas sobre si han tenido conocimiento de lo ocurrido con sus datos, todas declaran que no han sido advertidas y estudian acciones legales. Algunos de los afectados que aparecen en la documentación filtrada declaran expresamente en el texto que les preocupa que se haga pública su historia, ya que ni siquiera su familia sabe que sufrieron abusos. Uno de ellos es sacerdote y en uno de los casos la víctima sigue siendo hoy menor de edad. Algunos de los testimonios contienen detalles íntimos del momento de la agresión y también las duras secuelas que han arrastrado de por vida: problemas sexuales, emocionales, laborales.

Todas estas personas firmaron un documento facilitado por el despacho en el que se detalla cómo procesarían sus datos: “La información personal que nos facilite será únicamente accedida por profesionales de la firma o colaboradores con los que se haya alcanzado los correspondientes acuerdos de confidencialidad y establecido garantías para la protección de la información. En su caso, podría ser facilitada a la Conferencia Episcopal Española con motivo de la auditoría”.

El incidente se produjo en el contexto de las controvertidas y apresuradas maniobras que la CEE realizó en diciembre para intentar eclipsar y restar valor a la auditoría de Cremades & Calvo-Sotelo, que era crítica con la Iglesia y ha señalado 1.383 denuncias y al menos 2.056 víctimas, una cifra que los obispos no querían reconocer. Todo empieza el 20 de diciembre, cuando el bufete entregó a los obispos su esperado informe. De forma insólita, los obispos no lo presentaron a los medios y, en cambio, difundieron al día siguiente un documento de su cosecha, llamado Para dar luz, que rebajaba el número de denuncias a 806 y considera la mayoría no creíbles. Ese estudio, como reveló luego EL PAÍS, resultó ser un copia y pega literal de un informe provisional, incompleto y lleno de lagunas que filtró a los obispos su topo en la auditoría de Cremades, Alfredo Dagnino, que fue despedido por ello del bufete. El documento interno de Dagnino, con su polémica clasificación de casos como probados o no probados, se puede consultar al final de este artículo. Las víctimas, indignadas, han rechazado ese informe.

Pero los errores no se quedaron ahí. Luego se produjo la filtración de datos personales de las víctimas, a la hora de difundir la auditoría de Cremades. La CEE lo hizo el día 21 de diciembre con una discreta nota de prensa y un enlace de descarga con el documento. Al día siguiente ese comunicado fue sustituido por otro, pero aquí se produjo el error: al añadir el documento que se podía descargar, se colocó la versión con los datos de las víctimas.