Test: Proteccion de datos en sanidad

10 preguntas tipo examen para Celador SAS — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos en el ámbito sanitario es uno de los temas con mayor peso práctico en las oposiciones del SAS. El celador maneja información de pacientes a diario —historias clínicas, datos de filiación, traslados— y debe conocer los límites legales de ese manejo. Las preguntas de examen combinan conceptos del RGPD, la LOPDGDD y la Ley 41/2002.

Marco normativo

Las tres normas que articulan este tema son:

  • Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD). Es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el RGPD al ordenamiento español.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

La jerarquía es clara: el RGPD prevalece sobre la LOPDGDD en todo lo que regula directamente; la Ley 41/2002 es la norma específica para el entorno sanitario.

Conceptos clave

Dato personal

El art. 4.1 RGPD define dato personal como «toda información sobre una persona física identificada o identificable». La identificabilidad puede ser directa (nombre, DNI) o indirecta (número de historia clínica, dirección IP).

Dato especialmente protegido (categoría especial)

El art. 9.1 RGPD prohíbe el tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual.

Los datos de salud son, por tanto, categoría especial. El art. 4.15 RGPD los define como «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Tratamiento de datos

El art. 4.2 RGPD define tratamiento como «cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no». Incluye recogida, registro, organización, conservación, consulta, comunicación, difusión o supresión.

Responsable y encargado del tratamiento

  • Responsable (art. 4.7 RGPD): persona física o jurídica que determina los fines y medios del tratamiento. En el SAS, el responsable es la propia organización sanitaria.
  • Encargado (art. 4.8 RGPD): quien trata datos por cuenta del responsable. Debe existir un contrato que regule esa relación (art. 28 RGPD).

Consentimiento

El art. 4.11 RGPD exige que el consentimiento sea libre, específico, informado e inequívoco. Para las categorías especiales (datos de salud), el art. 9.2.a RGPD exige que sea explícito. El consentimiento tácito o por omisión no es válido.

Bases jurídicas del tratamiento en sanidad

El tratamiento de datos de salud sin consentimiento explícito es posible cuando (art. 9.2 RGPD):

  • Es necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria o tratamiento (art. 9.2.h RGPD).
  • Existe un interés público esencial en el ámbito de la salud pública (art. 9.2.i RGPD).
  • Fines de investigación científica o estadística (art. 9.2.j RGPD).

Derechos de los pacientes en materia de datos (RGPD + Ley 41/2002)

Derechos ARCO ampliados (RGPD)

El RGPD reconoce los siguientes derechos al interesado:

  • Acceso (art. 15 RGPD): conocer qué datos se tratan y con qué finalidad.
  • Rectificación (art. 16 RGPD): corregir datos inexactos.
  • Supresión o «derecho al olvido» (art. 17 RGPD): solicitar la eliminación de los datos.
  • Limitación del tratamiento (art. 18 RGPD): restringir el uso de los datos en determinadas circunstancias.
  • Portabilidad (art. 20 RGPD): recibir los datos en formato estructurado y de uso común.
  • Oposición (art. 21 RGPD): oponerse al tratamiento en determinados supuestos.

Derecho de acceso a la historia clínica (Ley 41/2002)

El art. 18.1 de la Ley 41/2002 reconoce al paciente el derecho de acceso a la documentación de su historia clínica. Sin embargo, el acceso puede limitarse cuando exista información de terceros que no hayan dado su consentimiento, o cuando el conocimiento de los datos pueda perjudicar terapéuticamente al paciente (art. 18.3 Ley 41/2002).

Los familiares o allegados del paciente fallecido pueden acceder a la historia clínica, salvo que el fallecido lo hubiera prohibido expresamente (art. 18.4 Ley 41/2002).

La historia clínica

Definición y contenido mínimo

El art. 14.1 de la Ley 41/2002 define la historia clínica como «el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial».

Conservación

El art. 17.1 de la Ley 41/2002 establece que los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde la fecha del alta de cada proceso asistencial.

Usos de la historia clínica

El art. 16 de la Ley 41/2002 distingue:

  • Uso asistencial: el principal. El personal sanitario que atiende al paciente puede acceder a la historia.
  • Usos no asistenciales: epidemiología, salud pública, investigación, docencia, judiciales, inspección. Requieren disociación de datos o autorización expresa.

Datos numéricos y plazos que más se preguntan

  • 25 de mayo de 2018: fecha de aplicación del RGPD en toda la UE.
  • 5 de diciembre de 2018: fecha de aprobación de la LOPDGDD.
  • 14 de noviembre de 2002: fecha de aprobación de la Ley 41/2002.
  • 5 años: plazo mínimo de conservación de la historia clínica (art. 17.1 Ley 41/2002).
  • 72 horas: plazo máximo para notificar una brecha de seguridad a la autoridad de control (art. 33.1 RGPD).
  • 1 mes: plazo general para responder a una solicitud de ejercicio de derechos del interesado (art. 12.3 RGPD), prorrogable otros dos meses en casos complejos.
  • 16 años: edad mínima para prestar consentimiento al tratamiento de datos en servicios de la sociedad de la información, según el art. 7.1 LOPDGDD (la LOPDGDD eleva el umbral del art. 8 RGPD, que fijaba 16 como máximo posible).
  • Autoridad de control en España: la Agencia Española de Protección de Datos (AEPD), prevista en el art. 44 LOPDGDD.

Errores típicos del opositor

  • Confundir responsable con encargado: el responsable decide el fin del tratamiento; el encargado solo ejecuta. En el SAS, el hospital es responsable; una empresa externa de gestión documental sería encargada.
  • Creer que el consentimiento es siempre necesario en sanidad: en la atención sanitaria directa, la base jurídica es el art. 9.2.h RGPD (necesidad asistencial), no el consentimiento explícito.
  • Confundir el plazo de conservación de la historia clínica: son 5 años desde el alta del proceso, no desde el nacimiento ni desde la última consulta.
  • Olvidar el plazo de 72 horas para brechas de seguridad: es uno de los plazos más preguntados en test.
  • Pensar que los familiares siempre pueden acceder a la historia del fallecido: solo pueden hacerlo si el fallecido no lo prohibió expresamente (art. 18.4 Ley 41/2002).
  • Confundir dato personal con dato de salud: todo dato de salud es dato personal, pero no todo dato personal es dato de salud. Los datos de salud son categoría especial con protección reforzada.

Trucos mnemotécnicos

  • ARCO+LP: Acceso, Rectificación, Cancelación/supresión, Oposición + Limitación y Portabilidad. Los seis derechos del RGPD.
  • «72 horas, brecha de seguridad»: igual que en urgencias, la notificación de una brecha es urgente: 72 horas.
  • «5 años de historia»: la historia clínica se conserva como mínimo 5 años, igual que la prescripción general civil.
  • «Responsable decide, encargado ejecuta»: el responsable es el jefe; el encargado, el trabajador externo.
  • RGPD = Reglamento, aplicación directa: al ser Reglamento europeo, no necesita transposición. La LOPDGDD solo lo adapta y complementa.
  • Para recordar que los datos de salud son categoría especial: piensa en el color rojo (peligro, protección máxima). Todo lo que puede discriminar o dañar gravemente a una persona si se filtra es categoría especial.

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. El Reglamento General de Proteccion de Datos (RGPD) es:

    • A) Una ley autonomica andaluza
    • B) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales
    • C) Una circular interna del SAS
    • D) Una recomendacion de la OMS sin caracter obligatorio

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 1

  2. Segun el RGPD, los datos relativos a la salud son considerados:

    • A) Datos de caracter general sin proteccion especial
    • B) Datos de categorias especiales (datos sensibles) con un nivel de proteccion reforzado
    • C) Datos publicos accesibles por cualquier persona
    • D) Datos excluidos del ambito de aplicacion del RGPD

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 9

  3. La Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD):

    • A) Deroga completamente el RGPD en Espana
    • B) Adapta y complementa el RGPD al ordenamiento juridico espanol
    • C) Solo se aplica a empresas privadas, no a la Administracion
    • D) Es anterior al RGPD y fue derogada por este

    Referencia: LO 3/2018, de 5 de diciembre (LOPDGDD) , Art. 1

  4. El celador, en relacion con la proteccion de datos de los pacientes, debe:

    • A) Comentar libremente los datos de los pacientes con companeros y familiares
    • B) Guardar secreto y confidencialidad sobre cualquier dato personal o clinico de los pacientes al que tenga acceso en el ejercicio de sus funciones
    • C) Publicar los datos de los pacientes en tablones informativos
    • D) No tiene obligacion alguna en materia de proteccion de datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5, 32

  5. La historia clinica del paciente, segun la Ley 41/2002:

    • A) Es un documento publico accesible por cualquier persona
    • B) Comprende el conjunto de documentos que contienen los datos, valoraciones e informaciones sobre la situacion y evolucion clinica del paciente
    • C) Solo incluye los informes de alta
    • D) Puede ser destruida a peticion del paciente en cualquier momento

    Referencia: Ley 41/2002, de 14 de noviembre , Art. 14

  6. Segun la Ley 41/2002, el tiempo minimo de conservacion de la historia clinica es de:

    • A) 1 ano desde la ultima asistencia
    • B) 5 anos desde la fecha del alta de cada proceso asistencial
    • C) 20 anos en todos los casos
    • D) No existe plazo de conservacion

    Referencia: Ley 41/2002, de 14 de noviembre , Art. 17

  7. Los derechos ARCO-POL del interesado en materia de proteccion de datos incluyen:

    • A) Solo el derecho de acceso
    • B) Acceso, rectificacion, cancelacion/supresion, oposicion, portabilidad, limitacion del tratamiento y a no ser objeto de decisiones automatizadas
    • C) Solo el derecho de modificacion de los datos
    • D) No existen derechos del interesado

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 15-22

  8. El Delegado de Proteccion de Datos (DPD) es obligatorio en:

    • A) Solo en empresas privadas con mas de 500 empleados
    • B) Autoridades y organismos publicos, y en entidades que traten datos de categorias especiales a gran escala, como los centros sanitarios
    • C) No es obligatorio en ningun caso, es voluntario
    • D) Solo en el Ministerio de Sanidad

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 37

  9. Si un celador encuentra documentacion clinica de un paciente en un lugar inadecuado (pasillo, sala de espera), debe:

    • A) Leer la documentacion para saber a quien pertenece y buscar al paciente
    • B) Recoger la documentacion y entregarla al personal sanitario o administrativo responsable, sin difundir su contenido
    • C) Dejar la documentacion donde esta porque no es su responsabilidad
    • D) Destruir la documentacion para proteger al paciente

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5, 32

  10. El principio de minimizacion de datos del RGPD implica que:

    • A) Se deben recoger todos los datos posibles del paciente por si acaso
    • B) Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relacion con los fines para los que son tratados
    • C) No se pueden recoger datos de salud bajo ninguna circunstancia
    • D) Solo se aplica a datos informatizados, no a los datos en papel

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 5.1.c)