La Conferencia Episcopal Española (CEE) encargó, en febrero de 2022, al despacho de abogados Cremades & Calvo–Sotelo una auditoría independiente sobre los abusos sexuales a menores en el ámbito de la Iglesia católica en España, a partir de los casos recogidos en los tribunales eclesiásticos, los tribunales civiles, los medios de comunicación y los facilitados por el Ministerio del Interior, el Ministerio Fiscal, la Fundación ANAR y la ONG Save the Children. A dichas fuentes se unen los testimonios de las víctimas.
El bufete presentó su informe en octubre de 2023, pero la CEE lo cuestionó públicamente por discrepancias metodológicas y de cifras, y decidió no aceptarlo. En su lugar, la CEE elaboró y publicó su propio informe, titulado Para dar luz.
Posteriormente, el bufete remitió a la CEE una versión ampliada o complementaria de su auditoría. Al publicarla en su sitio web, la CEE incluyó accidentalmente un anexo con datos identificables de 45 víctimas (nombres y apellidos, breves relatos de las agresiones, fechas y lugares). La CEE retiró dicho anexo y lo sustituyó por una versión anonimizada, si bien el documento original permaneció accesible durante 14 días en el sitio web de la CEE y fue rastreable en Internet durante varios meses.
El RGPD obliga a comunicar a la autoridad de control las brechas de seguridad en el plazo de 72 horas y a las personas afectadas cuando exista un riesgo alto para sus derechos y libertades. No se me ocurre un caso mejor que este para entender que procede la comunicación a las víctimas, pero la CEE no la comunicó a la AEPD ni a las personas afectadas.
Asociaciones de víctimas denunciaron la incidencia ante la AEPD. En octubre de 2025, la AEPD archivó el procedimiento, al considerar la filtración accidental con adopción rápida de medidas correctivas por parte de la CEE y sin evidencia de intencionalidad o daños graves generalizados.
Las víctimas recurrieron el archivo en diciembre de 2025, argumentando que la gravedad del caso merecía una sanción ejemplar. El recurso está pendiente de resolución.
Conclusión
La exposición accidental de datos tan sensibles como los de víctimas de abusos sexuales infantiles constituye una brecha grave, independientemente de su intencionalidad, y pone de manifiesto deficiencias en los protocolos de publicación y revisión de documentos por parte de la CEE.
Este incidente se suma a la compleja gestión de la crisis de los abusos sexuales infantiles en la Iglesia española, que ha avanzado en otros frentes. El 8 de enero de 2026, la Conferencia Episcopal Española, la Conferencia Española de Religiosos y el Gobierno firmaron un acuerdo para un sistema mixto de reparación integral a las víctimas, incluidos los casos prescritos, coordinado por el Defensor del Pueblo.
Permítanme terminar con una cita bíblica: «Es inevitable que haya escándalos, pero ¡ay de aquel que los ocasiona! Más le valdría que le ataran al cuello una piedra de moler y lo precipitaran al mar, antes que escandalizar a uno de estos pequeños» (Evangelio según San Lucas 17, 1-6).
