La Agencia de Protección de Datos archiva la investigación contra los obispos por filtrar datos de 45 víctimas de pederastia

EL PAÍS puso en marcha en 2018 una investigación de la pederastia en la Iglesia española y tiene una base de datos actualizada con todos los casos conocidos. Si conoce algún caso que no haya visto la luz, nos puede escribir a: abusos@elpais.es. Si es un caso en América Latina, la dirección es: abusosamerica@elpais.es.

───────────

La Agencia Española de Protección de Datos (AEPD) ha archivado la investigación de oficio que abrió contra la Conferencia Episcopal Española(CEE) por divulgar a finales de 2023 por error en su web los datos personales y confidenciales de 45 de víctimas de pederastia. En la resolución, firmada este sábado por su presidente, Lorenzo Cotino Hueso, y a la que ha tenido acceso este periódico, la AEPD afirma que “la CEE detectó la producción de la brecha de datos personales y adoptó con gran celeridad las medidas reactivas precisas, garantizando la retirada de la información expuesta, corrigiendo la citada brecha de datos personales” y que “no procede la imposición de una medida correctiva”.

La Conferencia Episcopal Española (CEE) publicó en su web entre diciembre y enero de 2024, durante al menos 18 días, la identidad de 45 víctimas de pederastia en la Iglesia y los detalles de sus casos en un documento que debía ser confidencial, parte del informe de la auditoría sobre abusos encargada al despacho de abogados Cremades & Calvo-Sotelo. Luego lo retiró de su web, pero EL PAÍS constató que durante cuatro meses después esta información seguía siendo rastreable y accesible en internet. Este periódico lo verificó ante notario en abril de 2024 y, días después, lo denunció ante la AEPD para que ordenara borrarlo y que dicho documento no pudiera ser localizado. Tras la publicación de EL PAÍS en mayo de ese año, la AEPD anunció la apertura de una investigación de oficio. Ese verano, nueve víctimas pusieron una denuncia en un juzgado penal de Madrid, que acabó archivándola unos meses después.

La información filtrada por los obispos revelaba los datos personales de 45 personas y el contenido de las denuncias que comunicaron al bufete Cremades & Calvo-Sotelo. El documento incluye los nombres y apellidos de las víctimas, y, entre otros detalles, un breve relato de los hechos, la fecha y lugar en que sucedieron, la edad que tenían las víctimas cuando fueron agredidas y el tipo de abusos que sufrieron. La AEPD confirmó a este periódico el año pasado que nadie le había notificado la brecha y, ante la gravedad de los hechos, envió una orden de medida cautelar a la empresa que gestiona los servidores que aún contenían la información para que eliminaran este contenido de altamente sensible de la red. Desde que se hiciera pública la filtración, la agencia ha recibido siete reclamaciones “presentadas por personas afectadas”.

Algunos de los afectados que aparecen en la documentación filtrada declaraban expresamente en el texto que les preocupa que se haga pública su historia, ya que ni siquiera su familia sabe que fueron víctimas de pederastia. Uno de ellos es sacerdote y en uno de los casos la víctima sigue siendo hoy menor de edad. Algunos de los testimonios contienen detalles íntimos del momento de la agresión y también las duras secuelas que han arrastrado de por vida: problemas sexuales, emocionales, laborales.

Pese a su decisión de archivar el caso, la agencia es contundente con lo sucedo: “consta que los datos personales de los afectados, incluidos en un anexo del informe elaborado por Despacho Cremades & Calvo-Sotelo, fueron indebidamente expuestos por un brevísimo periodo de tiempo en la página web de la CEE”.

Según la ley, cuando se produce una brecha de seguridad es el responsable del incidente quien debe notificarlo a la AEPD en un plazo de 72 horas después de conocerlo, e incluso advertir a los afectados cuando se trata de datos extremadamente sensibles. Los obispos no denunciaron los hechos a la agencia, según constató la entidad a este periódico hace un año, ni tampoco informaron de lo sucedido a las víctimas, ni siquiera les han pedido perdón públicamente.

La resolución de la AEPD señala, sobre el alcance de la brecha, que “de acuerdo con el informe realizado por la empresa responsable del alojamiento de los servidores de la CEE, el archivo fue solicitado al servidor en nueve ocasiones, en el entorno de la hora en que se enlazó desde la web y en que fue totalmente eliminado de la biblioteca del servidor”. No obstante, no se informa de las veces que se pudo compartir después a través de otros canales o de las consultas en otros servidores, como en el que estuvo hasta el mes de mayo.

El documento afirma que la CEE actuó “por iniciativa propia, muchos meses antes de que se presentara ante la AEPD denuncia o reclamación alguna”, aunque lo cierto es que los obispos quitaron la información de su web tras los avisos del despacho, que se percató de lo sucedido. También que no lo hizo “muchos meses antes” de que la agencia lo tuviera en conocimiento, sino que fueron algo más de tres meses y los datos divulgados aún siguieron accesibles en internet.

El despacho Cremades & Calvo-Sotelo fue el encargado por la CEE en 2022 para elaborar una auditoría interna sobre la pederastia en la Iglesia y, tras hablar con víctimas que se pusieron en contacto con su equipo de trabajo, seleccionó para el estudio 45 testimonios válidos. Sus datos y detalles se incluyeron en una tabla en un anexo de su informe final, entregado a los obispos a finales de 2023. La CEE hizo público ese estudio en su portal el 20 de diciembre, en una nota de prensa que incluía un PDF de 956 páginas, una versión donde no figuraba el anexo de datos confidenciales.

Sin embargo, después, en algún momento, la CEE modificó su comunicado y publicó el PDF de otra versión de la auditoría, con una portada distinta y de 984 páginas, que incluía esos datos sensibles. Hasta que se percató del error y lo retiró. Pero no lo comunicó a la AEPD. Y en realidad tampoco gestionó adecuadamente la eliminación de los datos: este diario ha comprobado que el documento permaneció en la página de la CEE al menos hasta el 28 de diciembre y, es más, ha seguido siendo rastreable en internet durante cuatro meses, hasta ese mes de mayo, cuando lo localizó este periódico.

Las versiones sobre lo ocurrido de la CEE y el despacho de abogados siempre han chocado, culpándose mutuamente de lo sucedido. La Conferencia afirma que el despacho entregó su auditoría, pero unos días después le envió “una segunda versión del informe, con el mandato de que esta nueva versión se subiera a la página web”. Luego los obispos recibieron una llamada del despacho advirtiendo y “reconociendo” su error y estos aseguran la CEE “hizo todo lo posible para solventar la incidencia, tomando rápidamente las medidas técnicas y organizativas pertinentes, y retirando los enlaces de acceso”. Gestión que, en realidad, fue realizada de forma deficiente, porque el documento siguió siendo accesible.

El bufete madrileño, consultado al respecto, explicó que es la CEE quien cometió el error al hacer cambios en su nota de prensa y sustituir un informe sin los datos confidenciales. El bufete asegura que advirtió al director de comunicación de la CEE, Josetxo Vera, y al vicesecretario para Asuntos Económicos, Fernando Giménez Barriocanal. La CEE retiró el PDF con información confidencial y lo sustituyó por la otra versión. Sin embargo, asegura el despacho, no se eliminó otro enlace de la web de los obispos que seguía llevando al PDF con información de las víctimas.

Lo descubrió, de nuevo, el 9 de enero de 2024, al hacer una búsqueda en Google y toparse todavía con el documento reservado. El despacho tuvo que avisar otra vez a la CEE, que se apresuró de nuevo a borrar también ese enlace. Pero tampoco en esa ocasión se hizo un trabajo eficaz para suprimir el acceso a los datos privados, pues el documento siguió siendo accesible hasta mayo.