La Agencia de Protección de Datos abre una investigación a los obispos sobre la difusión de nombres de víctimas de pederastia en su web

EL PAÍS puso en marcha en 2018 una investigación de la pederastia en la Iglesia española y tiene una base de datos actualizada con todos los casos conocidos. Si conoce algún caso que no haya visto la luz, nos puede escribir a: abusos@elpais.es. Si es un caso en América Latina, la dirección es: abusosamerica@elpais.es.

───────────

La Agencia Española de Protección de Datos (AEPD) ha abierto una investigación de oficio sobre la filtración de datos confidenciales de 45 víctimas de pederastia en la web de la Conferencia Episcopal Española (CEE), revelada por EL PAÍS este jueves y que los obispos han admitido. Según ha confirmado la agencia a este diario, se han iniciado ya las actuaciones previas y se solicitará información sobre el incidente a la institución y al resto de personas y entidades involucradas. Es un procedimiento que llevará meses y puede desembocar en sanciones que van de los 300.000 euros a los 20 millones, aunque nunca se ha alcanzado la cifra máxima. Las actuaciones previas tienen una duración máxima de 18 meses, y el procedimiento sancionador, si es el caso, otros 12 meses. Además, varias de las víctimas dañadas por la filtración han expresado su indignación y anuncian su intención de emprender una demanda colectiva contra los obispos. La AEPD precisa que también pueden presentar una reclamación en la propia agencia, que se incorporaría a la investigación ya abierta.

La filtración de datos sensibles se produjo entre diciembre y enero, cuando la CEE publicó en su web, durante al menos 18 días, la identidad de 45 víctimas de pederastia en la Iglesia y los detalles de sus casos en un documento que debía ser confidencial, parte del informe de la auditoría encargada al despacho de abogados Cremades & Calvo-Sotelo. La CEE culpa al bufete de no haberle avisado de que en un anexo al final del PDF del informe estaba esa información reservada, mientras que el estudio asegura que el error de publicarlo es de los obispos.

La CEE retiró el documento al percatarse del error el 23 de diciembre, pero no lo hizo correctamente y siguió hasta el día 28, según comprobó este diario. Nuevamente se retiró, pero aún seguía siendo localizable en Google en otros enlaces el 9 de enero, según afirma el bufete, que dice que volvió a advertir a la CEE. Finalmente en ese momento, 18 días después, se suprimió totalmente el acceso. Sin embargo, este diario ha constatado que incluso cuatro meses después el documento seguía siendo rastreable y accesible en internet en servidores que ya lo habían copiado.

Por otro lado, la ley indica que el responsable de una brecha de seguridad de este tipo debe comunicarlo a la AEPD sin dilación y en un plazo de 72 horas, cosa que la CEE no hizo. Es más, afirma que la responsabilidad de los datos “ante terceros”, incluida la AEPD, era del bufete Cremades & Calvo-Sotelo. En realidad, fue EL PAÍS quien lo denunció a la agencia el pasado abril al descubrir el documento. La AEPD ordenó entonces la retirada de la información a las empresas que aún lo exhibían y ya no puede ser localizada. Además, también se debe advertir a los afectados por la filtración cuando se trata de datos extremadamente sensibles. En este caso, nadie lo ha hecho. Se han enterado por este periódico. La CEE sostiene que no tenía el contacto de las víctimas y que era responsabilidad del bufete, en todo caso, avisarlas. Opina que “corresponde jurídicamente” al despacho adoptar las medidas para proteger la confidencialidad de los datos, “dado que la titularidad del fichero de datos personales corresponde al despacho (…), y son ellos los responsables frente a terceros, incluyendo a los afectados”.

La asociación Infancia Robada (ANIR), a la que pertenecen algunos de los afectados, ha exigido a la CEE la dimisión de los responsables de la difusión de datos confidenciales. La institución eclesiástica, por su parte, ha guardado silencio. ANIR ha pedido “ceses inmediatos de las personas con nombre y apellidos, que han sido actores principales y secundarios en la comisión” de la filtración. “Quienes desde el departamento de comunicación y más allá de este han vulnerado algo tan sagrado, sensible y protegible como es la identidad de seres humanos agredidos y abusados sexualmente deben ser denunciados. Depurar responsabilidades. En caso de no producirse esos ceses, estaríamos, ante un ejercicio de impunidad y encubrimiento que un Estado social y democrático de Derecho no debe admitir. Esto es gravísimo, deplorable”, afirma en un comunicado el presidente de la asociación, Juan Cuatrecasas, que añade: “No admite demora ni reflexión por parte de la máxima autoridad de la Conferencia Episcopal, su actual ejecutiva. Ante hechos tan graves, decisiones inmediatas, tajantes”.

Javier, víctima de abusos en La Bañeza (León) y que siempre ha intentado proteger su identidad, es una de las personas que aparece en los datos divulgados por la CEE. Dice estar destrozado y profundamente decepcionado: “En mi infancia abusaron de nosotros, de mi hermano y de mí, y lo encubrieron. El pederasta ha estado años en la impunidad más absoluta y, cuando decido denunciar, los procesos que se han hecho han sido tramposos y engañosos. Me he sentido burlado, engañado. Luego abren una investigación interna, yo me acerco y mis datos personales están por ahí, a saber quien los tienen. Es que se han dedicado a hacerme daño toda la vida. Y todo esto, todo esto en una España democrática y en un Estado de Derecho. Nunca, jamás, me he sentido defendido y apoyado por la Iglesia, por esa institución que ha cometido crímenes hace muchos niños”.

Hay víctimas que siguen con miedo ante la posibilidad de que el archivo se descargase masivamente durante los días que estuvo en internet y que alguien pueda utilizarlo para hacer públicos sus nombres. “Cuando fui a Cremades no pedí dinero, solo que no se conociera mi nombre. Mi familia no sabe que sufrí abusos”, dice una víctima, que añade: “Me cabrea la falta de sensibilidad con este tema. Creo que es una falta gravísima. Tengo claro que moralmente es una falta de respeto, de tener en cuenta que hay personas que no quieren verse expuestos a una tormenta mediática”. Este afectado, que dice sentirse estafado, también se plantea sumarse a una denuncia colectiva.

Miguel Hurtado, la víctima y activista que destapó los abusos en la abadía de Montserrat, Barcelona, también está indignado: “Revelar la identidad de la víctima es una traición a su confianza y una retraumatización secundaria, es echar sal a la herida. Este hecho demuestra la incompetencia e incapacidad de los obispos para limpiar la Iglesia. Además ni siquiera asumen su responsabilidad, intentado echarle la culpa a Cremades cuando el error es claramente suyo. Corresponde al Estado actuar, es lo que haría con cualquier institución afectada por un escándalo similar, pero no es descartable que una vez más la autoridad dé un trato de favor a la jerarquía católica y al final esta grave infracción se quede en nada”.

Ante la investigación abierta, la CEE puede arriesgarse a una multa de importe muy elevado. Como referencia, la compañía aérea Air Europa fue castigada en 2021 con dos multas de la AEPD por un total de 600.000 euros, tras una brecha de seguridad que afectó a los datos personales y bancarios de miles de usuarios. La primera multa fue de 100.000 euros, por el tipo de datos filtrados, pero la segunda fue de 500.000 euros, precisamente porque la compañía no comunicó el problema a la AEPD en las 72 horas siguientes a que se descubriera, como es preceptivo. Air Europa tardó 41 días en hacerlo. En este caso, el documento ha circulado por internet más de cuatro meses hasta que EL PAÍS lo notificó a la AEPD.