Test: Protección de datos (LOPDGDD y RGPD)

10 preguntas tipo examen para Celador SCS — Convocatoria 2026

Materia de estudio

Resumen del tema con citas literales de la normativa oficial. Lee los apuntes y luego pon a prueba lo que has aprendido en el test.

La protección de datos es materia transversal en las oposiciones sanitarias: el celador maneja historias clínicas, datos de pacientes y documentación sensible a diario. El examen del SCS pregunta tanto conceptos del Reglamento (UE) 2016/679 (RGPD) como de la Ley Orgánica 3/2018 (LOPDGDD), y los vincula directamente con las obligaciones del personal estatutario recogidas en la Ley 55/2003.

Marco normativo

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Adapta el ordenamiento español al RGPD y deroga la anterior LO 15/1999.
  • Ley 55/2003, de 16 de diciembre, del Estatuto Marco del personal estatutario de los servicios de salud. Su art. 19.g) impone al personal estatutario el deber de sigilo y confidencialidad respecto a la información obtenida en el ejercicio de sus funciones.

Jerarquía: el RGPD prevalece sobre la LOPDGDD en caso de conflicto, al ser norma de la UE de aplicación directa.

Conceptos clave

Dato personal

Cualquier información sobre una persona física identificada o identificable (art. 4.1 RGPD). Se considera identificable cuando pueda determinarse su identidad, directa o indirectamente, mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Categorías especiales de datos

El art. 9.1 RGPD prohíbe, con carácter general, el tratamiento de datos que revelen:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona
  • Datos relativos a la salud
  • Datos relativos a la vida sexual u orientación sexual

Los datos de salud son, por tanto, categoría especial. Esto es especialmente relevante para el celador, que maneja documentación clínica.

Tratamiento de datos

Cualquier operación o conjunto de operaciones efectuadas sobre datos personales, ya sea por procedimientos automatizados o no: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, alineación, limitación, supresión o destrucción (art. 4.2 RGPD).

Responsable del tratamiento

Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento (art. 4.7 RGPD). En el ámbito del SCS, el responsable es la propia institución sanitaria.

Encargado del tratamiento

Persona física o jurídica que trata datos personales por cuenta del responsable (art. 4.8 RGPD). Actúa bajo instrucciones del responsable.

Principios del tratamiento (art. 5.1 RGPD)

Son los pilares del sistema. El examen suele preguntar su denominación exacta:

  • Licitud, lealtad y transparencia: el tratamiento debe tener base jurídica y ser transparente para el interesado.
  • Limitación de la finalidad: los datos se recogerán con fines determinados, explícitos y legítimos, y no se tratarán de manera incompatible con dichos fines.
  • Minimización de datos: los datos deben ser adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: los datos deben ser exactos y, si fuera necesario, actualizados.
  • Limitación del plazo de conservación: los datos no se conservarán más tiempo del necesario para los fines del tratamiento.
  • Integridad y confidencialidad (art. 5.1.f RGPD): el tratamiento debe garantizar una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Este principio conecta directamente con el deber de sigilo del art. 19.g) de la Ley 55/2003, que obliga al personal estatutario a guardar secreto sobre la información conocida en el ejercicio de sus funciones.

Bases jurídicas del tratamiento (art. 6 RGPD)

El tratamiento solo es lícito si se cumple al menos una de estas condiciones:

  • Consentimiento del interesado
  • Ejecución de un contrato
  • Cumplimiento de una obligación legal
  • Protección de intereses vitales
  • Cumplimiento de una misión en interés público o ejercicio de poderes públicos
  • Intereses legítimos del responsable (salvo que prevalezcan los del interesado)

En el ámbito sanitario público, la base habitual es el cumplimiento de una misión en interés público o la obligación legal.

Derechos de los interesados (RGPD y LOPDGDD)

  • Derecho de acceso (art. 15 RGPD): el interesado puede obtener confirmación de si se tratan sus datos y una copia de los mismos.
  • Derecho de rectificación (art. 16 RGPD): corrección de datos inexactos.
  • Derecho de supresión o “derecho al olvido” (art. 17 RGPD): supresión de datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que se recogieron.
  • Derecho a la limitación del tratamiento (art. 18 RGPD).
  • Derecho a la portabilidad (art. 20 RGPD): recibir los datos en formato estructurado, de uso común y lectura mecánica.
  • Derecho de oposición (art. 21 RGPD).

La LOPDGDD añade en su articulado el derecho al olvido en redes sociales e internet (arts. 93 y 94 LOPDGDD).

Delegado de Protección de Datos (DPD)

El art. 37 RGPD obliga a designar DPD, entre otros supuestos, cuando el tratamiento lo lleve a cabo una autoridad u organismo público, o cuando se realice tratamiento a gran escala de categorías especiales de datos. Los centros sanitarios públicos están obligados a designarlo. El DPD actúa con independencia y no recibe instrucciones respecto al ejercicio de sus funciones (art. 38.3 RGPD).

Violación de seguridad y notificación

  • El responsable debe notificar la violación de seguridad a la autoridad de control (en España, la Agencia Española de Protección de Datos, AEPD) sin dilación indebida y, de ser posible, en un plazo máximo de 72 horas desde que tenga constancia de ella (art. 33.1 RGPD).
  • Si la violación entraña un alto riesgo para los derechos y libertades de las personas, también debe comunicarse al interesado sin dilación indebida (art. 34.1 RGPD).

Datos numéricos y plazos que más se preguntan

  • 25 de mayo de 2018: fecha de aplicación del RGPD.
  • 72 horas: plazo máximo para notificar una brecha de seguridad a la AEPD (art. 33.1 RGPD).
  • Art. 5.1.f) RGPD: principio de integridad y confidencialidad.
  • Art. 19.g) Ley 55/2003: deber de sigilo del personal estatutario.
  • Art. 9.1 RGPD: categorías especiales de datos (incluye datos de salud).
  • Art. 37 RGPD: obligación de designar DPD.
  • LO 3/2018: fecha de aprobación, 5 de diciembre de 2018.

Errores típicos del opositor

  • Confundir responsable y encargado: el responsable decide los fines; el encargado ejecuta el tratamiento por cuenta del responsable.
  • Creer que el consentimiento es siempre necesario: en el ámbito sanitario público, la base jurídica habitual es el interés público o la obligación legal, no el consentimiento.
  • Olvidar que los datos de salud son categoría especial: tienen protección reforzada (art. 9 RGPD), no son datos ordinarios.
  • Confundir el plazo de 72 horas: es para notificar a la autoridad de control, no al interesado. La comunicación al interesado no tiene plazo fijo, pero debe hacerse “sin dilación indebida”.
  • Atribuir el deber de confidencialidad solo al RGPD: también lo impone el art. 19.g) de la Ley 55/2003 al personal estatutario, incluido el celador.

Trucos mnemotécnicos

  • Principios del art. 5.1 RGPD → “LMLE-IC”: Licitud, Minimización, Limitación de finalidad, Exactitud, conservación (plazo) Integridad y Confidencialidad.
  • 72 horas → “tres días menos”: menos de tres días naturales para avisar a la AEPD de una brecha.
  • Responsable vs. encargado → “el Responsable manda, el encargado obedece”: el responsable fija los fines; el encargado actúa bajo sus instrucciones.
  • Art. 19.g) Ley 55/2003 → “la g de guardar silencio”: el celador guarda silencio sobre lo que ve y oye en el trabajo.
  • Categorías especiales → “ORASB-GS”: Origen étnico, Religión, Afiliación sindical, Salud, Biométricos, Genéticos, Sexualidad (orientación e identidad).

Pon a prueba lo que has aprendido

10
preguntas tipo examen

Cada pregunta incluye referencia legal exacta

Preguntas de este test

Estas son las 10 preguntas que componen el test de este tema. Las respuestas correctas y la explicación detallada se revelan al completar el test arriba.

  1. El Reglamento General de Protección de Datos (RGPD) es una norma de ámbito:

    • A) Exclusivamente español, aplicable solo en territorio nacional
    • B) De la Unión Europea, directamente aplicable en todos los Estados miembros, incluido España
    • C) Internacional, aplicable en todo el mundo sin excepción
    • D) Autonómico, solo aplicable en Cantabria

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) , Art. 1-3

  2. Según el RGPD, los datos relativos a la salud de las personas se consideran:

    • A) Datos ordinarios que no requieren protección especial
    • B) Categorías especiales de datos personales (datos sensibles), cuyo tratamiento está especialmente protegido y, en principio, prohibido salvo excepciones
    • C) Datos de acceso público que cualquier persona puede consultar libremente
    • D) Datos que solo pueden tratar las compañías de seguros de salud

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) , Art. 9

  3. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), tiene como objeto:

    • A) Derogar completamente el RGPD en España y sustituirlo por normativa nacional
    • B) Adaptar el ordenamiento jurídico español al RGPD y complementar sus disposiciones, garantizando los derechos digitales de los ciudadanos
    • C) Regular exclusivamente el comercio electrónico en España
    • D) Establecer las tasas que deben pagar las empresas por tratar datos personales

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) , Art. 1

  4. El principio de minimización de datos, recogido en el RGPD, establece que:

    • A) Se deben recopilar todos los datos posibles del paciente para tener la mayor información disponible
    • B) Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
    • C) Los datos deben almacenarse durante el máximo tiempo posible para futuras necesidades
    • D) Solo se aplica a los datos económicos, no a los datos de salud

    Referencia: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) , Art. 5.1.c)

  5. En el ámbito sanitario, el celador que accede a datos de pacientes por razón de su trabajo tiene la obligación de:

    • A) Compartir dicha información con familiares y amigos si se lo preguntan
    • B) Mantener la confidencialidad de los datos personales y de salud de los pacientes, no accediendo a más información de la necesaria para sus funciones
    • C) Publicar los datos en redes sociales para dar a conocer la labor del hospital
    • D) No tiene ninguna obligación especial, ya que como no es personal sanitario la normativa de protección de datos no le afecta

    Referencia: Ley 55/2003, del Estatuto Marco, art. 19.g) y RGPD art. 5.1.f) , Art. 19.g) Ley 55/2003 y Art. 5.1.f) RGPD

  6. El Delegado de Protección de Datos (DPD) es una figura que, según el RGPD:

    • A) Es opcional para todos los organismos, incluidas las administraciones públicas
    • B) Es obligatoria para las autoridades y organismos públicos, así como para entidades que traten datos de salud a gran escala
    • C) Solo es necesaria en empresas con más de 500 trabajadores
    • D) Fue eliminada por la LOPDGDD, que ya no la exige

    Referencia: Reglamento (UE) 2016/679 (RGPD) y LO 3/2018 (LOPDGDD) , Art. 37 RGPD y Art. 34 LOPDGDD

  7. Los derechos de los interesados en materia de protección de datos (derechos ARCO-POL) incluyen:

    • A) Solo el derecho de acceso a los propios datos
    • B) Acceso, rectificación, supresión (olvido), limitación del tratamiento, portabilidad y oposición
    • C) Solo el derecho a cancelar cualquier dato en cualquier momento y circunstancia
    • D) El derecho a cobrar una compensación económica cada vez que se traten sus datos

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 15-21

  8. Si un celador encuentra una historia clínica abandonada en un pasillo del hospital, debe:

    • A) Leerla para comprobar de quién es y devolverla al paciente directamente
    • B) Recogerla y entregarla inmediatamente al personal de enfermería o al servicio de admisión/archivos, sin acceder a su contenido
    • C) Dejarla donde está, ya que no es su responsabilidad
    • D) Destruirla para evitar que alguien acceda a los datos del paciente

    Referencia: RGPD art. 5.1.f) y Ley 55/2003 art. 19.g) , Art. 5.1.f) RGPD y Art. 19.g) Ley 55/2003

  9. Las infracciones en materia de protección de datos se clasifican, según la LOPDGDD, en:

    • A) Infracciones administrativas y penales exclusivamente
    • B) Muy graves, graves y leves
    • C) Solo existe un tipo de infracción con multa fija de 600 euros
    • D) No existen infracciones, solo recomendaciones sin capacidad sancionadora

    Referencia: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) , Art. 72-74

  10. El consentimiento del paciente para el tratamiento de sus datos de salud en el ámbito sanitario público:

    • A) Es siempre necesario para cualquier tratamiento, sin excepciones
    • B) No es la única base legal posible, ya que el tratamiento puede ampararse en el cumplimiento de una obligación legal, la protección de intereses vitales o razones de interés público en el ámbito de la salud pública
    • C) No se necesita nunca porque la sanidad pública tiene acceso ilimitado a todos los datos de los ciudadanos
    • D) Solo es necesario si el paciente es menor de edad

    Referencia: Reglamento (UE) 2016/679 (RGPD) , Art. 6 y 9 RGPD