A Conferência Episcopal Espanhola (CEE) teve disponível durante pelo menos 18 dias um documento no seu site com a identidade e detalhes de 45 vítimas de abusos sexuais na Igreja. O jornal El País revela que as informações, que deveriam ser confidenciais, faziam parte de uma auditoria encomendada ao escritório de advogados Cremades & Calvo-Sotelo.

Um relatório sobre os abusos foi divulgado no site da CEE pela primeira vez a 20 de dezembro, com um ficheiro PDF com 956 páginas e sem dados sensíveis. O ficheiro foi mais tarde substituído por uma versão mais extensa, com 984 páginas, que incluía uma tabela com informações e detalhes das vítimas de abusos.

Quando o erro foi detetado, terá sido apagado, mas o El País ainda conseguiu encontrar as informações online em meados de abril, quatro meses depois do erro.

Foi o próprio jornal a avançar, a 22 de abril, com uma denúncia à Agência Espanhola de Proteção de Dados (AEPD) e um pedido para que o documento seja apagado e que não possa ser localizado. A AEPD disse que, até então, não tinha sido notificada sobre o tema.

PUB • CONTINUE A LER A SEGUIR

Perante a gravidade da informação tornada pública, refere o jornal, a AEPD avançou com uma medida cautelar contra a empresa que gere os servidores para que estes dados sensíveis possam ser eliminados.

A Conferência Episcopal Espanhola e a firma de advogados culpam-se mutuamente pela divulgação dos dados. A CEE culpa o escritório, ainda que a informação estivesse no seu site, relatando que recebeu uma nova versão do relatório já depois da publicação da primeira versão e um pedido para que fosse substituída.

Já o escritório de advogados nota que deu pelo erro em dezembro e que avisou o diretor de comunicação da CEE, Josetxo Vera, e o vice-secretário para assuntos económicos, Fernando Giménez Barriocanal. Embora a versão com dados sensíveis tenha sido eliminada do site, a firma de advogados ainda encontrou o documento acessível através de pesquisa, motivando um novo aviso.

A CEE arrisca-se a enfrentar uma multa no âmbito do Regulamento Geral de Proteção de Dados (RGPD). Primeiro, por não ter notificado a entidade de proteção de dados sobre o incidente – segundo as obrigações do RGPD, isso deveria ter sido feito no prazo máximo de 72 horas após a deteção. Além disso, também os donos dos dados deveriam ter sido notificados.