La Conferencia Episcopal Española (CEE) publicó en su web la identidad de 45 víctimas de pederastia en la Iglesia católica y los detalles de sus casos en un documento que era confidencial. La información estuvo disponible en la página durante al menos 18 días, entre diciembre y enero del 2023. Según explica El País, unos días más tarde retiraron la información, a pesar de que, incluso cuatro meses después, se podía consultar en internet. Entre los datos que se revelaron había el nombre, apellidos y la edad de las víctimas, la descripción de los abusos que sufrieron y la fecha en que se produjeron. Los datos formaban parte de una auditoría interna encargada por la iglesia para determinar cuántos casos de pederastia se habían cometido. Ahora, la CEE y el bufete de abogados Quemaduras & Calvo-Sotelo —quién se encargó de la auditoría— se culpan mutuamente del error de la publicación de los datos de las víctimas.
Multas de miles de euros
La Conferencia Episcopal es quien divulgó los datos privados de las víctimas, y por eso se arriesga a hacer frente a varias consecuencias. Por una parte, el AEPD puede abrir una investigación e impone una sanción, así como por parte de las víctimas, que pueden emprender acciones legales. La ley indica que cuando se produce una brecha de seguridad es el responsable del error quien lo tiene que notificar a la Agencia Española de Protección de Datos (AEPD) "sin dilación y a más tardar en las 72 horas siguientes", e incluso advertir a los afectados como en este caso es información extremadamente sensible. Según el citado diario, de momento el AEPD no ha aclarado si hay una investigación abierta sobre la actuación de los obispos. Ninguna de las dos consignas las ha cumplido la CEE.
Precisamente, por todo eso es que la iglesia española se arriesga a recibir una multa con un importe elevado. Así pues, la ley prevé sanciones de entre 300.000 y 20 millones de euros, aunque nunca se ha impuesto la cifra máxima. Según detalla El País, el precedente más próximo es el de la compañía aérea Air Europa fue castigada en el 2021 con dos multas de 600.000 euros, después de una brecha de seguridad que destapó los datos bancarios y personales de miles de usuarios. En aquella ocasión, la primera multa fue de 100.000 euros, por el tipo de datos filtrados, pero la segunda se elevó la cifra hasta los 500.000 euros, precisamente porque no informó a la agencia de protección de datos en el periodo de 72 horas, como indica la norma. Air Europa tardó hasta 41 días para notificarlo. La CEE ya lleva más de 4 meses sin haberlo notificado.
Las justificaciones de la Conferencia Episcopal
La CEE intenta librarse de las posibles sanciones, y acusa al bufete de abogados de ser los responsables de los datos de la auditoría, que envió la información a la iglesia española sin advertir de su existencia ni que no contaba con la autorización de los afectados para su publicación. Además, asegura que "corresponde jurídicamente" al despacho tomar las medidas necesarias para proteger los datos "dado que la titularidad del fichero de datos personales corresponde al despacho (...), y son ellos los responsables enfrente de terceros, incluyendo los afectados, el AEPD y la misma Conferencia Episcopal". Además, la CEE señala que no se puede poner en contacto con las víctimas que aparecen al documento, ya que, "su contacto es información reservada que, ni conocemos, ni podemos utilizar".