Test: Protecció de dades en sanitat (LOPDGDD, RGPD)

10 preguntas tipo examen para Celador IB-Salut — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

El tema de la protecció de dades és un dels que apareix de manera recurrent en les oposicions sanitàries, incloses les de Celador a l’IB-Salut. El motiu és clar: el celador manipula documentació clínica, acompanya pacients i accedeix a espais on es tracten dades de salut, que la normativa considera especialment sensibles. Conèixer els principis bàsics del RGPD i de la LOPDGDD és, per tant, imprescindible per superar el test.

Marc normatiu

  • Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD). És d’aplicació directa a tots els estats membres de la UE des del 25 de maig de 2018.
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD). Adapta l’ordenament jurídic espanyol al RGPD. Publicada al BOE; la seva aplicació a les Illes Balears es complementa amb les disposicions del BOIB quan les administracions autonòmiques dicten normativa de desplegament.

Nota de prelació: el RGPD preval sobre la LOPDGDD en cas de contradicció, per ser norma de dret de la Unió Europea d’aplicació directa.

Conceptes clau

Dada personal

Qualsevol informació sobre una persona física identificada o identificable (art. 4.1 RGPD). Una persona és identificable quan pot ser reconeguda directament o indirectament, per exemple mitjançant un número d’identificació, dades de localització o un o diversos elements propis de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social.

Categories especials de dades

L’art. 9.1 RGPD prohibeix, amb caràcter general, el tractament de dades que revelin:

  • Origen ètnic o racial
  • Opinions polítiques
  • Conviccions religioses o filosòfiques
  • Afiliació sindical
  • Dades genètiques
  • Dades biomètriques dirigides a identificar de manera unívoca una persona física
  • Dades relatives a la salut
  • Dades relatives a la vida sexual o l’orientació sexual

Les dades de salut estan expressament incloses en aquesta categoria. Per al celador, això és fonamental: qualsevol informació sobre l’estat de salut d’un pacient és una categoria especial de dada i mereix la màxima protecció.

Tractament de dades

Qualsevol operació o conjunt d’operacions efectuades sobre dades personals, ja sigui per procediments automatitzats o no (art. 4.2 RGPD). Inclou: recollida, registre, organització, estructuració, conservació, adaptació, modificació, extracció, consulta, utilització, comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, alineació o combinació, limitació, supressió o destrucció.

Responsable del tractament

La persona física o jurídica, autoritat pública, servei o altre organisme que, sol o conjuntament amb d’altres, determina els fins i els mitjans del tractament (art. 4.7 RGPD). En l’àmbit sanitari, el responsable sol ser el centre o l’administració sanitària (IB-Salut).

Encarregat del tractament

La persona física o jurídica, autoritat pública, servei o altre organisme que tracta dades personals per compte del responsable (art. 4.8 RGPD). Actua sempre seguint les instruccions del responsable.

Delegat de Protecció de Dades (DPD)

La LOPDGDD (art. 34) i el RGPD (art. 37) estableixen l’obligació de designar un DPD en determinats supòsits. Entre ells, quan el tractament el dugui a terme una autoritat o organisme públic (art. 37.1.a RGPD). L’IB-Salut, com a organisme públic, ha de tenir DPD. Les seves funcions principals (art. 39 RGPD) inclouen:

  • Informar i assessorar el responsable i els empleats
  • Supervisar el compliment del RGPD
  • Cooperar amb l’autoritat de control
  • Actuar com a punt de contacte amb l’autoritat de control

El DPD no pot rebre instruccions del responsable respecte a l’exercici de les seves funcions (art. 38.3 RGPD).

Principis del tractament de dades

L’art. 5 RGPD recull els principis que regeixen tot tractament de dades personals. Són d’aplicació directa i el celador ha de conèixer-los:

  • Licitud, lleialtat i transparència: les dades s’han de tractar de manera lícita, lleial i transparent per a l’interessat.
  • Limitació de la finalitat: recollides amb fins determinats, explícits i legítims; no es poden tractar de manera incompatible amb aquests fins.
  • Minimització de dades: adequades, pertinents i limitades al que és necessari en relació amb els fins.
  • Exactitud: han de ser exactes i, si cal, actualitzades.
  • Limitació del termini de conservació: no es poden conservar més temps del necessari per als fins del tractament.
  • Integritat i confidencialitat: tractament amb la seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la pèrdua, destrucció o dany accidental.
  • Responsabilitat proactiva (accountability): el responsable ha de poder demostrar el compliment de tots els principis anteriors.

Drets de les persones interessades

El RGPD reconeix un catàleg de drets a les persones les dades de les quals es tracten. Els més importants per al test:

  • Dret d’accés (art. 15 RGPD): l’interessat pot obtenir confirmació de si es tracten les seves dades i accedir-hi.
  • Dret de rectificació (art. 16 RGPD): rectificació de dades inexactes.
  • Dret de supressió o “dret a l’oblit” (art. 17 RGPD): supressió de les dades quan ja no siguin necessàries, entre d’altres supòsits.
  • Dret a la limitació del tractament (art. 18 RGPD).
  • Dret a la portabilitat (art. 20 RGPD): rebre les dades en format estructurat i de lectura mecànica.
  • Dret d’oposició (art. 21 RGPD).

Termini de resposta general: el responsable ha de respondre en el termini d’un mes des de la recepció de la sol·licitud (art. 12.3 RGPD). Aquest termini es pot prorrogar dos mesos més, tenint en compte la complexitat i el nombre de sol·licituds, comunicant-ho a l’interessat en el primer mes.

Violacions de seguretat i notificació

L’art. 33 RGPD obliga el responsable del tractament a notificar les violacions de seguretat de les dades personals a l’autoritat de control competent en un termini màxim de 72 hores des que en tingui coneixement, sempre que sigui possible. Si la notificació no es pot fer en 72 hores, s’ha d’acompanyar d’una indicació dels motius del retard.

Quan la violació pugui comportar un alt risc per als drets i les llibertats de les persones físiques, el responsable ha de comunicar-la també a l’interessat sense dilació indeguda (art. 34 RGPD).

Autoritat de control a Espanya: l’Agència Espanyola de Protecció de Dades (AEPD), prevista a l’art. 44 LOPDGDD.

Dades numèriques i terminis que més es pregunten

  • 25 de maig de 2018: data d’aplicació del RGPD.
  • 5 de desembre de 2018: data d’aprovació de la LOPDGDD.
  • 72 hores: termini per notificar una violació de seguretat a l’autoritat de control (art. 33 RGPD).
  • 1 mes: termini general per respondre l’exercici de drets (art. 12.3 RGPD).
  • 2 mesos addicionals: pròrroga possible del termini anterior.
  • 14 anys: edat mínima per prestar consentiment al tractament de dades en serveis de la societat de la informació, segons l’art. 7 LOPDGDD (el RGPD fixava 16 anys però Espanya va optar per 14).

Errors típics de l’opositor

  • Confondre el responsable (decideix fins i mitjans) amb l’encarregat (tracta per compte del responsable). Pregunta freqüent en test.
  • Creure que el DPD pot rebre instruccions del responsable: fals, l’art. 38.3 RGPD garanteix la seva independència funcional.
  • Situar el termini de notificació de violacions en 48 o 24 hores: és 72 hores (art. 33 RGPD).
  • Oblidar que les dades de salut són categoria especial i que el seu tractament té una protecció reforçada (art. 9 RGPD).
  • Confondre l’edat de consentiment: 14 anys a Espanya (LOPDGDD), no 16 (que és el que preveu el RGPD per defecte).

Trucs mnemotècnics

  • “72 hores, no 48”: pensa en tres dies naturals (3 × 24 = 72). Si passes de tres dies sense notificar, has incomplert.
  • Principis del RGPD — “LLMELI-R”: Licitud, Lleialtat, Minimització, Exactitud, Limitació de finalitat, Integritat i confidencialitat, Responsabilitat proactiva.
  • Responsable vs. Encarregat: el Responsable Resol (decideix); l’Encarregat Executa (tracta per compte d’altri).
  • Dades de salut = categoria especial: tot el que passi per les mans del celador (historials, volants, resultats) és dada sensible. Màxima discreció sempre.
  • 14 anys a Espanya: la LOPDGDD va “baixar” l’edat respecte al RGPD. Recorda: “Espanya va a la baixa” (16 → 14).

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. El Reglament General de Protecció de Dades (RGPD) de la Unió Europea va entrar en aplicació el:

    • A) 25 de maig de 2018
    • B) 1 de gener de 2016
    • C) 25 de maig de 2020
    • D) 1 de gener de 2015

    Referencia: Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d'abril de 2016 (RGPD) , Art. 99

  2. Segons el RGPD, les dades relatives a la salut es consideren:

    • A) Dades de categories especials (sensibles), sotmeses a una protecció reforçada
    • B) Dades ordinàries sense cap protecció especial
    • C) Dades que es poden tractar lliurement sense cap limitació
    • D) Dades que no són objecte de protecció pel RGPD

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 9

  3. La Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD) adapta a l'ordenament espanyol:

    • A) La Directiva europea de comerç electrònic
    • B) El Reglament General de Protecció de Dades (RGPD) de la Unió Europea
    • C) La Llei de Propietat Intel·lectual
    • D) La Convenció Europea de Drets Humans

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals , Preàmbul

  4. El celador, en relació amb les dades personals dels pacients, té l'obligació de:

    • A) Mantenir el secret professional i la confidencialitat de totes les dades que conegui per raó del seu treball
    • B) Compartir les dades dels pacients amb els companys de feina per facilitar la coordinació
    • C) Informar els familiars de tots els diagnòstics dels pacients
    • D) No té cap obligació especial respecte a les dades dels pacients

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals , Art. 5 (deure de confidencialitat)

  5. Segons el RGPD, el responsable del tractament de les dades de salut en un hospital públic del IB-Salut és:

    • A) El celador de cada planta
    • B) El Servei de Salut de les Illes Balears (IB-Salut) o l'entitat gestora del centre
    • C) Cada pacient individualment
    • D) L'Agència Espanyola de Protecció de Dades

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 4.7

  6. El dret d'accés del pacient a les seves dades sanitàries implica que:

    • A) El pacient pot accedir a la seva història clínica i obtenir-ne una còpia
    • B) El pacient pot accedir a les històries clíniques de qualsevol altre pacient
    • C) El pacient pot modificar lliurement els seus diagnòstics
    • D) El pacient pot esborrar qualsevol dada del seu historial sense cap límit

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 15

  7. Segons la LOPDGDD i el RGPD, una bretxa de seguretat en dades de salut ha de ser notificada a l'autoritat de control:

    • A) Dins les 72 hores des que es tingui coneixement
    • B) Dins els 30 dies naturals
    • C) Només si afecta més de 1.000 persones
    • D) No cal notificar-la si es resol internament

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 33

  8. El delegat de protecció de dades (DPD) és obligatori, segons el RGPD, per a:

    • A) Qualsevol empresa amb més de 10 treballadors
    • B) Les autoritats i organismes públics, i les entitats que tractin dades de salut a gran escala
    • C) Només les empreses privades del sector tecnològic
    • D) No és obligatori per a cap entitat; és voluntari

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 37

  9. El principi de minimització de dades del RGPD implica que:

    • A) S'han de recollir totes les dades possibles del pacient per si fan falta en el futur
    • B) Les dades recollides han de ser adequades, pertinents i limitades al que sigui necessari per a la finalitat del tractament
    • C) S'han de destruir totes les dades cada 24 hores
    • D) Només es poden recollir dades amb el consentiment escrit del jutge

    Referencia: Reglament (UE) 2016/679 (RGPD) , Art. 5.1.c

  10. Si un celador divulga informació clínica d'un pacient a persones no autoritzades, pot ser objecte de:

    • A) Cap conseqüència, ja que el celador no accedeix a informació clínica
    • B) Responsabilitat disciplinària i, en funció de la gravetat, responsabilitat civil i penal
    • C) Només una advertència verbal sense cap altra conseqüència
    • D) Una bonificació per facilitar informació als familiars

    Referencia: Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals , Art. 5 i Títol IX (Règim sancionador)