GASTOS ESCRITURAS DE HIPOTECA

GASTOS NOTARIALES Y REGISTRALES DE LA ESCRITURA DE HIPOTECA, ASÍ COMO LOS RELATIVOS AL IMPUESTO DE ACTOS JURÍDICOS DOCUMENTADOS DERIVADOS DE LA PROPIA ESCRITURA DE HIPOTECA.

La Sentencia del Tr. Supremo 705/2015, de 23 de diciembre declaró como abusiva la cláusula en la que el BBVA impone al prestatario el pago de todos los gastos, tributos y comisiones derivados del préstamo hipotecario.

Dicha cláusula expresaba: “Son de cuenta exclusiva del prestatario todos los tributos comisiones y gastos ocasionados por la preparación, formalización, subsanación, tramitación de escrituras, modificación –incluyendo división, segregación o cualquier cambio que suponga alteración de la garantía- y ejecución de este contrato, y por los pagos y reintegros derivados del mismo, así como por la constitución, conservación y cancelación de su garantía, siendo igualmente a su cargo las primas y demás gastos correspondientes al seguro de daños, que la parte prestataria se obliga a tener vigente.”

Estas cláusulas de atribución al consumidor de todos los gastos derivados de la concertación y desarrollo del contrato, son nulas según el Tribunal Supremo. Nuestro Alto Tribunal califica tal nulidad en base a la falta de concreción en el propio contrato de préstamo de los gastos, comisiones y tributos, quedando, así, establecidos de manera genérica.

Lo que se puede reclamar en virtud de todo ello es lo siguiente:

A)-Factura del Notario y del Registro de la Propiedad, relativas a la escritura del préstamo hipotecario.

Sobre este particular, el Tr. Supremo nos dice que “en lo que respecta a la formalización de escrituras notariales e inscripción de las mismas (necesaria para la constitución de la garantía real o hipoteca), tanto el arancel de los Notarios como el de los Registradores de la Propiedad, atribuyen la obligación de pago al solicitante del servicio de que se trate o a cuyo favor se inscriba el derecho. Y quien tiene el interés principal en la documentación e inscripción de la escritura de préstamo con garantía hipotecaria es, sin duda, el prestamista (el banco), pues así tiene un título ejecutivo, constituye la garantía real, y adquiere la posibilidad de ejecución especial”. Sigue manifestando el Supremo que se produce un desequilibrio para el consumidor al no permitirse una mínima reciprocidad en la distribución de los gastos producidos como consecuencia de la intervención notarial y registral, recayendo todos sobre el particular prestatario. Y, en definitiva, tal desequilibrio, apostilla el Tr. Supremo, determina el carácter abusivo de dichas cláusulas y, como consecuencia de ello, su nulidad.

B)- Impuestos de Actos Jurídicos Documentados.

El Tr. Supremo entiende que aquí el sujeto pasivo es el Banco o entidad prestamista y no el prestatario, precisamente a la vista de la ley del IAJD que sobre tal particular expresa que “ Será sujeto pasivo del impuesto el adquirente del bien o derecho y, en su defecto, las personas que insten o soliciten los documentos notariales o aquéllos en cuyo interés se expidan”.

Finalmente, en cuanto al plazo para la reclamación hay que estar al plazo de 4 años relativo al ejercicio de la acción de nulidad, a contar desde el día siguiente al en que se puede ejercitar; esto es, desde el día siguiente a la publicación de la Sentencia del tribunal Supremo, para las escrituras de préstamo hipotecario que aún estén vivas. Y en cuanto a las canceladas ya, entiendo que se podría reclamar si aún no han transcurrido 4 años desde la cancelación.

ALFONSO ALCALÁ.

(Abogado).

EJERCICIO DE DERECHOS POR EL CIUDADANO EN SEDE DE PROTECCIÓN DE DATOS.

Como concreción individual de los principios que enuncia la Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de diciembre), existen una serie de derechos por parte del titular de los datos. En estos derechos deben distinguirse dos categorías: la primera, que está integrada por los derechos que constituyen el contenido esencial del derecho fundamental a la protección de datos, esto es, a saber, los derechos de acceso, rectificación, cancelación y oposición al tratamiento de los datos por parte de su titular; y, la segunda, que comprende el derecho a la impugnación, el derecho a la indemnización y el derecho a la consulta del Registro General de Protección de datos.

El ejercicio de estos derechos tiene carácter personalísimo, pues sólo podrán ser ejercidos por su titular. Excepcionalmente, podrán ser ejercidos por el representante legal del interesado cuando éste se encuentre en una situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos (art. 23 del Reglamento –RD 1720/2007-).

Por otra parte, estos derechos se califican como independientes, de suerte que no podrá entenderse que el ejercicio de cualquiera de ellos sea requisito previo para el ejercicio del otro.

El procedimiento para el ejercicio de los derechos se determina en el art. 25 del Reglamento (nombre y apellidos del interesado, petición en que se concreta la solicitud, dirección a efectos de notificaciones, fecha y firma del solicitante, y, en su caso, documentos acreditativos de la petición que formula). Cuando el responsable del fichero reciba la solicitud, deberá contestarla, independientemente de que figuren o no datos del solicitante en sus ficheros, utilizando cualquier medio que permita acreditar el envío y la recepción (por el mismo medio ha de enviarse la solicitud). Si la solicitud no reúne los requisitos exigidos legalmente, el responsable del fichero deberá requerir al solicitante para que subsane la deficiencia detectada. Y, para el caso de que no se atienda la solicitud de acceso, rectificación, oposición y cancelación, el ejercicio de estos derechos podrá ser reclamado ante la Agencia Española de protección de datos, que abrirá un procedimiento de tutela de derechos a fin de determinar la posible vulneración de los mismos.

DERECHO DE ACCESO (art. 15 LOPD y 27 del Reglamento):

Consiste, esencialmente, en la posibilidad que tiene el interesado para dirigirse al titular del fichero par solicitar y obtener gratuitamente información sobre sus datos de carácter personal que están siendo sometidos a tratamiento, sobre su origen y las comunicaciones realizadas o que se prevean realizar de los mismos; al propio tiempo en la solicitud deberá constar el fichero o ficheros que se pretenden consultar.

El titular del fichero deberá proporcionar la siguiente información (ex art. 29 del Reglamento): los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

El responsable del fichero deberá adoptar las medidas necesarias para garantizar que todas las personas de su organización que tienen acceso a datos de carácter personal, puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos. En tal sentido, el responsable del fichero está obligado a proporcionar la información solicitada de forma gratuita en el plazo máximo de 1 mes, a contar desde la recepción de la solicitud. Si en tal plazo no se ha resuelto de forma expresa, se entenderá el silencio como denegatorio de la solicitud, pudiendo en tal caso el afectado dirigirse a la Agencia Española de Protección de Datos; y, si aquélla fuera estimada, el acceso se hará efectivo en el plazo de los 10 días siguientes a su notificación (art. 29 del Reglamento).

El derecho de acceso podrá ejercitarse a intervalos no inferiores a 12 meses, salvo que se acredite un interés legítimo por parte del interesado, pudiendo en tal caso ejercitarse antes. A salvo la excepción temporal señalada, sólo se denegará el acceso cuando la solicitud sea formulada por persona distinta del afectado.

DERECHO DE RECTIFICACIÓN Y CANCELACIÓN :

Es la posibilidad que tiene el titular de los datos cuando éstos sean inexactos o incompletos, o cuando el tratamiento a que están siendo sometidos no se ajuste a lo dispuesto en la LOPD, en particular cuando tales datos resulten inadecuados o excesivos.

Ahora bien, la posibilidad que tiene el ciudadano de ejercitar estos derechos, no implica necesariamente que el titular del fichero tenga la obligación de rectificar o cancelar los datos, pues sólo tendrá que hacerlo cuando legalmente proceda su rectificación o cancelación.

Una vez recibida la solicitud el responsable del fichero podrá estimarla o no. En caso afirmativo, deberá hacer efectivo la cancelación o rectificación en el plazo de 10 días desde la recepción de la solicitud; y, en caso contrario, deberá también notificarlo motivadamente dentro del mismo plazo de 10 días. Para el caso de que transcurra el plazo de 10 días sin que el titular del fichero se pronuncie de forma expresa, se entenderá el silencio como desestimatorio de la solicitud.

Para el caso de que los datos rectificados o cancelados hubieran sido previamente comunicados o cedidos, el responsable del tratamiento deberá notificar en el mismo plazo de 10 días la rectificación o cancelación efectuada a quien se hayan comunicado o cedido tales datos en el supuesto de que se mantenga el tratamiento por este último, que deberá también proceder a la rectificación y cancelación.

Por lo demás, hay que tener en cuenta que la cancelación no supone en modo alguno la eliminación o borrado de los datos, sino su bloqueo, pues en caso de posterior conflicto podrán ser requeridos. Se procederá a su cancelación definitiva una vez cumplidos los plazos de prescripción derivados de las obligaciones o responsabilidades nacidas del tratamiento, quedando, mientras tanto y a tales efectos, a disposición de las Administraciones Públicas y Tribunales, para que, una vez transcurrido el plazo de prescripción,  se opere su efectiva supresión o destrucción.

DERECHO DE OPOSICIÓN:

Es la facultad que tiene el ciudadano para que sus datos no lleguen a ser tratados con una finalidad determinada o introducidos en un fichero.

Podemos distinguir dos clases de derecho de oposición, a saber las siguientes:

a).- Posibilidad que tienen los titulares para oponerse a que sus datos sean tratados con la finalidad de marketing y prospección comercial.

b).- En los supuestos en que no es necesario el consentimiento del afectado para el tratamiento de sus datos, éste podrá oponerse al tratamiento de los mismos cuando existan motivos fundados y legítimos relativos a una concreta situación personal, siempre que la ley no disponga lo contrario.

El responsable del fichero habrá de resolver sobre la solicitud de oposición, en ambos casos, en el plazo máximo de 10 días a contar desde la recepción de aquélla. Si transcurre el plazo sin responder expresamente a la solicitud, ésta podrá entenderse desestimada a los efectos de interponer la reclamación a que se contrae el art. 18 de la LOPD.

La LOPD considera como infracciones leves no atender por motivos formales la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda (sanción: multa de 900 a 40.000 euros). Asimismo, considera que constituye infracción grave el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada (sanción: multa de 40.001 a 300.000 euros). Y considera infracción muy grave no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (sanción: multa de 300.001 a 600.000 euros).

Finalmente, además de los derechos comentados, se reconoce a los ciudadanos los derechos de consulta al Registro General de Protección de Datos, consistente en la posibilidad de acudir a tal Registro para obtener información sobre los ficheros, tanto de titularidad pública como privada, inscritos en él, el nombre del responsable del fichero y la finalidad del mismo (el Registro es de consulta pública y gratuita, sin que exista limitación alguna para las consultas efectuadas por el interesado); al propio tiempo, también existe el derecho de impugnación de valoraciones, que permite impugnar las decisiones que tengan efectos jurídicos, basadas únicamente en una evaluación de sus características o personalidad resultado de un tratamiento de datos de carácter personal (igualmente, podrán ser impugnados los actos administrativos o decisiones privadas que impliquen una valoración del comportamiento del titular de los datos, cuando el único fundamento es un perfil obtenido a través del tratamiento de los datos de carácter personal. Y, finalmente, en cuanto al derecho a indemnización, tenemos que la ley establece esta posibilidad cuando el ciudadano sufra daño o lesión en sus bienes o derechos como consecuencia del incumplimiento de lo prescrito en la normativa sobre protección de datos por parte del responsable del fichero o del encargado del tratamiento (en tal caso, si el incumplimiento proviene de un fichero de titularidad privada, habrá que acudir a la Jurisdicción Ordinaria, y si el fichero fuera de titularidad pública la responsabilidad se exigirá conforme a lo dispuesto en la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.

EL ACCESO A LOS DATOS PERSONALES POR TERCERO. EL CONTRATO DE PRESTACIÓN DE SERVICIOS.

Larelación contractual que se contempla en el art. 12 de la Ley Orgánica 15/1999, de 13 de diciembre (LOPD) y 20 de su Reglamento (Real Decreto 1720/2007), consiste básicamente en un arrendamiento de servicios (esto es, un contrato por el que una persona se compromete a prestar algún servicio a otra a cambio de un precio), donde, en este caso, su carácterística principal es que quien los presta actúa por cuenta de quien los encarga, de suerte que el riesgo o beneficio de los resultados del servicio siempre recaerá sobre el arrendatario (quien encarga el servicio). Esto es, aquí el responsable del fichero (arrendatario de los servicios), continúa teniendo la dirección y la responsabilidad del tratamiento, de modo que el encargado del tratamiento (arrendador de los servicios) solo estará legitimado para realizar aquello que se le encomienda por medio del contrato.

No se considerará comunicación de datos siempre que el acceso sea necesario para la prestación de un servicio al responsable del tratamiento. Ahora bien, en todo caso, dicha prestación tendrá que estar regulada en un contrato (contrato de prestación de servicios), por escrito o en alguna otra forma que permita acreditar su celebración y contenido, y que establezca expresamente los siguientes aspectos:

1º.- Que el encargado del tratamiento sólo tratará los datos conforme a las instrucciones del responsable del tratamiento.

2º.- Que el encargado del tratamiento no aplicará o utilizará los datos con fin distinto al que figure en dicho contrato.

3º.- Que el encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.

4º.- Las medidas de seguridad de que nos habla el art. 9 de la LOPD que el encargado del tratamiento está obligado a implementar (las recoge el art. 81 del Reglamento).

5º.- Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. (No obstante, el art. 22 del Reglamento expresa como excepciones: “no procederá la destrucción cuando exista una previsión legal que exija su conservación, en cuyo caso procederá la devolución de los mismos garantizando el responsable del fichero dicha conservación”; añadiendo el párrafo 2º que “el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento”).

El acceso a los datos del prestador del servicio no supone una cesión o comunicación de los mismos, por lo que no le será aplicable lo dispuesto en el art. 11 de la LOPD. Consecuentemente si el tercero somete a tratamiento los datos a los que accede para prestar el servicio, dicho tratamiento no requiere ni la previa información al titular de los datos ni su consentimiento.

Por ello, el problema mas frecuente y riesgo mas grave que se plantea en la práctica consiste en el uso ilegítimo de los datos por parte del encargado que presta el servicio, que se sirve de los datos para cederlos o alquilarlos en su propio beneficio, sin el consentimiento del responsable del fichero.

Este supuesto de deslealtad del prestador del servicio, está previsto en el art. 12.4 de la LOPD y en el art. 20.3 de su Reglamento, al señalar que, en tal caso, el prestador del servicio (encargado del tratamiento) será considerado como responsable del fichero y, en caso de denuncia ante la Agencia Española de Protección de Datos por uso no previsto ni autorizado, la única responsabilidad que podrá exigirse será frente al encargado del tratamiento desleal.

No obstante y en todo caso, siempre podrán exigirse responsabilidades por parte del responsable del fichero frente al encargado del tratamiento por el incumplimiento del contrato de prestación de servicios, exigiéndose tanto la indemnización de los daños que puedan derivarse del uso ilegítimo, como del lucro cesante, los beneficios obtenidos o debidos percibir por parte del encargado en los usos que realizó ilegalmente.

Por otra parte, hay que resaltar que se traslada al responsable del tratamiento la obligación de velar que el encargado reúna las garantías para el cumplimiento de la normativa de protección de datos de carácter personal.

Además, el Reglamento introduce la posibilidad de la subcontratación de los servicios, exigiendo, expresamente, la necesidad de obtener la autorización para la subcontratación y siempre y cuando se cumplan además los siguientes requisitos:

a).- Que se especifiquen en el contrato los servicios que pueden ser objeto de subcontratación y la empresa con la que se vaya a subcontratar.

b).- Que el tratamiento de los datos por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

c).- Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos del art. 20 del Reglamento.

Finalmente, se ha de señalar que en un contrato de prestación de servicios donde no se reflejen los requisitos que exige el art. 12 de la LOPD y 21 de su Reglamento (caso de subcontratación), o simplemente en esta sede no existiera contrato, supondría la comisión de las siguientes infracciones:

---Para el responsable del fichero, una infracción muy grave, sancionada con multa de 300.001 a 600.000 euros.

---Para los encargados del tratamiento (las empresas prestadoras del servicio), una infracción grave, sancionada con multa de 40.001 a 300.000 euros.

LA CESIÓN O COMUNICACIÓN DE DATOS DE CARÁCTER PERSONAL: REQUISITOS Y EXCEPCIONES.

El art. 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece las condiciones en las que se puede o no realizar la cesión o comunicación de datos de carácter personal, expresando, que únicamente se podrán ceder datos de carácter personal “para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario”.

Ahora bien, para tales casos el consentimiento del interesado deberá obtenerse con carácter previo a la cesión. Y, a mayor abundamiento, el consentimiento será nulo cuando no conste la finalidad a la que se destinarán los datos o el tipo de actividad a la que se dedica el cesionario.

Pero la propia Ley y su Reglamento (aprobado por Real Decreto 1720/2007), establecen una serie de excepciones a este principio, determinando, por consiguiente, los supuestos en los que no es necesario dicho consentimiento. A saber, lo siguientes:

1º.- Cuando lo autorice una norma con rango de ley o una norma de Derecho Comunitario, y, en particular, cuando concurra uno de los siguientes extremos:

a).- Que el tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el art. 1º de la LOPD.

b).- Que el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

2º.- Que los datos objeto de tratamiento o cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

Ahora bien, las Administraciones públicas sólo podrán comunicar, al amparo de este apartado, los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

3º.- Tampoco se precisará el consentimiento del interesado para la cesión de los datos de carácter personal en los casos siguientes:

a).- Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de Derecho Comunitario.

b).- Que los datos se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

c).- Que el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del art. 7.6º de la LOPD.

4º.- Se permite la cesión de los datos de carácter personal sin contar con el consentimiento del interesado, cuando:

a).- La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

b).- La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las Instituciones Autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente.

c).- La cesión entre Administraciones Públicas, cuando concurra uno de los siguientes supuestos:

                         - Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos.

                         - Los datos de carácter personal hayan sido recogidos o elaborados por una Administración Pública con destino a otra.

                         -  La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.

5º.- En cuanto a la cesión de datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, salud, vida sexual y origen racial o étnico), tenemos que sólo podrán cederse en los supuestos taxativamente señalados en la ley y con lo requisitos que la misma determina, conforme a lo dispuesto en los arts. 7 y 8 de la LOPD.

Otros requisitos para la cesión o comunicación:

El responsable del fichero o tratamiento deberá informar al titular en el momento en que efectúe la primera cesión, indicando la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario. Ahora bien, no será preciso estos informes cuando la cesión venga impuesta por una ley, cuando se trate de una cesión sin consentimiento basada en la existencia de una relación jurídica previa que la justifique, cuando el destinatario sea el Ministerio Fiscal, Jueces y Tribunales, el Defensor del Pueblo o el Tribunal de Cuentas, o sus análogos autonómicos, ni cuando se trate de cesiones entre Administraciones Públicas con fines históricos o estadísticos.

Ahora bien, cabe preguntarse qué ocurre con la cesión de datos entre empresas pertenecientes a un mismo grupo empresarial. Aquí debemos entender que la existencia de un grupo de empresas no impide que cada una de las sociedades que integran el grupo empresarial mantenga diferenciada y plena su personalidad jurídica. Por ello, la circunstancia de que una sociedad esté participada por otra u otras no afecta al hecho de que cada una de ellas tenga su propia personalidad jurídica, de suerte que cada empresa integrante del grupo empresarial será responsable del fichero o tratamiento de cada uno de sus ficheros con datos de carácter personal. Así cada empresa deberá inscribir sus propios ficheros de manera independiente ante la Agencia Española de Protección de Datos y las comunicaciones de datos entre las empresas integrantes del grupo requerirán los mismos requisitos que los generales de la cesión de datos de que nos habla el art. 11 del la LOPD.

En el supuesto de fusión, escisión, cesión global de activos y figuras similares, nos dice el Reglamento (RDLOPD) que estamos ante un supuesto de modificación del responsable del fichero pero no ante una cesión de datos. Ahora bien, sigue siendo obligatorio el deber de informar al interesado del cambio del nuevo responsable del fichero.

La Ley considera como infracción muy grave “la comunicación o cesión de datos de carácter personal, fuera de los casos en que estén permitidas” (sanción: multa de 300.001 a 600.000 euros).

EL DEBER DE SECRETO EN SEDE DE PROTECCIÓN DE DATOS

En materia de protección de datos de carácter personal rige un principio general de secreto. Así, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece (ex art. 10) que tanto el responsable del fichero como aquéllos que intervengan en cualquier fase del tratamiento de los datos, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos; obligaciones éstas que incluso subsisten después de finalizar las relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

En la práctica, este principio general implica que las personas que deban operar sobre los ficheros, o tengan acceso a datos personales, aunque solo sea a modo de consulta, deben estar sometidos a medidas o normas de conducta muy estrictas relativas al mantenimiento de la confidencialidad (compromiso de confidencialidad) en el desempeño de su labor diaria (así, pensemos, por ejemplo, en el personal del Departamento de RR.HH de una empresa, personal comercial, etc.).

En este sentido el Real Decreto 1720/2007 (que aprueba el Reglamento de la Ley en materia de Protección de Datos) establece que las personas que presten servicios en las instalaciones del responsable del fichero (por ejemplo, personal de limpieza) deberán asegurarse la confidencialidad, respecto de aquella información a la que pudieran tener acceso por la prestación de aquéllos.

La trascendencia de este principio de secreto es tal, que el propio Código Penal, ex art. 197, castiga con penas de 1 a 4 años de prisión y multa de 12 a 24 meses al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Por otra parte, y como infracciones administrativas en esta sede, la LOPD califica como infracción leve incumplir el deber de secreto establecido en el art. 10 , salvo que la conducta constituya infracción grave (sanción: 900 a 40.000 euros). Asimismo, establece como infracción grave la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo (sanción: multa de 40.001 a 300.000 euros). Y, finalmente, sanciona la Ley como infracción muy grave la vulneración del deber de guardar secreto sobre los datos de carácter personal a que se hace referencia en los apartados 2º y 3º del art. 7 (ideología, religión, creencias, afiliación sindical, vida sexual, salud y origen racial o étnico), así como los que hayan sido recabados para fines policiales sin el consentimiento de las personas afectadas (sanción: multa de 300.001 a 600.000 euros)

PRINCIPIOS DE LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: EL CONSENTIMIENTO DEL INTERESADO.

El consentimiento del interesado, titular de los datos, es el principio básico y esencial en materia de protección de datos de carácter personal. Así, a tenor del art. 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), se puede afirmar que la ley exige con carácter general el consentimiento del interesado, consentimiento que, además, ha de ser libre, inequívoco, específico e informado para el tratamiento de sus datos de carácter personal.

En cuanto al modo de otorgar el consentimiento, tenemos que podrá hacerse por cualquier medio admitido en Derecho, y, aquél, podrá ser expreso o tácito, así como revocable en cualquier momento por causa justificada, sin que en modo alguno se atribuyan efectos retroactivos a dicha revocación. En cuanto al consentimiento tácito, la ley (ex art. 7) lo permite en el tratamiento de todos aquellos datos que no estén especialmente protegidos, si bien para que el mismo pueda ser considerado como inequívoco será necesario otorgar al interesado un plazo de 30 días para que tenga conocimiento de que su simple no oposición (omisión a la oposición) al tratamiento implicaría un consentimiento al mismo, no pudiendo albergarse, además, duda alguna de que el afectado ha tenido conocimiento de la existencia del tratamiento y de la realidad de dicho plazo para oponerse al tratamiento.

Además, en cualquier caso, para que el consentimiento sea válido, la ley exige que los datos no ser recaben por medios fraudulentos, desleales o ilícitos.

No obstante, la ley ex art. 7, párrafos 1º y 2ºestablece una serie de garantías específicas para el tratamiento de ciertos datos. El nivel de protección superior lo sitúa la ley para los datos relativos a la ideología, afiliación sindical, religión y creencias. Así nos dice la ley que nadie podrá ser obligado a declarar sobre estos datos, siendo el propio interesado el que deberá dar su consentimiento expresamente y por escrito. También existe la obligación legal de advertir al afectado sobre su derecho a no prestar su consentimiento.( Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado).

Otros datos especialmente protegidos ex art. 7.3, son los relativos al origen racial, salud o vida sexual, que sólo podrán recabarse cuando por razones de interés general así lo disponga una norma con rango de ley, o cuando el interesado consienta expresamente, por escrito o mediante alguna otra forma fehaciente.

Sin el consentimiento del interesado, los datos de que estamos hablando (ideología, afiliación sindical, religión, creencias, salud, vida sexual y origen racial) únicamente podrán ser objeto de tratamiento cuando sean absolutamente imprescindibles para los fines de una investigación concreta realizada por las Fuerzas Armadas y Cuerpos de Seguridad.

Por lo demás, la ley también prohíbe en el art. 7.4 crear o mantener ficheros con la finalidad exclusiva de almacenar datos que revelen la ideología, afiliación sindical, religión, creencias, origen racial o vida sexual

Por otra parte, en cuanto a los datos relativos a infracciones administrativas o penales, hemos de precisar que sólo podrán ser incluidos en los ficheros públicos por las Administraciones competentes conforme a lo previsto en sus normas reguladoras.

Ahora bien, la Ley también cita una serie de supuestos, que son taxativos, en donde no se requiere el consentimiento del interesado para el tratamiento de sus datos de carácter personal. Así podemos citar los siguientes:

a).- Cuando una ley disponga otra cosa.

b).- Cuando los datos se recojan de fuentes accesibles al público (listín telefónico, listín de profesionales, medios de comunicación, boletines oficiales, etc.).

c).- Cuando se recojan para el ejercicio de las funciones propias de las Administraciones Públicas.

d).- Cuando se refieran a personas vinculadas por una relación negocial, laboral, administrativa o un contrato o precontrato, siempre que sean necesarios para el mantenimiento de las relaciones o para el cumplimiento del mismo, o para proteger su interés vital.

d).- Que el tratamiento sea necesario para la protección de un interés vital del interesado (así: prevención o diagnóstico médico, prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios.

En definitiva, este principio del consentimiento del interesado, que es eje central y piedra angular en materia de protección de datos, lo que nos viene a decir es que toda la información de una persona física le pertenece sólo a ella y, por tanto, únicamente la misma tiene el poder de decisión sobre quién puede, o no, conocerla y con qué finalidad.

La Ley tipifica como infracción grave (sanción: multa de 40.001 a 300.000 euros) proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, cuando tal consentimiento sea exigible. Y, como infracción muy grave (sanción: multa de 300.001 a 600.000 euros) recabar y tratar los datos de carácter personal a los que se refiere el art. 7.2 cuando no medie el consentimiento expreso del afectado; así como los del art. 7.3 cuando no lo disponga una ley o el afectado no haya consentido expresamente, y también cuando se viole la prohibición contenida en el apartado 4º del art. 7.

PRINCIPIOS NORMATIVOS EN MATERIA DE PROTECCIÓN DE DATOS: EL PRINCIPIO DE LA CALIDAD DE LOS DATOS

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento aprobado por Real Decreto 1720/2007 (RDLOPD), regulan los principios que rigen la protección de datos en España.

Puede afirmarse. que los principios básicos que constituyen el eje de la protección de datos son los de información, consentimiento y finalidad, en base a los cuales deben interpretarse todos los demás principios, derechos y  obligaciones que nacen de la normativa sobre protección de datos.

Principio de calidad de los datos:

Conforme a lo dispuesto en el art. 4 de la LOPD y en el art. 8 del RDLOPD, tenemos que los datos de carácter personal han de cumplir los siguientes requisitos esenciales: han de se adecuados, pertinentes, no excesivos y han de ser tratados de forma leal y lícita en relación con el ámbito y finalidades legítimas para las que se hayan recabado.

*Todos estas características básicas han de observarse tanto en el momento de la recogida de los datos como en su tratamiento posterior.

Este principio que comentamos comporta las consecuencias siguientes:

1º.- Los datos obtenidos no pueden utilizarse para finalidades incompatibles con aquéllas para las que fueron recogidos. Además, debemos interpretar el término “incompatible” en esta sede como sinónimo de “distinto”.

2º.- Prohibición de recogida de datos por medios fraudulentos, desleales o ilícitos.

3º.- Los datos deben ser exactos y puestos al día, por lo que deben responder con veracidad a la situación actual de su titular. Como consecuencia de esto, tales datos no podrán estar en el fichero un tiempo superior al necesario de aquél que sea preciso para conseguir la finalidad legítima para que se recabaron. Igualmente, de ello se deriva que cuando los datos sean inexactos, incompletos o dejen de ser necesarios o pertinentes, habrán de ser cancelados o sustituidos por los correctos.

Ahora bien, se permite la conservación de los datos pese a que hayan dejado de ser útiles en los siguientes casos:

          a).- Cuando se decida su mantenimiento por valores históricos, científicos o estadísticos (para la determinación de esta finalidad habrá que estar a la ley en cada caso aplicable: Ley 12/89, de la Función Estadística Pública; Ley 16/85, del Patrimonio Histórico Español; Ley 13/86 de Fomento y Coordinación General de la Investigación Científica y Técnica).

          b).- En virtud del cumplimiento de obligaciones establecidas en la legislación específica establecida al efecto.

Consecuencias del no cumplimiento de estas obligaciones: Las conductas que infrinjan los mandatos que se extraen de este principio se califican por la ley como infracción grave (multa de 40.001 a 300.000 euros), y, en algunos caso, como muy grave (multa de 300.001 a 600.000 euros).